“POLITICA GENERALE DEL SISTEMA DI GESTIONE

DI SICUREZZA DELLE INFORMAZIONI”

(ISO 27001, ISO 27017, ISO 27018)

3 Giuditta Del Bono 01/09/2018 Michele Zunino 01/09/2018
rev. VIGENTE compilato da rsgsi

(firma)

data compilazione approvato da dir

(firma)

data approvazione
per emissione
ELENCO DELLE REVISIONI
REV DATA DESCRIZIONE DELLE REVISIONI
0 31/10/2016 Prima emissione
1 06/02/2017 Aggiornamento
2 30/03/2018 Aggiornamento
3 01/09/2018 Completa revisione per integrazione con norme ISO 27017 e ISO 27018

INDICE

1.0 SCOPO E CAMPO DI APPLICAZIONE 4

2.0 DOCUMENTI DI RIFERIMENTO 5

3.0 PRINCIPI DELLA POLITICA DEL SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI 6

3.1 MOTIVAZIONE 6

3.2 OBIETTIVI 6

3.3 POLITICA 7

3.4 REQUISITI 8

3.5 VIOLAZIONI 10

4.0 RESPONSABILITÀ PER L’APPLICAZIONE DELLA POLITICA 10

4.1 IMPEGNO DELLA DIREZIONE (DIR) 10

4.2 IMPEGNO DEL RESPONSABILE DEL SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI (RSGSI) 11

4.3 IMPEGNO DI TUTTO IL PERSONALE 11

4.4 SOGGETTI ESTERNI 11

1.0 SCOPO E CAMPO DI APPLICAZIONE

Il presente documento definisce la politica aziendale definita dalla Direzione di Netalia relativamente alla gestione delle informazioni (dati personali e dati) e degli asset, al fine di garantire la sicurezza delle informazioni e dei dati trattati dall’azienda, in termini di riservatezza, integrità e disponibilità in riferimento al contesto organizzativo ed al campo di applicazione.

La Politica generale del sistema di gestione per la sicurezza delle informazioni definisce le linee guida di indirizzo in base alle quali è stato definito l’intero Sistema per la Gestione della Sicurezza delle Informazioni (SGSI) di Netalia.

Per NETALIA la continua e diffusa valutazione del rischio e delle opportunità è centrale nella cultura aziendale; ciò viene effettuato attraverso l’impegno, la responsabilità e la valorizzazione di tutte le risorse (i clienti con la fiducia riposta, il patrimonio informativo, i professionisti, dotati di conoscenze tecniche e trasversali).

Inoltre, lo scopo è di garantire la tutela e la protezione delle informazioni da tutte le minacce, interne o esterne, intenzionali o accidentali, nell’ambito delle proprie attività in accordo con le indicazioni fornite dallo standard UNI EN ISO 27001 e dalle linee guida contenute nello standard UNI EN ISO 27002 nelle loro versioni vigenti.

In particolare con l’affidamento dei dati in cloud NETALIA ha adottato l’implementazione degli standard:

  • ISO/IEC 27018 (espansione della Norma ISO 27001) che, nello specifico, riguarda la gestione dei dati personali in relazione alle soluzioni cloud in modalità IaaS, PaaS e SaaS. La gestione dei dati personali trattati all’interno dei nostri servizi cloud è soggetta a valutazione di parte terza nei suoi aspetti tecnici, organizzativi e contrattuali;
  • ISO/IEC 27017 definisce dei controlli di sicurezza supplementari e rinforzati per indirizzare le misure di sicurezza messe in atto dai provider di servizi Cloud. Si attesta quindi, con valutazione di parte terza, che tali controlli sono stati integrati all’interno del sistema di Gestione delle Informazioni.

Ogni informazione documentata del sistema di gestione (procedura, istruzione, flusso, piano, altro) inerente il trattamento delle informazioni o che possa avere impatto con la sicurezza delle informazioni deve uniformarsi alla politica delineata nel presente documento.

La Politica del sistema di gestione per la sicurezza delle informazioni si applica a tutti i livelli dell’azienda; l’attuazione è obbligatoria per tutto il personale e viene inserita e richiamata nei documenti di accordo contrattuale con qualsiasi soggetto esterno, che, a qualsiasi titolo, possa essere coinvolto con il trattamento di informazioni che rientrano nel campo di applicazione del sistema di gestione della sicurezza delle informazioni.

