Politica ISO 27001 - 27017 - 27018
1. Leadership e impegno.
Etæria S.p.A. ha deciso di conformare i propri processi per la sicurezza delle informazioni allo standard UNI CEI EN ISO/IEC 27001 con estensione alla ISO/IEC 27017 e ISO/IEC 27018 per quanto concerne la protezione delle informazioni inerenti: "Erogazione servizi di sicurezza informatica e servizi cloud computing in modalità IaaS-PaaS-DraaS-BaaS"
- L'esigenza nasce dalla necessità di rispondere alle molteplici richieste provenienti dall'esterno, principalmente dai principali Partner di Canale, e dall'interno dell'organizzazione, inclusa la necessità di rispondere a quanto definito dal GDPR in materia di protezione dei dati personali di clienti e dipendenti.
Etæria S.p.A. ha individuato i Control Owner (CO)così come riportato nel foglio "Step 3 - Controlli e SOA" del documento ETAERIA_ANALISI_RISCHI_27001_27017_27018_rev2.0
- I CO riporteranno al Risk Owner sugli andamenti e sullo stato della sicurezza delle informazioni con cadenza almeno semestrale.
- L'Azienda ha definito gli obiettivi per la sicurezza delle informazioni che vengono aggiornati in occasione del Riesame della Direzione, oppure ogni volta che sia ritenuto necessario dalla Direzione dell'Azienda. I responsabili degli obiettivi sono tenuti al monitoraggio e alla rilevazione di eventuali anomalie rispetto a quanto predisposto.
- L'Azienda si impegna al rispetto delle leggi e direttive in materia di protezione dei dati e di sicurezza delle informazioni e al rispetto delle prescrizioni legislative applicabili ai propri servizi.
- I CO, insieme al personale aziendale, sono focalizzati sul miglioramento continuo del SGSI per mezzo della misurazione delle prestazioni, degli audit interni e del conseguente riesame.
- L'Azienda, inoltre, ha interiorizzato l'importanza fondamentale dell'attuazione del SGSI, e lavora per assicurare l'integrazione dei requisiti dell'SGSI nei processi dell'Azienda;
2. Politica per la sicurezza delle informazioni.
La certificazione del Sistema di Gestione per Sicurezza delle Informazioni (SGSI) secondo la norma UNI CEI EN ISO/IEC 27001 con estensione alla I SO/IEC 27017 e ISO/IEC 27018, relativamente alla erogazione servizi di sicurezza informatica e servizi cloud computing in modalità IaaS-PaaS-DraaS-BaaS rappresenta per l'Azienda il riconoscimento dell'impegno nella ricerca costante del miglioramento della qualità di questi servizi.
Per conseguire e mantenere la certificazione l'Azienda si prodiga costantemente:
- a sviluppare e mantenere un Sistema di Gestione e Sicurezza delle Informazioni, inteso come strumento per realizzare gli obiettivi aziendali;
- a promuovere un costante confronto interno volto alla conoscenza dei fattori interni ed esterni all'organizzazione che possono influire sugli obiettivi dell'SGSI;
- ad adottare un sistema di gestione del rischio, al fine di garantire la riservatezza, l'integrità e la disponibilità dei dati e di far sì che rispondano ai requisiti di sicurezza delle informazioni;
- promuovere il miglioramento continuo dei processi aziendali, laddove questi abbiano relazione con la sicurezza delle informazioni;
- A predisporre, con frequenza annuale, programmi di formazione e di audit interni per mezzo dei quali assicura il controllo del proprio SGSI.
- a rispettare le leggi e direttive in materia di protezione dei dati e di sicurezza delle informazioni nonché delle prescrizioni legislative applicabili ai propri servizi.
L'Azienda si assicura che la Politica della Sicurezza delle Informazioni sia compresa, attuata e sostenuta. Definisce altresì Piani di Miglioramento aziendale (con obiettivi chiari e misurabili) che coinvolgono i processi aziendali e i settori operativi, risorse e infrastrutture, responsabilità e tempi di attuazione, si assicura altresì che il personale e collaboratori siano a conoscenza degli obiettivi, vigilando sul perseguimento degli stessi.
- Comunicazione della politica per la sicurezza delle informazioni.
La politica del SGSI è comunicata all'interno di Etæria S.p.A. per mezzo del portale Cezanne e tramite apposite sessioni formative e comunicazioni da parte dei CO.
La politica è comunicata all'esterno tramite pubblicazione sul sito internet di Etæria.
L'azienda ha inserito nella documentazione di Accordo Quadro Canali e di Accordo Quadro di Filiera, specifici riferimenti alla Politica per la sicurezza delle informazioni, relativamente alla ISO 27001, 27017, 27018.
- Autorità, responsabilità e ruoli organizzativi.
- I CO sono responsabili di assicurare che il SGSI sia implementato e mantenuto in conformità con questa Politica e per garantire che tutte le risorse necessarie siano disponibili.
- I CO sono responsabili del coordinamento operativo del SGSI e della segnalazione delle prestazioni del SGSI.
- La Direzione deve rivedere il SGSI almeno una volta all'anno o ogni volta che si verifica un cambiamento significativo e preparare verbali di quella riunione. Lo scopo del riesame della direzione è stabilire l'adeguatezza e l'efficacia del SGSI.
- I CO implementeranno programmi di formazione sulla sicurezza delle informazioni e di sensibilizzazione per i dipendenti.
- La protezione dell'integrità, della disponibilità e della riservatezza nelle attività è responsabilità del proprietario/assegnatario di ciascun bene.
- Tutti gli incidenti o i punti deboli di sicurezza devono essere segnalati ai CO e al Risk Owner.
- I CO definiranno quali informazioni relative alla sicurezza delle informazioni saranno comunicate a quale parte interessata (sia interna che esterna), da chi e quando.
- I CO sono responsabili dell'adozione e dell'attuazione del piano di addestramento e sensibilizzazione, che si applica a tutte le persone che hanno un ruolo nella gestione della sicurezza delle informazioni.
- Etæria S.p.A. ha individuato i seguenti auditor interni sul sistema di gestione per la sicurezza delle informazioni:
- Federico Tarocchi
- Enrico Robaldo
- Marco Mariani
- A partire da settembre 2020 Etæria lavorerà con la capogruppo WiiT per organizzare un gruppo sinergico e condiviso di CO e di auditor interni
La presente Politica verrà rivista ed aggiornata dalla direzione di Etæria S.p.A. ogni qualvolta vi si verifichino avvenimenti e cambiamenti sostanziali degli asset aziendali e verrà analizzata ad ogni Riesame della Direzione.
Eventuali comunicazioni riguardo la sicurezza delle informazioni devono essere inoltrate al seguente indirizzo email: riskowner@eteria.cloud