Politica per la Sicurezza delle Informazioni

La sicurezza delle informazioni è un tema di estrema rilevanza per qualsiasi organizzazione ed in particolare per società come Italsicurezza S.r.l. che oltre a gestire informazioni vitali per il proprio business, viene spesso a contatto con informazioni e dati dei propri clienti.
 
Per questo motivo la Direzione ha ritenuto opportuno definire una politica per la gestione delle informazioni da diffondere a tutto il personale interno nonché a soggetti esterni che, interagendo con Italsicurezza S.r.l., possono venirne in possesso.
Lo scopo della presente politica è quello di definire:
  •  gli obiettivi generali; 
  •  i principi di azione;
al fine di proteggere, da tutte le minacce, interne o esterne, intenzionali o accidentali, le informazioni che costituiscono il patrimonio informativo di Italsicurezza S.r.l., nonché le informazioni dei propri clienti che sono gestite nel ciclo di vita dei prodotti e servizi forniti.
 
La politica si applica alle attività di progettazione, commercializzazione, installazione, manutenzione e assistenza di sistemi antintrusione, sistemi di videosorveglianza, sistemi di gestione accessi, impianti rilevazione incendio e presidi antincendio.
 
Consapevole del fatto che le proprie attività di progettazione, installazione e manutenzione per soggetti esterni possono comportare l’affidamento di dati e informazioni critiche, Italsicurezza S.r.l. opera secondo le normative di sicurezza internazionalmente riconosciute.
 
Su tale linea Italsicurezza S.r.l. ha deciso di porre in essere un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) conforme ai requisiti della norma internazionale ISO/IEC 27001.
 
La Direzione ha stabilito i seguenti obiettivi per la Sicurezza delle Informazioni:
  • stabilire ed attuare un Sistema di Gestione per la Sicurezza delle Informazioni sulla base della norma ISO/IEC 27001; 
  • garantire un appropriato livello di sicurezza delle informazioni per tutta la durata dei rapporti commerciali con la propria clientela, attraverso l’identificazione, la valutazione ed il trattamento dei rischi ai quali le informazioni sono soggette; 
  • assicurare la continuità dei processi di business aziendali e dei servizi erogati ai propri Clienti; 
  • prevenire gli incidenti della sicurezza delle informazioni e minimizzarne gli impatti, salvaguardando gli interessi aziendali e delle altre parti interessate; 
  • assicurare la conformità alla normativa cogente applicabile; 
  • aumentare, nel proprio personale, il livello di consapevolezza e la competenza sui temi della sicurezza delle informazioni; 
  • salvaguardare l’immagine aziendale percepita dai clienti, quale fornitore affidabile e competente; 
  • identificare opportunità di miglioramento finalizzate ad aumentare l’efficacia e l’efficienza del sistema di gestione e dei suoi processi. 
  • Per ognuno di questi obiettivi sono stabiliti annualmente precisi traguardi a supporto e conferma del miglioramento continuo. 

Per raggiungere i suddetti obiettivi Italsicurezza S.r.l. ha definito i seguenti principi:
  • l’informazione è un bene (asset) di vitale importanza per l’organizzazione e va tutelato attraverso efficaci mezzi di protezione e controllo che ne garantiscano la riservatezza, l’integrità e la disponibilità; 
  • le informazioni di proprietà dei clienti affidati a Italsicurezza S.r.l. a qualsiasi titolo, devono essere protette come se fossero proprie e comunque nel rispetto degli accordi contrattuali eventualmente stabiliti; 
  • le leggi e i regolamenti cogenti in materia di protezione delle informazioni stabiliti dalle autorità competenti costituiscono i requisiti di massima priorità nella realizzazione di prodotti e servizi e nell’agire quotidiano; 
  • il controllo messo in atto per garantire la sicurezza delle informazioni deve essere determinato attraverso un rigoroso e continuo processo di gestione dei rischi; 
  • la formazione/informazione sulle tematiche della sicurezza delle informazioni e sui processi aziendali messi in atto per garantirla deve essere assicurata al personale aziendale; 
  • il sistema di gestione della sicurezza delle informazioni deve basarsi su modelli e best practice riconosciute a livello internazionale ed essere orientato al miglioramento continuo.  
 
Al fine di assicurare il rispetto dei principi sopra elencati e il conseguimento degli obiettivi sono stati definiti i seguenti indirizzi generali per la gestione dei rischi relativi alla sicurezza delle informazioni:
  • la protezione delle informazioni deve essere garantita da un’applicazione sistematica di controlli appropriati all’importanza dell’informazione da proteggere; 
  • i controlli devono essere determinati attraverso un processo di gestione del rischio progettato e attuato sulla base di normative internazionali (ISO 31000 e ISO/IEC 27005); 
  • l’efficacia dei controlli deve essere monitorata costantemente al fine di identificare opportunità di miglioramento; 
  • gli stakeholder interni ed esterni devono essere messi a conoscenza dell’efficacia del processo complessivo di gestione del rischio e consultati all’occorrenza nei momenti decisionali; 
  • le decisioni relative ai trattamenti dei rischi devono essere affidate a personale con appropriata autorità, competenza e responsabilità che deve decidere sulla base di un’accurata ponderazione dei rischi; 
  • i rischi residui risultanti dalla fase di ponderazione del rischio devono essere conformi ai criteri di rischio definiti dalla Direzione e, in ogni caso essere in piena conformità a leggi e regolamenti applicabili; 
  • eventuali incidenti relativi alla sicurezza delle informazioni devono essere risolti con tempestività e devono alimentare un processo di rivalutazione dei rischi; 
  • l’identificazione e l’analisi dei potenziali rischi deve basarsi su dati storici interni all’organizzazione, su informazioni provenienti da organizzazioni specifiche nell’ambito sicurezza delle informazioni e letteratura specialistica di settore.

Italsicurezza S.r.l. ha definito, approvato, pubblicato e comunicato al personale dell’azienda e alle altre parti interessate le politiche in materia di sicurezza delle informazioni; tali politiche sono a disposizione delle parti interessate.
Inoltre, Italsicurezza S.r.l. monitora periodicamente il SGSI e redige documentazione specifica con evidenza delle performance, del livello di conformità agli standard, alla legislazione, alla regolamentazione e alla normativa contrattuale e operativa.
La presente politica è soggetta a revisioni su base periodica e/o in caso di cambiamenti significativi riguardanti la sicurezza delle informazioni, al fine di garantirne l’idoneità, l’adeguatezza e l’efficienza.



Italsicurezza S.r.l.
La Direzione