Politica per la Sicurezza delle informazioni
(M 01 rev. 1 del 25/10/2024)
Nell’ambito dell’implementazione del proprio sistema di gestione della sicurezza delle informazioni, reso conforme alla norma UNI CEI EN ISO/IEC 27001:2024 ed in considerazione dell’importanza strategica che lo stesso riveste per il business dell’Azienda, la Direzione di Punto EXE S.r.l., si è dotata di una politica di sicurezza adeguata.
Punto EXE S.r.l. è consapevole che la gestione della sicurezza delle informazioni è un processo culturale complesso che coinvolge le risorse umane assegnate a tutte le unità organizzative all’interno del perimetro di certificazione definito nel manuale.
Punto EXE S.r.l. crede che la qualità dei propri servizi (intesa come capacità di soddisfacimento di bisogni associati) e la sicurezza delle informazioni, siano la risultante di un insieme di elementi scientifici, tecnologici, organizzativi, procedurali, relazionali e di comunicazione, in cui un ruolo determinante è svolto dalle variabili umane che interagiscono fortemente nei processi produttivi e che si traduce in un impegno costante verso la centralità dell’utenza e il miglioramento dei propri servizi.
Inoltre come previsto dal nuovo Regolamento Europeo sulla Privacy n. 679/2016 (di seguito, anche “GDPR”), il nuovo principio cardine quando si approccia al trattamento della Privacy e della sicurezza dell’informazioni, è quello dell’Accountability, cioè della responsabilità attiva in termini di trattamento dei dati, passaggio obbligatorio quindi è sicuramente quello della promozione e dello sviluppo di un ambiente consapevole e attento al tema della gestione delle informazioni.
Obiettivi di Punto EXE S.r.l. nell’adempimento della propria missione sono:
-
- mantenere la centralità della figura del cliente (utente e committente) che è il principio guida sul quale è stato sviluppato il sistema di gestione aziendale che desidera dimostrare questo impegno ai propri dipendenti, clienti, fornitori e atre parti interessate, mediante la definizione della propria politica;
-
- garantire un adeguato livello di sicurezza dei dati e delle informazioni nell’ambito della progettazione, sviluppo ed erogazione dei prodotti e servizi, attraverso l’identificazione, la valutazione e il trattamento dei rischi ai quali i servizi stessi sono soggetti
-
- garantire al personale ed ai collaboratori una adeguata conoscenza e grado di consapevolezza dei problemi connessi con la sicurezza dell’informazione, al fine di acquisire sufficiente coscienza delle loro responsabilità in merito al suo trattamento;
-
- accertare che tutti i fornitori esterni abbiano consapevolezza dei problemi di sicurezza delle informazioni di Punto EXE S.r.l. e rispettino la politica di sicurezza adottata;
-
- stabilire delle linee guida per l’applicazione di standard, procedure e sistemi per realizzare il sistema di gestione della sicurezza dell’informazione (SGSI);
-
- adottare la norma UNI CEI EN ISO-IEC 27001-2024, come standard per l’implementazione del sistema di gestione della sicurezza dell’informazione e perseguirne la conformità;
-
- garantire che tutto il personale di Punto EXE S.r.l. abbia consapevolezza delle regole tecniche ed organizzative nell’utilizzo dei sistemi informativi aziendali;
-
- garantire che tutto il personale sia informato della responsabilità nella gestione delle informazioni;
-
- utilizzare risorse e tecnologie adeguate, che garantiscano il risultato delle prestazioni;
-
- garantire le condizioni di sicurezza in ogni tipologia di attività o fase di trattamento dei dati personali e sensibili.
Per realizzare tali obiettivi ed intenti, Punto EXE S.r.l. garantire si impegna:
-
- a sviluppare, mantenere, controllare e migliorare in modo costante il sistema di gestione della sicurezza delle informazioni (nel seguito indicato come SGSI), in conformità alla norma UNI CEI EN ISO-IEC 27001-2024 in grado di soddisfare i requisiti dichiarati e migliorare in continuo l’efficacia, l’affidabilità e la disponibilità dei servizi IT erogati e dei processi primari e accessori;
-
- alla redazione, aggiornamento e controllo di piani di sviluppo affinché le infrastrutture ed i servizi IT siano di supporto alle attività di business, adottando opportune politiche di sicurezza;
-
- alla conservazione sicura delle informazioni gestite;
-
- all’adeguata definizione del contenuto tecnico dei servizi forniti (specifiche di servizio) che trova riscontro in una serie di riferimenti normativi specialistici fra i quali protocolli informatici e documentazione tecnico-scientifica;
-
- alla qualificazione e competenza del personale addetto;
-
- alla corretta esecuzione delle attività di indagine, analisi (anche sperimentale) progettazione e assistenza, presupposti essenziali per la validità dei servizi erogati, assicurata dalla competenza e affidabilità del personale, secondo protocolli validati e riconosciuti e, in subordine, alla conformità del sistema alla norma UNI CEI EN ISO-IEC 27001-2024;
-
- a fornire un quadro strutturale per stabilire e riesaminare gli obiettivi per la sicurezza delle informazioni;
-
- a diffondere i principi ed i valori dichiarati nella politica aziendale dall’organizzazione e a rendere attiva ed efficace la comunicazione da e verso le diverse parti interessate affinché sia compresa e partecipata;
-
- all’osservanza di norme e leggi che regolamentano i servizi ed il trattamento dei relativi dati e mantenere sotto controllo la sicurezza del complesso delle registrazioni e delle informazioni gestite;
-
- a riesaminare periodicamente la propria politica ed obiettivi ogni qual volta ve ne sia l’esigenza, a seguito dell’attuazione di modifiche che la influenzano, per accertarne la continua idoneità e rendere effettivo il proprio impegno al miglioramento.
La Direzione verificherà periodicamente l’efficacia e l’efficienza del Sistema di Governo per la Sicurezza del Informazioni, garantendo l’adeguato supporto per l’adozione delle necessarie migliorie al fine di consentire l’attivazione di un processo continuo, che deve tenere sotto controllo il variare delle condizioni al contorno o de obiettivi di business aziendali al fine di garantire il suo corretto adeguamento.
Campobasso, 25/09/2024 Approvato dalla Direzione