ITIL, Italia

La CISA (Certified Information Systems Auditor) ha pensato bene di organizzare le tipologie di documenti da usare in senso "normativo" nelle organizzazioni. Questa organizzazione normalmente viene usata per la documentazione  della sicurezza in ICT, anche se a volte con declinazione leggermente diverse.

Chi implementa ITIL, ha naturalmente bisogno di codificare i processi che vengono implementati, e, normalmente, ciò va fatto a diversi livelli. Ad ognli livello, dovrebbe essere associata la tipologia di documento opportuna.

Le tipologie suggerite da CISA sono quattro:

1. Policy
2. Standard
3. Guideline
4. Procedure

Le policy sono normalmente intese come postulati a livello alto nell'organizzazione. Sono usate per indicare le priorità dell'organizzazione e stabilirne la direzione. In ambito ITIL potrebbero stipulare l'utilizzo del framework stesso e gli obiettivi specifici dell'organizzazione nella sua adozione. Le policy sono normalmente firmate da autorità manageriali riconosciute nell’organizzazione.

Gli Standard rappresentano attività obbligatorie e regole e specificano il modo uniforme di supportare la Policy. L’osservanza dello standard è obbligatoria. Uno standard, in ambito ITIL, potrebbe documentare il modo "standard" di gestire gli incidenti, stabilendo di fatto una norma. Gli standards sono a volte costosi da amministrare e quindi devono essere impostati con molto giudizio.

Le guidelines sono principi più generali che a differenza degli standard possono rappresentare delle raccomandazioni e non necessariamente degli obblighi. Sostanzialmente suggeriscono azioni da intraprendere in mancanza di standard applicabili, la cui osservanza è facoltativa. Possono essere usati come base per uno standard. In ambito ITIL si potrebbe decidere che alcuni processi siano implementati con delle guidelines, dando quindi facoltà agli operatori di divergere dal processo.

Le Procedure dettagliano invece gli specifici step su come implementare policy, statndards e guidelines. Tali step devono essere completati in ordine. Un esempio in ambito ITIL potrebbe essere il modo di tracciare gli incidenti nel software specifico utilizzato dall'azienda (i.e. chi riceve la chiamata deve aprire la scharmata X, inserire il dato Y, etc...)