Politica di sicurezza delle informazioni

La Politica di Sicurezza delle Informazioni stabilisce le basi per la protezione delle informazioni, facilitando le decisioni di gestione della sicurezza e indirizzando gli obiettivi che stabiliscono, promuovono e garantiscono i migliori controlli di sicurezza delle informazioni. La politica copre tutte le informazioni e i sistemi informativi, comprese le informazioni e i sistemi informativi utilizzati, gestiti o operati da un'azienda su questo sito web. La Politica di Sicurezza delle Informazioni protegge la riservatezza, l'integrità e la disponibilità dei dati, la classificazione e la gestione delle informazioni e la gestione delle violazioni di questa Politica.

La Politica di Sicurezza delle Informazioni fornisce un insieme integrato di misure di protezione che devono essere applicate uniformemente in tutto il nostro sito web per garantire un ambiente operativo sicuro per le sue operazioni.

SCOPO

La Gestione della Sicurezza delle Informazioni consiste nella selezione ragionevole e nell'attuazione efficace di controlli appropriati per proteggere le risorse informative critiche dell'organizzazione. I controlli e i processi di gestione, insieme al successivo monitoraggio della loro adeguatezza ed efficacia, formano i due elementi principali del Programma di Sicurezza delle Informazioni. I tre obiettivi della sicurezza delle informazioni comprendono:

• Riservatezza: Proteggere le informazioni sensibili dalla divulgazione a persone o sistemi non autorizzati;
• Integrità: Salvaguardia dell'accuratezza, della completezza e della tempestività delle informazioni;
• Disponibilità: Garantire che le informazioni e i servizi vitali siano accessibili agli utenti autorizzati quando richiesto.

AMBITO DI APPLICAZIONE

Questa politica si applica a tutti i dipendenti, appaltatori, partner, stagisti/tirocinanti che lavorano nella nostra Compagnia. Anche i fornitori di servizi di terze parti che forniscono servizi di hosting o in cui i dati sono conservati al di fuori dei locali della Compagnia devono rispettare questa politica.

L'ambito di applicazione della presente Politica di Sicurezza delle Informazioni è costituito dalle informazioni archiviate, comunicate ed elaborate all'interno della nostra compagnia e dai dati aziendali in sedi esterne.

OBIETTIVO

L'obiettivo della Politica di Sicurezza delle Informazioni è quello di fornire alla nostra compagnia un approccio alla gestione dei rischi informatici e direttive per la protezione del patrimonio informativo a tutte le unità e a coloro che hanno stipulato un contratto per la fornitura di servizi.

CLASSIFICAZIONE DEL PATRIMONIO INFORMATIVO 

Il patrimonio informativo dell'azienda è classificato in quattro categorie: Pubblico, Interno, Confidenziale e Riservato. Tutte le maggiori risorse informative devono avere un proprietario designato, responsabile di stabilire procedure di autenticazione e autorizzazione commisurate a queste categorie, tenendo presente che:

1. Le informazioni pubbliche possono essere generalmente rese disponibili o distribuite al pubblico. Queste informazioni non necessitano di protezione e, se utilizzate come previsto, hanno un effetto negativo minimo o nullo sulle operazioni, sui beni o sulla reputazione della compagnia.
2. Le informazioni confidenziali sono destinate esclusivamente all'uso interno e l'accesso è consentito solo al personale che ne ha bisogno nell'esercizio delle proprie funzioni aziendali (le informazioni riservate comprendono le informazioni protette dalla legislazione Statale o dagli obblighi contrattuali dell'azienda) e richiedono protezioni per la privacy e la sicurezza.
3. Informazioni riservate che devono essere strettamente confidenziali e il cui accesso deve essere strettamente “necessario”. Tra gli esempi vi sono le informazioni che riguardano gli interessi nazionali e/o la sicurezza nazionale.

Tutto il personale deve essere consapevole delle proprie responsabilità legali e aziendali per quanto riguarda l'uso, la condivisione o la divulgazione inappropriata di informazioni a terze parti. Qualsiasi terza parte che riceva informazioni riservate o confidenziali deve essere autorizzata a farlo e tale persona o la sua organizzazione deve aver adottato misure di sicurezza delle informazioni che garantiscano la riservatezza e l'integrità di tali dati.

Le informazioni riservate devono essere protette per impedire l'accesso o l'esposizione non autorizzati.

Le informazioni riservate hanno il più alto livello di sensibilità e rappresentano il rischio maggiore per l'azienda, lo Stato e i singoli individui nel caso in cui tali informazioni siano accessibili o esposte a parti non autorizzate. Pertanto, i dipendenti dell'azienda che trattano Informazioni Riservate o che utilizzano sistemi che depositano, trasmettono o manipolano informazioni riservate sono tenuti a mantenere la riservatezza, l'integrità e la disponibilità di tali informazioni/dati in ogni momento.

CONDUZIONE DELLA SICUREZZA DELLE INFORMAZIONI

La conduzione della sicurezza delle informazioni consiste nella leadership, nelle strutture organizzative e nei processi che proteggono le informazioni e nella mitigazione delle crescenti minacce alla sicurezza delle informazioni. 

I risultati critici della conduzione della sicurezza delle informazioni includono:

• Allineamento della sicurezza delle informazioni con la strategia aziendale per supportare gli obiettivi organizzativi
• Gestione e mitigazione dei rischi e riduzione di potenziali impatti sulle risorse informative a un livello accettabile.
• Gestione delle prestazioni della sicurezza delle informazioni attraverso la misurazione, il monitoraggio e il reporting delle metriche di conduzione della sicurezza delle informazioni per assicurarsi che gli obiettivi organizzativi vengano raggiunti
• Ottimizzazione degli investimenti in sicurezza delle informazioni a sostegno degli Obiettivi organizzativi. È importante considerare la necessità e i vantaggi organizzativi della conduzione della sicurezza delle informazioni.

RESPONSABILITA

Il Dipartimento di Marketing è responsabile del contenuto del sito web e garantisce che i materiali rispettino i requisiti e le politiche legali

Il Dipartimento IT è responsabile per la sicurezza, la funzionalità e le infrastrutture del sito web. Gli Amministratori di Sistema monitoreranno il nostro sito web per il tempo di risposta e risolveranno qualunque problema riscontrato. 

CONSAPEVOLEZZA E COMUNICAZIONE 

E’ essenziale che tutti gli aspetti della sicurezza delle informazioni, inclusi riservatezza, la privacy e le procedure relative all’accesso ai sistemi, siano incorporati nelle procedure formali di induzione del personale e comunicati al personale regolarmente.

All’inizio dell’impiego, il personale deve essere informato di non divulgare alcuna informazione a cui potrebbe avere accesso nel corso del loro impiego. Il personale deve inoltre essere informato che non deve cercare di accedere ai dati che non sono richiesti come parte dei loro normali doveri.