Politica delle Informazioni

Riservatezza: disponibilità delle informazioni solo a persone o sistemi autorizzati.

Integrità: modifica delle informazioni consentito solo a persone o sistemi autorizzati.

Disponibilità: accesso alle informazioni quando necessario solo alle persone autorizzate.

Sicurezza delle Informazioni: riservatezza, integrità e disponibilità delle informazioni.

Sistema di Gestione Aziendale (GSA):  parte dei processi generali di gestione che si occupa della pianificazione, dell’implementazione, del mantenimento, del riesame e del miglioramento della sicurezza delle informazioni.

Gli obiettivi generali per il GSA ed in particolare nella gestione della sicurezza delle informazioni sono i seguenti:

• ridurre i danni causati dai potenziali incidenti del 20% ogni anno;
• aumentare la consapevolezza delle risorse promuovendo la loro  partecipazione almeno ad un corso all’anno
• eseguire almeno un assessment annuo sulla sicurezza;

Gli obiettivi sono in linea con gli obiettivi aziendali, la strategia e i piani aziendali dell’organizzazione. La strategia prevede: un maggiore coinvolgimento attivo nel processo decisionale strategico, ad ogni riunione aziendale porre attenzione sulle implicazioni della cybersecurity tra le funzioni aziendali, promuovere i cambiamenti nel comportamento degli utenti,  favorire Insourcing contro outsourcing e promuovere la propensione naturale dell’azienda a migliorare la reputazione dell’azienda contro profitti. RGSA è responsabile del riesame di questi obiettivi generali del GSA e della definizione di nuovi obiettivi. Gli obiettivi per i singoli controlli di sicurezza o gruppi di controlli sono proposti dal RGSA  e approvati da DIR nella Dichiarazione di Applicabilità.  Tutti gli obiettivi devono essere ri-esaminati con frequenza almeno annuale. La DIR misura l’adempimento di tutti gli obiettivi. RGSA è responsabile della definizione dei metodi per misurare il raggiungimento degli obiettivi – le misurazioni sono eseguite almeno una volta all’anno e RGSA analizza e valuta i risultati della misurazione e li segnala alla Direzione come input per il riesame della DIR. RGSA è responsabile di registrare i dati sui metodi di misurazione, periodicità e i risultati nel Rapporto di Misurazione.

Questa politica e l’intero GSA devono essere conformi ai requisiti legali e normativi rilevanti per l’organizzazione nel campo della sicurezza delle informazioni, nonché agli obblighi contrattuali. Un elenco dettagliato di tutti i requisiti contrattuali e legali è riportato nell’ Elenco degli Obblighi Legali, Regolamentari e Contrattuali.

Il processo di selezione dei controlli (protezioni) è definito nella Metodologia per la Valutazione del Rischio e per il Trattamento del Rischio. I controlli selezionati e il loro stato di implementazione sono elencati nella Dichiarazione di Applicabilità.

Le responsabilità relative al GSA sono le seguenti:

• La DIR è responsabile del sistema di gestione sicura delle informazioni, in coerenza con l’evoluzione del contesto aziendale e di mercato
• La DIR deve riesaminare il GSA almeno una volta all’anno o ogni volta che si verifichi un cambiamento significativo, e preparare il rapporto riassuntivo della riunione. Scopo del riesame della DIR è stabilire idoneità, adeguatezza ed efficacia del GSA.
• RGSA è responsabile di garantire che il GSA sia implementato e mantenuto conforme a questa politica e di garantire che tutte le risorse necessarie siano disponibili
• RGSA è responsabile del coordinamento operativo del GSA e della stesura dei rapporti sulle prestazioni del GSA
• Il RGSA implementerà programmi di formazione sulla sicurezza delle informazioni e di sensibilizzazione per i dipendenti
• la protezione dell’integrità, della disponibilità e della riservatezza delle attività è responsabilità del titolare di ogni risorsa
• tutti gli incidenti o i punti deboli della sicurezza devono essere segnalati a RGSA.
• RGSA definirà quali informazioni relative alla sicurezza delle informazioni saranno comunicate a quale parte interessata (sia interna che esterna), da chi e quando
• RGSA è responsabile dell’adozione e dell’implementazione del Piano di Formazione e Sensibilizzazione, che si applica a tutte le persone che hanno un ruolo nella gestione della sicurezza delle informazioni

RGSA si assicura che i dipendenti di Olomedia, oltre alle parti interessate pertinenti, abbiano familiarità con questa Politica; la stessa è pubblicata sul sito aziendale (www.olomedia.it).

Con la presente la DIR dichiara che l’implementazione del GSA e il miglioramento continuo nella gestione della sicurezza delle informazioni saranno supportati con risorse adeguate al fine di raggiungere tutti gli obiettivi stabiliti in questa politica e a quelli identificati periodicamente, stanziando ad ogni riesame della direzione (annuale) una percentuale del fatturato annuo precedente in sicurezza per adeguamento della struttura e delle risorse umane. La DIR ha designato un amministratore di sistema che ha il compito di progettare,  pianificare, e agire per garantire la che la sicurezza delle informazioni sia implementata come richiesto e stia raggiungendo i risultati attesi. La DIR si assicura che siano redatti e messa in pratica un piano di formazione per gli utenti,  una politica di controllo degli accessi, un Piano di trattamento del rischio , il processo di trattamento del rischio ed una politica di Backup.

Questa politica ha effetto dalla data dell’ultima emissione riportata sul frontespizio. Il responsabile della politica  deve controllare e, se necessario aggiornare il documento con frequenza semestrale. Di seguito la matrice delle funzioni responsabili connesse alla presente politica. Durante la valutazione dell’efficacia e adeguatezza di questo documento, devono essere tenuti in considerazione i seguenti criteri:

• Num. impiegati e delle parti esterne che hanno un ruolo all’interno del GSA, ma non hanno familiarità con questo documento
• Non conformità del GSA alle leggi e i regolamenti, gli obblighi contrattuali e altri documenti interni dell’organizzazione
• Mancanza di efficacia dell’implementazione e mantenimento del GSA

Responsabilità non chiare per l’implementazione del GSA