Motivazione
Opticon Data Solutions S.r.l. è una società che opera nel settore Legal Tech con lo scopo di supportare le aziende nei processi di digitalizzazione e monitoraggio della compliance in materia di Governance e Data Protection.
Data la natura della propria attività, Opticon Data Solutions considera la sicurezza delle informazioni un fattore primario per la protezione del proprio patrimonio informativo e un fattore di valenza strategica facilmente trasformabile in vantaggio competitivo.
La società pone particolare attenzione ai temi riguardanti la sicurezza durante il ciclo di vita di progettazione e sviluppo dei propri servizi, che devono essere ritenuti un bene patrimonio dell’azienda.
Il SGSI (Sistema di Gestione Sicurezza delle Informazioni) si applica a tutte le attività connesse allo sviluppo di soluzioni in Cloud a supporto della Governance e della Data Protection, ivi compresa l’analisi, la progettazione e produzione dei tool ed ai dati ad essi collegati archiviati all’interno dei data center di Opticon Data Solutions.
Consapevoli del fatto che i propri servizi per soggetti esterni possono comportare l’affidamento di dati e informazioni critiche, l’unità organizzativa tecnica opera secondo normative di sicurezza internazionalmente riconosciute.
Si ritiene necessario condividere la presente “Politica per la Sicurezza delle Informazioni” con tutti i fornitori, collaboratori, partner, e qualsiasi soggetto esterno a Opticon Data Solutions, che potrebbero avere impatti significativi sulla Sicurezza delle informazioni societarie, al fine di richiedere e mettere in atto, ove necessario, azioni volte a mitigare i rischi e incrementare il livello di Sicurezza delle Informazioni.
Per tali motivi vengono adottate le misure, sia tecniche che organizzative, necessarie a garantire al meglio l’integrità, la riservatezza e la disponibilità sia del patrimonio informativo interno sia di quello affidato dai propri Clienti.
Su tali basi Opticon Data Solutions ha deciso di porre in essere un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) definito secondo regole e criteri previsti dalle “Best Practice” e dagli Standard internazionali di riferimento in conformità alle indicazioni della norma internazionale ISO/IEC 27001:2013.
Scopo e campo di applicazione
L’obiettivo del Sistema di Gestione per la Sicurezza delle Informazioni di Opticon Data Solutions sono l’erogazione di servizi in Cloud a supporto della governance e della compliance in materia di Data Protection oltre quello di garantire un adeguato livello di sicurezza dei dati e delle informazioni nell’ambito della progettazione, dello sviluppo ed erogazione dei servizi in Cloud a supporto della governance e della compliance in materia di Data Protection attraverso l’identificazione, la valutazione e il trattamento dei rischi ai quali i servizi stessi sono soggetti.
Il Sistema di Gestione per la Sicurezza per le Informazioni di Opticon Data Solutions definisce un insieme di misure organizzative, tecniche e procedurali a garanzia del soddisfacimento dei sottoelencati requisiti di sicurezza di base:
Riservatezza: l’informazione deve essere nota solo a chi dispone di opportuni privilegi;
Integrità: l’informazione deve essere modificabile solo ed esclusivamente da chi ne possiede i privilegi;
Disponibilità: l’informazione deve essere accessibile e utilizzabile quando richiesto dai processi e dagli utenti che dispongono dei relativi privilegi.
Inoltre, con la presente politica Opticon Data Solutions intende formalizzare i seguenti obiettivi nell’ambito della sicurezza delle informazioni:
– preservare al meglio l’immagine dell’azienda quale fornitore affidabile e competente;
– proteggere al meglio il patrimonio informativo proprio e dei propri clienti;
– operare con regole definite per mantenere una adeguata sicurezza delle informazioni gestite dalla società con i propri sistemi Hardware e Software;
– realizzare il miglioramento continuo dei processi aziendali, incrementando l’efficienza ed il valore aggiunto delle singole attività, attraverso un continuo mantenimento di un dinamico Sistema di Gestione della sicurezza delle informazioni coerente con il modello di gestione aziendale definito nella norma ISO/IEC 27001:2013;
– ottimizzare i processi di consegna dell’output documentale derivante dalla consulenza a clienti, nel rispetto di regole che garantiscano la corretta gestione di dati e informazioni nei confronti dei clienti e di altre parti interessate;
– adottare le misure atte a garantire la fidelizzazione del personale e la sua professionalità;
– rispondere pienamente alle indicazioni della normativa vigente e cogente;
– aumentare, nel proprio personale, il livello di sensibilità e la competenza su temi di sicurezza;
aumentare il livello di consapevolezza dei propri fornitori / collaboratori / partner che possono avere impatti sulla sicurezza delle informazioni;
– migliorare la sicurezza del sistema messo in atto da Opticon Data Solutions S.r.l
Contenuto della politica
– Il SGSI si applica all’erogazione servizi in Cloud a supporto della governance e della compliance in materia di Data Protection e ai dati ad essi collegati.
Tutte le informazioni, che vengono create / utilizzate dall’azienda sono da salvaguardare e devono essere protette, secondo la classificazione attribuita, dalla loro creazione, durante il loro utilizzo, fino alla loro eliminazione. Le informazioni devono essere gestite in modo sicuro, accurato e affidabile, e devono essere prontamente disponibili per gli usi consentiti.
