Politica del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI)

L’organizzazione si adopera a perseguire la sicurezza delle informazioni:
• Utilizzando buone pratiche per proteggere le risorse informative dell’organizzazione da minacce alla sicurezza di informazioni interne o esterne, intenzionali o accidentali
• Allineando gestione della sicurezza delle informazioni con il contesto di gestione del rischio strategico dell’organizzazione
• Fissando obiettivi di sicurezza delle informazioni e stabilendo direttive e principi per l’azione
• Stabilendo criteri per la valutazione dei rischi e l’accettazione del rischio
Controllando l’accesso alle risorse informative, comprese le reti, in base alle esigenze di business e di sicurezza
• Proteggendo le informazioni e i supporti fisici in transito
• Proteggendo le informazioni associate con l’interconnessione dei sistemi informativi aziendali
• Applicando garanzie per la condivisione delle informazioni
• Garantendo la protezione dei beni dei clienti e le informazioni di loro proprietà residenti presso la sede dell’organizzazione
• Assicurando la conformità con i requisiti legali e con i principi legati alla sicurezza delle informazioni nei contratti con le terze parti
• Incoraggiando la consapevolezza delle problematiche relative alla sicurezza delle informazioni a tutto il personale e per tutta la durata del rapporto di lavoro
• Osservando la politica della scrivania pulita per documenti e supporti di memorizzazione rimovibili
• Osservando la politica dello schermo pulito per servizi di elaborazione delle informazioni
• Implementando adeguate misure di sicurezza al mobile computing e alle comunicazioni
• Utilizzando adeguati controlli crittografici per la protezione delle informazioni
• Garantendo protezione, durata e un uso corretto delle chiavi crittografiche attraverso il loro ciclo di vita
• Stabilendo regole per lo sviluppo di software e sistemi e l’applicazione di tali norme agli sviluppi all’interno dell’organizzazione
• Garantendo la protezione dei beni dell’organizzazione che sono accessibili dai fornitori
• Proibendo l’uso di software non autorizzato e rispettando le leggi sui diritti di proprietà intellettuale
• Proteggendo dati organizzativi e di tutela della privacy
• Gestendo in modo tempestivo gli incidenti relativi alla sicurezza delle informazioni
• Predisponendo copie di backup delle informazioni, del software e delle immagini di sistema e testandole regolarmente
• Predisponendo un piano di continuità che permetta di affrontare efficacemente un evento imprevisto garantendo il ripristino dei servizi secondo gli accordi contrattuali in essere
• Mantenendo registrazioni per un periodo adeguato prima di smaltirle con cura
• Applicando azioni disciplinari e scoraggiando l’uso improprio dei servizi di informazioni, dati, da parte del personale
• Garantendo il rispetto alle disposizioni di Legge, statuti, regolamenti o obblighi contrattuali e ogni requisito inerente la sicurezza delle informazioni, compresi i requisiti enunciati nella norma UNI CEI ISO/IEC 27001:2014, riducendo al minimo rischi di sanzioni, perdite di dati o danni alla reputazione
• Riesaminando l’efficacia del SGSI a intervalli regolari
• Migliorando continuamente il SGSI


Data documento: Savigliano (CN), 10/07/17