La Politica del sistema di gestione per la sicurezza delle informazioni si applica a tutte le attività svolte da Netalia ed in particolare all’attività oggetto di certificazione:

Gestione della sicurezza delle informazioni nell’erogazione di servizi cloud

2.0 DOCUMENTI DI RIFERIMENTO

UNI EN ISO 27001:2014 – Sistemi di gestione per la sicurezza delle informazioni – Requisiti

UNI EN ISO 27017:2015 – Codice di pratica per i controlli di sicurezza delle informazioni basati su ISO / IEC 27002 per i servizi cloud

UNI EN ISO 27018:2014 – Codice di pratica per la protezione delle informazioni personali (PII) in cloud pubblici che agiscono come processori PII

GDPR (Reg. UE 679/2016 e legislazione nazionale – D. Lgs. 196/2003 aggioranto dal D. Lgs. 101/2018 e s.m.i.)

Codice etico

3.0 PRINCIPI DELLA POLITICA DEL SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

3.1 MOTIVAZIONE

Data la natura delle proprie attività, NETALIA considera, relativamente alla “Gestione della sicurezza delle informazioni nell’erogazione di servizi cloud”, la sicurezza delle informazioni un fattore irrinunciabile per la protezione del proprio patrimonio informativo ed un fattore di valenza strategica facilmente trasformabile in vantaggio competitivo.

NETALIA pone particolare attenzione ai temi riguardanti la sicurezza durante il ciclo di vita di sviluppo e realizzazione dei propri servizi e prodotti, che devono essere ritenuti un bene primario dell’azienda.

Il SGSI (Sistema di Gestione per la Sicurezza delle Informazioni) si applica a tutte le attività di analisi, sviluppo, realizzazione e manutenzione dei prodotti e servizi, ed ai dati ad esse collegati.

Consapevole del fatto che i propri servizi per soggetti esterni possono comportare l’affidamento di dati e informazioni critiche, l’organizzazione opera secondo normative di sicurezza internazionalmente riconosciute.

Per questo motivo si intende adottare le misure, sia tecniche che organizzative, necessarie a garantire al meglio l’integrità, la riservatezza e la disponibilità sia del patrimonio informativo interno (informazioni e asset) che di quello affidato dai propri Clienti tutelandolo e proteggendolo da tutte le minacce, interne ed esterne, intenzionali o accidentali, nell’ambito delle proprie attività.

Su tali basi NETALIA ha deciso di implementare e mantenere un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) definito secondo regole e criteri previsti dalle “best practice” e dagli standard internazionali di riferimento in conformità alle indicazioni della norma internazionale ISO/IEC 27001:2013, tra le quali ISO 27017 e ISO 27018.

3.2 OBIETTIVI

L’obiettivo del Sistema di Gestione per la Sicurezza delle Informazioni di NETALIA è di garantire un adeguato livello di sicurezza dei dati e delle informazioni nell’ambito di Gestione dei Servizi Cloud, attraverso l’identificazione, la valutazione e il trattamento dei rischi ai quali i servizi stessi sono soggetti.

Il Sistema di Gestione per la Sicurezza per le Informazioni di NETALIA definisce un insieme di misure organizzative, tecniche e procedurali a garanzia del soddisfacimento dei sotto elencati requisiti di sicurezza di base:

  • RISERVATEZZA: l’informazione deve essere nota solo a chi dispone di opportuni privilegi;
  • INTEGRITÀ: l’informazione deve essere modificabile solo ed esclusivamente da chi ne possiede i privilegi;
  • DISPONIBILITÀ: l’informazione deve essere accessibile e utilizzabile quando richiesto dai processi e dagli utenti che dispongono dei relativi privilegi.

Inoltre, con la presente politica NETALIA intende formalizzare i seguenti obiettivi nell’ambito della sicurezza delle informazioni:

  • preservare al meglio l’immagine dell’azienda quale fornitore affidabile e competente;
  • proteggere al meglio il patrimonio informativo proprio e dei propri clienti;
  • adottare le misure atte a garantire la fidelizzazione del personale e la sua professionalità;
  • rispondere pienamente alle indicazioni della normativa vigente e cogente;
  • aumentare, nel proprio personale, il livello di consapevolezza, sensibilità e competenza su temi di sicurezza dell’informazione.

3.3 POLITICA

Tutte le informazioni, che vengono create o utilizzate da NETALIA sono da salvaguardare e debbono essere protette, secondo la classificazione attribuita, dalla loro creazione, durante il loro utilizzo, fino alla loro eliminazione. Le informazioni debbono essere gestite in modo sicuro, accurato e affidabile, e debbono essere prontamente disponibili per gli usi consentiti.