È qui da intendersi con “utilizzo dell’informazione” qualsiasi forma di trattamento che si avvalga di supporti elettronici, cartacei o consenta, in una qualsiasi forma, la comunicazione verbale.
Relativamente all’ambito dell’attività di consulenza, tale sistema prevede – in conformità alla norma ISO/IEC 27001:2013 – che il Responsabile per la Sicurezza delle Informazioni svolga periodicamente un’analisi dei rischi che tenga in considerazione gli obiettivi strategici espressi nella presente politica, degli incidenti occorsi durante tale periodo e dei cambiamenti strategici, di business e tecnologici avvenuti; l’analisi dei rischi ha lo scopo di valutare il rischio associato ad ogni asset da proteggere rispetto alle minacce individuate.
La Direzione condivide con il Responsabile della Sicurezza delle Informazioni la metodologia da impiegare per la valutazione del rischio, approvando il relativo documento; nella redazione della
metodologia la Direzione partecipa anche alla definizione delle scale di valore da impiegare per valorizzare i parametri che concorrono alla valutazione del rischio.
In seguito all’elaborazione dell’analisi dei rischi da parte del Responsabile per la Sicurezza delle Informazioni ed in base alla metodologia condivisa con la Direzione, la Direzione stessa valuta i risultati ottenuti accogliendo la soglia di rischio accettabile, il trattamento di mitigazione dei rischi oltre tale soglia e il rischio residuo in seguito al trattamento.
Tale analisi sarà ponderata anche rispetto al valore di business dei singoli beni da proteggere e dovrà identificare chiaramente le azioni da intraprendere che saranno classificate secondo una scala di priorità che rispetti gli obiettivi aziendali, il budget a disposizione e la necessità di mantenere la conformità alle norme e leggi vigenti.
Detta analisi dovrà essere effettuata anche a fronte di eventi che possano modificare il profilo di rischio complessivo del sistema.
Responsabilità
Tutto il personale che, a qualsiasi titolo, collabora con l’azienda è responsabile dell’osservanza di questa policy e della segnalazione di anomalie, anche non formalmente codificate, di cui dovesse venire a conoscenza.
La Direzione ed il Responsabile del Sistema per la Gestione della Sicurezza delle Informazioni nominato, con l’eventuale supporto del DPO interno nominato, hanno il compito di fissare gli obiettivi, assicurare un indirizzamento chiaro e condiviso con le strategie aziendali e un supporto visibile alle iniziative di sicurezza. Promuove la sicurezza garantendo la congruità dei singoli budget destinati alla sicurezza, coerentemente con le politiche e le linee strategiche aziendali definite.
Il responsabile della sicurezza delle informazioni si occupa della progettazione del Sistema di Gestione della Sicurezza delle Informazioni ed in particolare di:
– emanare tutte le norme necessarie ivi inclusa la tipologia di classificazione dei documenti affinché l’organizzazione aziendale possa condurre, in modo sicuro, le proprie attività;
– adottare criteri e metodologie per l’analisi e la gestione del rischio;
– suggerire le misure di sicurezza organizzative, procedurali e tecnologiche a tutela della sicurezza e continuità delle attività di Opticon Data Solutions S.r.l.;
– pianificare un percorso formativo, specifico e periodico in materia di sicurezza per il personale;
– controllare periodicamente l’esposizione dei servizi aziendali alle principali minacce;
– verificare gli incidenti di sicurezza e adottare le opportune contromisure;
– promuovere la cultura relativa alla sicurezza delle informazioni;
– coinvolgere, ove necessario, attivamente i fornitori / collaboratori / partner che possono avere impatti e interazioni con il Sistema di Gestione della sicurezza delle informazioni.
Tutti i soggetti esterni che intrattengono rapporti con Opticon Data Solutions devono garantire il rispetto dei requisiti di sicurezza esplicitati dalla presente politica di sicurezza, eventualmente anche attraverso la sottoscrizione di apposite clausole/accordi di riservatezza.
Applicabilità
La presente politica si applica indistintamente a tutti gli organi dell’Azienda. L’attuazione della presente politica è obbligatoria per tutto il personale ed i collaboratori di Opticon Data Solutions, e va inserita nell’ambito della regolamentazione degli accordi nei confronti di qualsiasi soggetto esterno che, a qualsiasi titolo, possa venire a conoscenza delle informazioni gestite in azienda. Opticon Data Solutions consente la comunicazione e la diffusione delle informazioni verso l’esterno solo per il corretto svolgimento delle attività aziendali che devono avvenire nel rispetto delle regole e delle norme cogenti.
Riesame
Opticon Data Solutions verificherà periodicamente l’efficacia e l’efficienza del Sistema di Gestione per la Sicurezza delle Informazioni, garantendo l’adeguato supporto per l’adozione delle necessarie migliorie al fine di consentire l’attivazione di un processo continuo, che tenga sotto controllo il variare delle condizioni al contorno o degli obiettivi di business aziendali al fine di garantire il suo corretto adeguamento.
Estratto dal Manuale SGSI – Rev. 03 del 10.10.2023.
La direzione di Opticon Data Solutions Srl.
© 2018-2024 Opticon Data Solutions S.r.l. – Tutti i diritti riservati. Piazza Risorgimento 7, 20129 Milano (MI) Iscr. Uff. Reg. Imp. di Milano n. 10580990967 – Capitale sociale 10.000 i.v. C.F. e P.IVA 10580990967