← Indice pacchetto onboarding

IT Policy Lifecycle — Gonzato Group / Ind.i.a SpA

Pacchetto onboarding IT Gonzato · Fase P3 · Head of IT · v1 03/07/2026 · bozza da compilare in azienda

Scopo del documento

Definisce il processo di creazione, approvazione, pubblicazione, revisione periodica e ritiro delle policy IT del Gruppo. È la "policy delle policy": garantisce che il corpus documentale (rif. it-policy-index.md) resti vivo, coerente e aggiornato nel tempo, invece di diventare un insieme di documenti fermi.

Serve a rendere la governance sostenibile e trasferibile: le policy non dipendono da una singola persona per essere mantenute, e la loro evoluzione segue un iter chiaro e condiviso col team IT.

Ciclo di vita di una policy

Proposta → Bozza → Revisione → Approvazione → Pubblicazione → Manutenzione → Ritiro
FaseDescrizioneOwnerOutput
PropostaIdentificazione bisogno (rischio, obbligo, gap)Chiunque, via Resp. IT GruppoVoce in index
BozzaRedazione contenuto (co-autoria team IT per policy operative)Owner della policyDocumento draft
RevisioneVerifica coerenza, fattibilità, impattoResp. IT Gruppo + stakeholderCommenti risolti
ApprovazioneFirma dell'autorità competenteResp. IT Gruppo / Direzione (rif. charter)Policy approvata
PubblicazioneComunicazione e disponibilitàResp. IT GruppoPolicy attiva + comunicazione
ManutenzioneRevisione periodica e aggiornamentiOwner della policyNuova versione
RitiroSuperamento o obsolescenzaResp. IT GruppoPolicy archiviata

Autorità di approvazione

Tipo di policyApprova
InfoSec Policy Master (livello 2)Direzione / CdA
Policy specifiche (livello 3)Responsabile IT di Gruppo
Standard e procedure (livello 4)Referente tecnico competente + Resp. IT Gruppo

(coerente con le soglie e le deleghe del it-governance-charter.md)

Versioning e stato

Cadenza di revisione periodica

Priorità policyRevisione minimaTrigger straordinari
Alta (rischio / NIS 2)AnnualeIncidente, cambio normativo, split
MediaOgni 18-24 mesiCambio processo o organizzativo
BassaOgni 24-36 mesiSu segnalazione

Trigger straordinari (sempre): incidente di sicurezza rilevante, modifica normativa (es. NIS 2), avanzamento dello split societario, cambio organizzativo IT, esito di audit.

Registro delle revisioni (template per singola policy)

VersioneDataAutoreModificheApprovata da
v1.0[da compilare][da compilare]Prima emissione[da compilare]

Ruoli nel ciclo di vita

Principio

Il ciclo di vita è leggero ma tracciato: ogni policy ha un owner, una data di revisione e una storia versioni. Questo evita sia la rigidità burocratica sia il decadimento silenzioso del corpus, e rende la manutenzione indipendente dalla singola persona.

Approvazione

RuoloNomeFirmaData
Responsabile IT di Gruppo[da compilare]
DirezioneDario Gonzato

Revisione di questo processo: annuale. Owner: Responsabile IT di Gruppo.