Con “utilizzo dell’informazione” è da intendersi qualsiasi forma di trattamento che si avvalga di supporti elettronici, cartacei o consenta, in una qualsiasi forma, la comunicazione verbale.

Relativamente all’ambito di applicazione, tale sistema prevede – in conformità alla norma ISO 27001:2013, ISO 27017:2015, ISO 27018:2014 – che il Responsabile per la Sicurezza delle Informazioni svolga periodicamente un’analisi dei rischi, con lo scopo di valutare il rischio associato ad ogni asset da proteggere rispetto alle minacce individuate, che tenga in considerazione gli obiettivi strategici espressi nella presente politica, degli incidenti occorsi durante tale periodo e dei cambiamenti strategici, di business e tecnologici avvenuti.

La Direzione condivide con il Responsabile della Sicurezza delle Informazioni la metodologia da impiegare per la valutazione del rischio, approvando il relativo documento; nella redazione della metodologia la Direzione partecipa anche alla definizione delle scale di valore da impiegare per valorizzare i parametri che concorrono alla valutazione del rischio.

In seguito dell’elaborazione dell’analisi dei rischi da parte del Responsabile per la Sicurezza delle Informazioni ed in base alla metodologia condivisa con la Direzione, la Direzione stessa valuta i risultati ottenuti considerando la soglia di rischio accettabile, il trattamento di mitigazione dei rischi oltre tale soglia e il rischio residuo in seguito al trattamento.

L’analisi identifica chiaramente le azioni da intraprendere definendo una scala di priorità che rispetti gli obiettivi aziendali, il budget a disposizione e la necessità di mantenere la conformità alle norme e leggi vigenti.

L’analisi viene aggiornata anche a fronte di eventi che possano modificare il profilo di rischio complessivo del sistema.

3.4 REQUISITI

Accettazione della politica: tutti i dipendenti, collaboratori, fornitori, partner e tutte le altre parti interessate coinvolti nelle attività di Netalia devono accettare i loro obblighi e le responsabilità individuali, al fine di proteggere le informazioni, i beni e le risorse di Netalia o affidati a Netalia da terzi.

Asset aziendali: Netalia ha inventariato e mantiene costantemente aggiornato l’elenco degli asset aziendali rilevanti ai fini della gestione delle informazioni e per ciascuno ha individuato un responsabile.

Classificazione: le informazioni gestite dall’azienda sono classificate in base al loro livello di criticità, in modo da essere gestite con livelli di riservatezza ed integrità coerenti ed appropriati; la classificazione risulta ad oggi di tipo Pubblica o Riservata. Ad esempio tra i documenti del sistema di gestione sono presenti documenti sia pubblici (Campo di applicazione), sia riservati (le procedure).

Accesso: l’accesso alle informazioni, ai beni e alle risorse di Netalia o affidati a Netalia da terzi, devono essere controllati e monitorati sulla base dei seguenti criteri:

  • l’accesso è autorizzato solo per le informazioni strettamente necessarie (principio di conoscenza minima);
  • l’accesso è autorizzato solo per le informazioni riguardanti le specifiche attività per le quali coinvolti.

Consapevolezza: la Direzione aziendale assicura che ogni dipendente, collaboratore, fornitore o parte interessata sia consapevole, attui comportamenti ed utilizzi strumenti adeguati e in linea con la politica di sicurezza definita.

Formazione: la Direzione aziendale garantisce che ogni risorsa sia addestrata/formata/informata sulle politiche organizzative applicate e sulle procedure relative alla sicurezza delle informazioni.

Conformità normativa e legislativa: tutti i trattamenti delle informazioni e le procedure per la sicurezza di Netalia sono conformi alle normative, alle leggi e ai regolamenti cogenti ed ai requisiti dei clienti. Netalia tutela la sicurezza delle informazioni nel pieno rispetto delle leggi e dei regolamenti vigenti, anche per quel che riguarda lo specifico riferimento ai dati personali in accordo al vigente Regolamento Privacy REG. UE 679/2016 e D. Lgs. 196/2003 aggiornato dal D. Lgs. 101/2018 e s.m.i. e provvedimenti del Garante Privacy), al CCNL applicabile, allo Statuto dei Lavoratori, agli accordi contrattuali con i collaboratori.

