Politica di Sicurezza delle Informazioni
Per GPTW Institute Italia srl la sicurezza delle informazioni ha come obiettivo primario la protezione dei dati, delle informazioni e della struttura tecnologica, fisica e organizzativa. Sono pertanto fondamentali:
- la riservatezza, per assicurare che l’informazione sia accessibile solamente ai soggetti e/o ai processi debitamente autorizzati;
- l’integrità, per salvaguardare la consistenza dell’informazione da modifiche non autorizzate;
- la disponibilità per consentire, agli utenti autorizzati, di accedere alle informazioni di cui necessitano;
- il controllo, in modo da assicurare che la gestione dei dati avvenga sempre attraverso processi e strumenti sicuri e testati;
- l’autenticità, al fine di garantire una provenienza affidabile dell’informazione;
- la privacy, con riferimento alla protezione ed il controllo dei dati personali.
GPTW Institute Italia srl si impegna, mettendo a disposizione risorse umane, strumentali, ed economiche, a perseguire gli obiettivi di miglioramento continuo della sicurezza delle informazioni, come parte integrante della propria attività e come impegno strategico rispetto alle finalità più generali dell’azienda.
A questo scopo la Direzione prende in considerazione:
- i pericoli insiti nelle attività svolte ed i relativi rischi;
- leggi, regolamenti ed ogni altra prescrizione relativa al settore nel quale l’organizzazione opera;
- gli infortuni e gli incidenti occorsi nel passato;
- i bisogni, le esigenze ed i desideri delle parti interessate;
- l’implementazione, il monitoraggio ed il miglioramento continuo di un sistema che mira sempre al rischio residuo nella sicurezza delle informazioni;
- il tipo di risorse necessarie per ottenere gli obiettivi stabiliti;
- il tipo di coinvolgimento richiesto al personale, ai fornitori, agli appaltatori ed alle altre parti interessate.
La Direzione valuta la natura e la scala dei rischi della Sicurezza delle Informazioni, stabilendo ed impegnandosi a mantenere attivo e migliorare con continuità un Sistema di Gestione Sicurezza Integrato basato sui requisiti dello standard ISO 27001.
GPTW Institute Italia srl si impegna nei confronti dei propri clienti e di tutte le parti interessate a garantire:
- la piena conoscenza da parte di tutta l’organizzazione delle informazioni gestite e la valutazione della loro criticità, al fine di agevolare l’implementazione degli adeguati livelli di protezione;
- l’accesso sicuro alle informazioni, in modo da prevenire trattamenti non autorizzati o realizzati senza i diritti necessari;
- l’accesso fisico opportunamente controllato alle sedi ed ai singoli locali aziendali;
- l’adozione di procedure volte al rispetto di adeguati livelli di sicurezza nel trattamento delle informazioni in collaborazione con parti terze;
- la consapevolezza di tutte le parti coinvolte in merito alle problematiche relative alla sicurezza;
- l’adozione di efficienti sistemi di prevenzione, comunicazione e reazione per la gestione di eventuali anomalie e incidenti aventi ripercussioni sul sistema informativo e sui livelli di sicurezza aziendale;
- la conformità ai requisiti di legge ed il rispetto degli impegni di sicurezza stabiliti nei contratti con le terze parti;
- la business continuity aziendale e il disaster recovery, attraverso l’applicazione di procedure di sicurezza opportunamente stabilite.
La presente Politica:
- è comunicata a tutte le persone che lavorano per conto dell’organizzazione
- viene esposta in bacheca in luogo di passaggio visibile a tutto il personale;
- è disponibile alle parti interessate
- con riferimento, fra gli altri, ai clienti che ne facciano richiesta;
- è sottoposta a Riesame periodico almeno annuale
- con evidenza, sul documento, della data e della firma dell’RSGSI per conto dell’AD;
- è sottoposta, se del caso, a revisione al fine di:
- garantirne continuamente l’idoneità,
- aggiornare i riferimenti normativi,
- adeguarsi alle aspettative sociali ed ai cambiamenti organizzativi, di processo e di prodotti.
2 - In dettaglio
La politica di GPTW, nel dettaglio, è quella di avere implementato ed integrato nei processi aziendali un ciclo di Deming che garantisca la costante tensione al miglioramento del proprio sistema di gestione della sicurezza delle informazioni che gestisce.
In tal senso, la struttura di tale ciclo, che si ricorda essere costituito da 4 fasi – Plan (Pianificare), Do (Eseguire), Check (Verificare), Act (Migliorare) – si articola nei seguenti passaggi:
- la definizione di una politica, la presente, che guida le scelte legate alla SI e che definisce gli obiettivi strategici di massima;
- la valutazione dei rischi e conseguentemente un’attenta pianificazione delle attività correlate;
- l’individuazione di obiettivi puntuali e un programma per la loro realizzazione;
- la definizione di un organigramma (esposto in bacheca) con compiti definiti e responsabilità assegnate a personale con competenze e formazione adeguate in tema di SI;
- la redazione di procedure operative per la realizzazione di attività che comportano rischi;
- un continuo coinvolgimento del personale e dei loro rappresentanti;
- il controllo periodico del sistema organizzativo nel suo complesso, anche attraverso la realizzazione di verifiche periodiche (audit);
- la periodica rivisitazione del sistema stesso.