Campo di Applicazione

Questa politica definisce il quadro di riferimento, gli obiettivi strategici e i principi fondamentali per la gestione della sicurezza delle informazioni all’interno di SIINFO SRL. Il suo scopo è proteggere gli asset informativi aziendali da ogni minaccia, interna o esterna, intenzionale o accidentale, garantendo la riservatezza, l’integrità e la disponibilità delle informazioni. La politica si applica a tutto il personale, ai collaboratori, ai sistemi informativi, ai dati e ai processi che rientrano nel perimetro del Sistema di Gestione della Sicurezza delle Informazioni (SGSI), in conformità con lo standard ISO/IEC 27001.

Riferimenti Normativi

ISO/IEC 27001:2022: Sistemi di gestione per la sicurezza delle informazioni — Requisiti.Regolamento (UE) 2016/679 (GDPR): Regolamento Generale sulla Protezione dei Dati.Decreto Legislativo 30 giugno 2003, n. 196: Codice in materia di protezione dei dati personali.Direttiva (UE) 2022/2555 (Direttiva NIS 2): Misure per un livello comune elevato di cibersicurezza nell’Unione, e relativi decreti di recepimento nazionale.Decreto Legislativo 9 aprile 2008, n. 81: Testo unico in materia di salute e sicurezza nei luoghi di lavoro.

Termini e Definizioni

• Riservatezza: Proprietà dell’informazione di non essere resa disponibile o divulgata a individui, entità o processi non autorizzati.
• Integrità: Proprietà relativa alla salvaguardia dell’accuratezza e della completezza degli asset.
• Integrità: Proprietà relativa alla salvaguardia dell’accuratezza e della completezza degli asset.
• Disponibilità: Proprietà dell’informazione di essere accessibile e utilizzabile su richiesta da un’entità autorizzata.
• Sistema di Gestione della Sicurezza delle Informazioni (SGSI): Parte del sistema di gestione complessivo, basato su un approccio di rischio aziendale, per stabilire, implementare, operare, monitorare, riesaminare, mantenere e migliorare la sicurezza delle informazioni.

Ruoli e Responsabilità

• Top Management: Approva la presente politica, assicura il suo allineamento con gli indirizzi strategici aziendali e garantisce la disponibilità delle risorse necessarie per l’efficace attuazione del Sistema di Gestione della Sicurezza delle Informazioni.
• Responsabile del Sistema di Gestione della Sicurezza delle Informazioni (RSGSI): Ha la responsabilità di implementare, mantenere, comunicare e revisionare la presente politica. Supervisiona la gestione degli incidenti di sicurezza, promuove la formazione del personale e riferisce al Top Management sull’efficacia del sistema.
• Referente area: Vigila sul rispetto dei principi di sicurezza e sull’uso corretto delle risorse aziendali da parte del proprio team, garantendo l’applicazione delle policy pertinenti.

Obiettivi di sicurezza delle informazioni

SIINFO SRL definisce i seguenti obiettivi strategici di alto livello per la sicurezza delle informazioni, in linea con il proprio contesto di business e gli indirizzi strategici:

• Riservatezza: Proteggere le informazioni da accessi non autorizzati, garantendo la tutela dei dati sensibili dei clienti, dei dati del personale e del know-how aziendale.
• Integrità: Assicurare l’accuratezza, la completezza e l’affidabilità delle informazioni e dei sistemi che le elaborano, prevenendo modifiche non autorizzate o accidentali.
• Disponibilità: Garantire che le informazioni e le risorse associate siano accessibili al personale autorizzato quando necessario, per assicurare la continuità operativa e l’erogazione dei servizi ai clienti.
• Conformità: Soddisfare tutti i requisiti legali, normativi e contrattuali applicabili in materia di sicurezza delle informazioni e protezione dei dati personali.
• Miglioramento continuo: Promuovere una cultura del miglioramento continuo del Sistema di Gestione della Sicurezza delle Informazioni (SGSI) per adattarsi all’evoluzione delle minacce e delle opportunità.

Il Top Management, con il supporto del Responsabile del Sistema di Gestione della Sicurezza delle Informazioni (RSGSI), ha la responsabilità di tradurre questi obiettivi strategici in traguardi misurabili e monitorabili. La definizione, la pianificazione e il monitoraggio di tali obiettivi sono gestiti in conformità con la procedura “PRO Obiettivi e pianificazione per il loro raggiungimento”.

Principi fondamentali di sicurezza delle informazioni

Gestione e Revisione della Politica

La presente politica costituisce il documento quadro del Sistema di Gestione della Sicurezza delle Informazioni (SGSI) di SIINFO SRL, in conformità ai requisiti della norma ISO/IEC 27001.

• Il Top Management deve approvare la presente politica per assicurarne l’adeguatezza e l’allineamento con gli indirizzi strategici aziendali.
• Il Responsabile del Sistema di Gestione della Sicurezza delle Informazioni (RSGSI) ha la responsabilità di pubblicare, comunicare e rendere disponibile la politica a tutto il personale e alle parti interessate rilevanti.
• Il RSGSI deve pianificare la revisione di questa politica a intervalli pianificati, almeno una volta all’anno, e ogni qualvolta si verifichino cambiamenti significativi, come descritto nella “PRO Procedura di gestione del cambiamento” e gestito tramite la “PRO Gestione riesame della direzione”.
• Tutto il personale e i collaboratori sono tenuti a leggere, comprendere e attenersi alle direttive contenute in questa politica e nei documenti ad essa collegati, come il “Codice di condotta”.

