REV. 6 DEL 13 MAGGIO 2024 - ESTRATTO
NAITEC POLITICA PER LA SICUREZZA DELLE INFORMAZIONI
1. DEFINIZIONE DI INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS
1.1 CONTENUTO DEL DOCUMENTO
La presente disposizione organizzativa illustra l’Information Security Management System di Naitec in linea con le necessità, gli obiettivi, i requisiti di sicurezza, le strutture organizzative e le principali contromisure adottate da Naitec in materia di sicurezza delle informazioni al fine di:
- - assicurare la sicurezza delle informazioni e dei sistemi informatici utilizzati per il trattamento delle stesse;
- - assicurare il rispetto delle linee di indirizzo del management in materia di gestione dei rischi e di protezione delle informazioni;
- - assicurare la protezione logica e fisica delle informazioni aziendali;
- - assicurare l'attuazione dei controlli di sicurezza nei servizi cloud erogati e la protezione dei dati personali nel cloud, nel rispetto dei principi fissati all'articolo 5 del Regolamento (UE) 2016/679
- - fornire gli indirizzi organizzativi per la gestione della sicurezza delle informazioni aziendale in conformità alle leggi, ai regolamenti interni e ai requisiti contrattuali inerenti l’Information Security.
1.2 SICUREZZA DELLE INFORMAZIONI
Per sicurezza delle informazioni si intende il soddisfacimento dei seguenti requisiti:
- - Riservatezza: Servizi e Informazioni devono essere protetti per evitarne gli accessi non autorizzati;
- - Integrità: Servizi e Informazioni devono essere corretti, completi e protetti da abusi, e da modiche non autorizzate;
- - Disponibilità: Servizi e Informazioni devono essere accessibili dagli utenti quando richiesto, in linea con i livelli di sicurezza definiti.
Questi requisiti vengono perseguiti in ogni fase del ciclo di vita dell’informazione.
2. ISMS AMBITO
L’ambito di applicazione del Sistema di Gestione della Sicurezza delle Informazioni e delle indicazioni riportate nel presente documento si estende a tutta Naitec ovvero alla:
Progettazione, sviluppo, assistenza e manutenzione di soluzione informatiche; erogazione di servizi in cloud.
3. MANAGEMENT IMPEGNO
Naitec, mediante il proprio management, considera la protezione del proprio patrimonio informativo assolutamente strategica, nonché fattore critico di successo del business aziendale, e fattore abilitante di una efficiente e necessaria condivisione delle informazioni.
A tal fine, il management di Naitec intende adottare tutte le necessarie misure al fine di garantire:
- - l’attribuzione di aggiornate responsabilità di sicurezza;
- - la protezione degli asset informativi in modo commisurato al loro valore e in funzione dei risultati dell’analisi dei rischi;
- - una continua promozione di comprensione e armonizzazione con leggi e regolamenti generali e specifici per le proprie attività;
- - La progettazione, lo sviluppo e l’erogazione di servizi in rispetto dei requisiti di sicurezza e dei requisiti contrattuali sottoscritti;
- - la progettazione, lo sviluppo di soluzioni informatiche in rispetto dei requisiti di sicurezza;
- - la formazione adeguata del personale sul tema della sicurezza in funzione dei ruoli e delle responsabilità di sicurezza ad esso assegnate;
- - il miglioramento continuo del Sistema di Gestione non soltanto attraverso un’adeguata azione di controllo e governo, ma anche per mezzo di attività volte al raggiungimento di una maggiore efficienza;
- - l’adeguata gestione, attraverso specifiche procedure, dei possibili incidenti di sicurezza dell’informazione al fine di mitigarne l’impatto e ridurre al minimo i danni diretti ed indiretti alla operatività aziendale;
- - l'adeguata selezione di provider cloud sulla base delle garanzie di sicurezza previste per la protezione delle informazioni.
4. RESPONSABILITA' DEI DIPENDENTI, DEI COLLABORATORI E DELLE TERZE PARTI
Tutti i dipendenti di Naitec, i collaboratori e le terze parti sono tenuti a seguire tutte le istruzioni riguardanti il corretto comportamento da tenere nell’attività svolta e nella gestione delle operazioni assegnate.
In particolare è compito di ciascuno:
- - Fare riferimento a tutte le informazioni disponibili sul Regolamento sull’uso dei dispositivi informatici o ad eventuali vincoli contrattuali specifici, assicurando la protezione degli asset assegnati con un corretto utilizzo, mantenendo piena consapevolezza e comprensione delle regole e delle procedure per la protezione dei beni e dei dati aziendali
- - Assicurare adeguata classificazione e controllo di tutte le informazioni di proprietà Naitec delle quali è responsabile;
- - Essere consapevoli riguardo le norme di Sicurezza riferendo tempestivamente gli incidenti in caso di infrazione o sospetta attività.
E' inoltre compito del personale coinvolto nell'erogazione dei servizi cloud mantenere nel tempo una adeguata consapevolezza sugli aspetti di sicurezza del cloud e delle relative minacce.
5. CONFORMITA' E VIOLAZIONI
La conformità alle politiche del presente documento è obbligatoria: ciascun destinatario deve conoscere il proprio ruolo e le proprie responsabilità relativamente alla protezione degli asset informativi.
Qualsiasi violazione dei principi espressi in questo documento dovrà essere oggetto di valutazione del CISO, in modo che possa intraprendere tutte le azioni necessarie per minimizzarne l’impatto e ridurre la probabilità di reiterazione.