Politica di sicurezza delle informazioni

Campo di Applicazione

La presente politica definisce i principi e gli obiettivi strategici per la sicurezza delle informazioni in Deix. Il suo scopo è proteggere gli asset informativi aziendali per garantire la continuità del business, minimizzare i rischi e massimizzare le opportunità di crescita. Si applica a tutte le informazioni, i sistemi informativi, il personale e le terze parti che operano per conto dell'azienda, con un focus particolare sulle attività di progettazione e sviluppo di software e soluzioni per problemi decisionali.

Riferimenti Normativi

ISO 27001:2022: Requisiti per i sistemi di gestione della sicurezza delle informazioni.
ISO 27002:2022: Linee guida per i controlli di sicurezza delle informazioni.
Regolamento (UE) 2016/679 (GDPR): Protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Termini e Definizioni

Sicurezza delle Informazioni: La tutela della Riservatezza, Integrità e Disponibilità delle informazioni.
Riservatezza: La proprietà per cui le informazioni non vengono rese disponibili o divulgate a individui, entità o processi non autorizzati.
Integrità: La proprietà di salvaguardare l'accuratezza e la completezza delle informazioni e dei metodi di elaborazione.
Disponibilità: La proprietà di essere accessibile e utilizzabile su richiesta da un'entità autorizzata.

Ruoli e Responsabilità

CEO/Top Management: Approva la politica di sicurezza delle informazioni, assicura la disponibilità delle risorse necessarie per la sua attuazione e supervisiona l'efficacia del sistema di gestione, garantendo la conformità alle normative e la corretta gestione dei rischi.
Responsabile del sistema di gestione integrato (RSGI): Assicura l'implementazione, la comunicazione e il riesame della presente politica. Supervisiona l'adesione allo standard ISO 27001, coordina la valutazione dei rischi per la sicurezza delle informazioni e garantisce il mantenimento della conformità ai requisiti legali e contrattuali.
Dipendenti / Collaboratori / Terze parti:
- Comprendere e applicare la presente politica e i principi e le linee guida ivi contenute.
- Segnalare immediatamente qualsiasi anomalia o violazione della presente politica.

Obiettivi di sicurezza delle informazioni

Deix si impegna a proteggere i propri asset informativi per garantire la continuità del business, minimizzare i rischi e massimizzare le opportunità di crescita. Gli obiettivi strategici di sicurezza delle informazioni sono allineati con il contesto e gli indirizzi di business dell'organizzazione, con particolare riferimento alla progettazione e sviluppo di software e soluzioni per problemi decisionali. Gli obiettivi primari del Sistema di Gestione Integrato (SGI) sono volti a garantire:

Riservatezza: assicurare che le informazioni, inclusa la proprietà intellettuale, i dati dei clienti e i dati personali, siano accessibili solo al personale autorizzato. La protezione dei dati riservati da accessi non autorizzati è un obiettivo fondamentale.
Integrità: salvaguardare l'accuratezza e la completezza delle informazioni e dei metodi di elaborazione, proteggendole da modifiche non autorizzate o accidentali.
Disponibilità: garantire che le informazioni e le risorse associate siano accessibili e utilizzabili dal personale autorizzato quando necessario, per assicurare la continuità operativa e l'erogazione dei servizi ai clienti.

Il Top Management approva e sostiene questi obiettivi, assicurando la disponibilità delle risorse necessarie per il loro raggiungimento. La definizione, la pianificazione e il monitoraggio degli obiettivi specifici e misurabili sono gestiti in conformità con la procedura "PRO Obiettivi e pianificazione per il loro raggiungimento".

Principi fondamentali di sicurezza delle informazioni

Tutto il personale di Deix e le parti terze che operano per conto dell'azienda sono tenuti a rispettare i seguenti principi fondamentali per la protezione degli asset informativi.

Gestione e Revisione della Politica La presente politica è il documento di riferimento per la sicurezza delle informazioni in Deix. Il Top Management ha la responsabilità di approvarla. Il Responsabile del sistema di gestione integrato (RSGI) deve assicurare che sia comunicata a tutto il personale e alle parti interessate rilevanti, e che venga riesaminata a intervalli pianificati, o a seguito di cambiamenti significativi.
Responsabilità Condivisa La sicurezza delle informazioni è una responsabilità di tutto il personale. Ogni individuo è tenuto a proteggere le informazioni a cui ha accesso nell'esercizio delle proprie mansioni. I ruoli e le responsabilità specifiche sono definiti nella "POL Politica dei ruoli e delle responsabilità in materia di sicurezza delle informazioni" e integrati nel mansionario aziendale.
Approccio Basato sul Rischio Le decisioni in materia di sicurezza delle informazioni e l'implementazione dei controlli sono basate su un processo continuo di valutazione del rischio, volto a identificare, analizzare e trattare le minacce agli asset informativi.
Conformità Deix si impegna a rispettare tutti i requisiti legali, normativi e contrattuali applicabili in materia di sicurezza delle informazioni e protezione dei dati. Il Responsabile del sistema di gestione integrato (RSGI) supervisiona il mantenimento della conformità.
Uso Accettabile delle Risorse Le informazioni e le risorse aziendali, inclusi sistemi, software e reti, devono essere utilizzate esclusivamente per scopi lavorativi autorizzati.
Segnalazione degli Eventi di Sicurezza Tutto il personale ha l'obbligo di segnalare tempestivamente qualsiasi evento di sicurezza delle informazioni osservato o sospetto, nonché ogni potenziale vulnerabilità. I canali e le modalità di segnalazione sono stabiliti nella "PRO Procedura di gestione degli incidenti di sicurezza delle informazioni".
Principio della Scrivania e dello Schermo Puliti Il personale deve adottare il principio della "scrivania pulita" e dello "schermo pulito" per ridurre il rischio di accessi non autorizzati, perdita o danneggiamento delle informazioni durante e al di fuori dell'orario di lavoro. Questo include la custodia sicura di documenti cartacei e supporti di memorizzazione rimovibili e l'attivazione del blocco automatico dello schermo sui dispositivi informatici lasciati incustoditi.
Sicurezza degli Asset Fuori Sede La protezione degli asset informativi deve essere garantita anche quando questi sono utilizzati al di fuori delle sedi aziendali, come nel caso del lavoro da remoto. Le medesime politiche e procedure di sicurezza si applicano a tutti gli asset, indipendentemente dalla loro ubicazione, come specificato nella "POL Politica di sicurezza operativa".

Archiviazione e Aggiornamento

Il presente documento è gestito in formato controllato all'interno del sistema di gestione documentale aziendale. Viene riesaminato con cadenza almeno annuale e ogni qualvolta si verifichino cambiamenti organizzativi, tecnologici o normativi significativi che ne impattino il contenuto. Le revisioni sono a cura del Responsabile del sistema di gestione integrato (RSGI) e approvate dal Top Management.

Documenti di Riferimento

Codice di condotta
POL Politica dei ruoli e delle responsabilità in materia di sicurezza delle informazioni
POL Politica del sistema di gestione
POL Politica di classificazione ed etichettatura delle informazioni
POL Politica di sicurezza operativa