Uso Accettabile delle Risorse

Tutti gli asset informativi e le risorse associate di SIINFO SRL, inclusi hardware, software, reti e dati, devono essere utilizzati esclusivamente per scopi aziendali autorizzati e in modo responsabile.

• L’uso personale delle risorse aziendali è tollerato solo se limitato, se non interferisce con le attività lavorative, non viola le normative vigenti e non introduce rischi per la sicurezza.
• È fatto divieto di utilizzare le risorse aziendali per attività illegali, offensive, discriminatorie o che possano arrecare danno all’immagine dell’azienda.
• Le regole dettagliate per l’utilizzo delle risorse sono definite nella “POL Politica di sicurezza operativa” e nel “Codice di condotta”.
• Ogni dipendente è responsabile dell’uso corretto delle risorse a lui assegnate. I ruoli con responsabilità di coordinamento, come il Referente area e il Responsabili di funzione, devono vigilare sul rispetto di tali principi da parte dei propri team.

Segnalazione degli Eventi di Sicurezza

Tutto il personale e i collaboratori hanno l’obbligo di segnalare tempestivamente qualsiasi evento di sicurezza delle informazioni osservato o sospetto, incluse debolezze, minacce o incidenti.

• La segnalazione deve essere effettuata attraverso i canali ufficiali e secondo le modalità descritte nella “PRO Procedura di gestione degli incidenti di sicurezza delle informazioni”.
• Il Responsabile del Sistema di Gestione della Sicurezza delle Informazioni (RSGSI) deve garantire che i meccanismi di segnalazione siano noti, accessibili e che il personale sia formato sul loro utilizzo.
• SIINFO SRL si impegna a gestire tutte le segnalazioni con la massima riservatezza e a garantire che nessun dipendente subisca ritorsioni per aver segnalato un incidente o una vulnerabilità in buona fede.

Politica della Scrivania e dello Schermo Puliti (Clear Desk and Clear Screen)

Per ridurre il rischio di accessi non autorizzati, perdita o danneggiamento delle informazioni, SIINFO SRL adotta i principi della scrivania e dello schermo puliti.

• Scrivania Pulita (Clear Desk): Le informazioni sensibili o classificate in formato cartaceo o su supporti di memorizzazione rimovibili non devono essere lasciate incustodite sulle scrivanie, nelle stampanti o in aree comuni. Al termine dell’attività lavorativa o in caso di assenza prolungata, tali materiali devono essere riposti in armadi o contenitori chiusi a chiave, in accordo con la “POL Politica di classificazione ed etichettatura delle informazioni”.
• Schermo Pulito (Clear Screen): Tutte le postazioni di lavoro, fisse o mobili, devono essere bloccate (tramite password o altro meccanismo di controllo) quando lasciate incustodite. Su tutti i dispositivi aziendali è applicato un blocco automatico dello schermo dopo un periodo predefinito di inattività che non deve essere disabilitato o reso inefficace da tool hardware o software.

Tutto il personale è tenuto a rispettare queste regole per proteggere le informazioni durante e al di fuori dell’orario di lavoro.

Sicurezza degli Asset Fuori Sede

Gli asset aziendali utilizzati al di fuori delle sedi di SIINFO SRL (ad esempio in modalità di lavoro da remoto, presso clienti o in viaggio) devono essere protetti con un livello di sicurezza equivalente a quello garantito all’interno degli uffici.

• Il personale è direttamente responsabile della protezione fisica e logica degli asset in sua dotazione (es. laptop, smartphone, documenti) contro furto, smarrimento, danneggiamento e accessi non autorizzati.
• Devono essere applicate le misure di sicurezza definite nella “POL Politica di sicurezza operativa”, come l’uso di crittografia del disco e la connessione tramite canali sicuri.
• Lo smarrimento o il furto di un asset aziendale deve essere immediatamente comunicato secondo quanto stabilito nella “PRO Procedura di gestione degli incidenti di sicurezza delle informazioni”.

Archiviazione e Aggiornamenti

Questo documento è gestito in formato controllato e archiviato secondo le procedure aziendali per la gestione delle informazioni documentate. Viene riesaminato con cadenza almeno annuale, e ogni qualvolta si verifichino cambiamenti organizzativi, tecnologici o normativi rilevanti, sotto la supervisione del Responsabile del Sistema di Gestione della Sicurezza delle Informazioni (RSGSI) e approvato dal Top Management per garantirne la continua idoneità, adeguatezza ed efficacia.

Documenti di Riferimento

• PRO Obiettivi e pianificazione per il loro raggiungimento
• PRO Procedura di gestione del cambiamento
• PRO Gestione riesame della direzione
• Codice di condotta
• POL Politica di sicurezza operativa
• PRO Procedura di gestione degli incidenti di sicurezza delle informazioni
• POL Politica di classificazione ed etichettatura delle informazioni