PREMESSA
L’Organizzazione riconosce l’importanza fondamentale della sicurezza delle informazioni come elemento essenziale per il raggiungimento dei propri obiettivi strategici, per la tutela del proprio patrimonio informativo e per garantire la continuità operativa.
La presente Politica per la Sicurezza delle Informazioni è stata sviluppata in conformità ai requisiti dello standard ISO/IEC 27001:2022 e costituisce il quadro di riferimento per l’implementazione, il mantenimento e il miglioramento continuo del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI).
SCOPO E CAMPO DI APPLICAZIONE
La presente Politica si applica a tutte le informazioni gestite dall’Organizzazione, indipendentemente dalla loro forma (cartacea, elettronica, verbale), e a tutti i processi, le attività e i servizi che coinvolgono tali informazioni.
La Politica si rivolge a tutto il personale interno, ai collaboratori esterni, ai fornitori e a tutte le parti interessate che, a qualsiasi titolo, hanno accesso alle informazioni dell’Organizzazione.
OBIETTIVI
Gli obiettivi fondamentali della Politica per la Sicurezza delle Informazioni sono:
- Garantire la riservatezza, l’integrità e la disponibilità delle informazioni
- Proteggere le informazioni da accessi non autorizzati
- Prevenire e gestire gli incidenti di sicurezza
- Garantire la continuità operativa in caso di eventi avversi
- Rispettare i requisiti legislativi, regolamentari e contrattuali applicabili
- Sviluppare una cultura della sicurezza delle informazioni all’interno dell’Organizzazione
- Migliorare continuamente l’efficacia del Sistema di Gestione per la Sicurezza delle Informazioni
PRINCIPI GUIDA
L’Organizzazione si impegna a:
- Valutazione dei rischi: Identificare, analizzare e valutare i rischi relativi alla sicurezza delle informazioni e implementare controlli adeguati per la loro mitigazione.
- Responsabilità: Definire e comunicare ruoli e responsabilità in materia di sicurezza delle informazioni.
- Formazione e consapevolezza: Garantire che tutto il personale sia adeguatamente formato e consapevole dei propri doveri e responsabilità in materia di sicurezza delle informazioni.
- Gestione degli incidenti: Stabilire procedure efficaci per la rilevazione, la segnalazione e la gestione degli incidenti di sicurezza.
- Continuità operativa: Implementare piani e procedure per garantire la continuità operativa in caso di eventi avversi.
- Conformità normativa: Rispettare tutte le leggi, i regolamenti e gli obblighi contrattuali applicabili in materia di sicurezza delle informazioni.
- Miglioramento continuo: Revisionare periodicamente il Sistema di Gestione per la Sicurezza delle Informazioni per garantirne l’efficacia e identificare opportunità di miglioramento.
RESPONSABILITÀ
La Direzione si impegna a:
- Fornire le risorse necessarie per l’implementazione, il mantenimento e il miglioramento del Sistema di Gestione per la Sicurezza delle Informazioni
- Promuovere una cultura della sicurezza delle informazioni all’interno dell’Organizzazione
- Revisionare periodicamente la presente Politica per garantirne l’adeguatezza e l’efficacia
Il Responsabile della Sicurezza delle Informazioni (CISO o equivalente):
- Supervisiona l’attuazione e il miglioramento delle misure di sicurezza.
Tutti i dipendenti, i collaboratori e le terze parti che hanno accesso alle informazioni dell’Organizzazione sono tenuti a:
- Rispettare la presente Politica e tutte le procedure di sicurezza delle informazioni
- Partecipare alle attività di formazione e sensibilizzazione
- Segnalare tempestivamente eventuali incidenti o violazioni di sicurezza
REVISIONE E AGGIORNAMENTO
La presente Politica sarà revisionata almeno annualmente o in caso di cambiamenti significativi nell’organizzazione, nei processi, nelle tecnologie o nel contesto normativo.
COMUNICAZIONE
La presente Politica è:
- Disponibile come informazione documentata
- Comunicata all’interno dell’Organizzazione
- Condivisa con le parti interessate rilevanti
- Pubblicata sulla intranet aziendale e sul sito web dell’Organizzazione
APPROVAZIONE
La presente Politica è stata approvata dalla Direzione in data 20/03/2025.