Protezione: tutte le informazioni, beni e risorse di Netalia o affidate a Netalia da parti terze sono protette contro i rischi legati al rispetto della riservatezza, dell’integrità e della disponibilità in conformità con le leggi vigenti e in proporzione al loro valore. Le registrazioni rilevanti sono protette da perdita, distruzione, falsificazione, accessi e divulgazione non autorizzati, in conformità con i requisiti legali, normativi, contrattuali e di business, attraverso appositi strumenti tecnici, politiche specifiche e procedure operative cui si rimanda e descritte nel sistema di gestione per la sicurezza delle informazioni implementato.

Sicurezza nella progettazione e sviluppo: Netalia adotta un insieme di strumenti descritti nel sistema di gestione per la sicurezza delle informazioni per garantire la sicurezza del processo di sviluppo, al fine di assicurare l’integrità, la disponibilità e la riservatezza delle soluzioni realizzate nell’ambito di tale processo.

Sicurezza del cloud: Netalia consenti ai clienti di definire, eseguire e sfruttare il nostro ambiente di sicurezza, avendo sviluppato un programma di controlli di sicurezza che implementa best practice di protezione della privacy (ISO 27018) e dati di livello globale (ISO 27017). Queste procedure di sicurezza e controllo sono convalidate in modo indipendente tramite valutazioni di terze parti. Il programma di controlli si basa sulla verifica, la dimostrazione e il monitoraggio.

Relazioni con parti terze: Netalia adotta la politica di responsabilizzare i propri fornitori e parti terze con cui collabora per le proprie attività, mediante specifici accordi di riservatezza e service level agreement / accordo sul livello del servizio; i suddetti accordi sono rivisti periodicamente e comunque in occasione di ogni revisione della valutazione dei rischi.

Business continuity: Netalia ha predisposto un piano di continuità operativa ed un piano di Disaster Recovery che permetta all’azienda di affrontare efficacemente un evento imprevisto, garantendo il ripristino dei servizi critici in tempi e con modalità che limitino le conseguenze negative sulla missione aziendale e nel rispetto dei requisiti contrattuali con i clienti.

Riesame della politica: l’approccio di Netalia nella gestione della sicurezza delle informazioni e della sua implementazione (obiettivi dei controlli, controlli, politiche, processi e procedure per la sicurezza delle informazioni) viene rivista nel periodico riesame della Direzione, o in modo indipendente dalla periodicità, quando intervengono cambiamenti significativi.

Costi: Netalia nell’attuare quanto precedentemente definito, valuta le spese necessarie per l’attuazione delle misure al fine di proteggere le informazioni, i beni e le risorse con i rischi legati all’utilizzo non autorizzato, modifiche o distruzione.

3.5 VIOLAZIONI

La violazione dei principi e dei comportamenti a tutela della sicurezza delle informazioni saranno perseguite da Netalia, nelle opportune sedi, in misura proporzionata alla gravità delle violazioni commesse ed in linea con i vicoli di legge e contrattuali (quanto stabilito dal CCNL vigente per il personale dipendente, dalle clausole del contratto sottoscritto con i collaboratori esterni, dal REG. UE 679/2016 e D. Lgs. 196/2003 aggiornato dal D. Lgs. 101/2018 e s.m.i., alle sentenze della giurisprudenza emesse).

4.0 RESPONSABILITÀ PER L’APPLICAZIONE DELLA POLITICA

4.1 IMPEGNO DELLA DIREZIONE (DIR)

La Direzione di Netalia ha definito, divulgato, comunicato e si impegna a mantenere attiva a tutti i livelli della propria organizzazione la presente politica del sistema di gestione per la Sicurezza delle Informazioni.

La Direzione sostiene attivamente la sicurezza dell’azienda tramite un chiaro indirizzo, un impegno evidente, degli incarichi espliciti e il riconoscimento delle responsabilità relative alla sicurezza delle informazioni.

L’impegno della Direzione si attua tramite una struttura i cui compiti sono:

  • Definire ed approvare la politica della sicurezza delle informazioni
  • garantire che siano identificati tutti gli obiettivi relativi alla sicurezza delle informazioni e che questi soddisfino i requisiti aziendali;
  • stabilire i ruoli aziendali e le responsabilità per lo sviluppo e il mantenimento del SGSI;
  • fornire risorse sufficienti ed adeguate alla pianificazione, implementazione, organizzazione, controllo, revisione, gestione e miglioramento continuo del SGSI;
  • controllare che il SGSI sia integrato in tutti i processi aziendali e che procedure e controlli siano sviluppati efficacemente;
  • garantire la congruità dei budget destinati alla sicurezza, coerentemente con le politiche e le linee strategiche aziendali definite;
  • monitorare i cambiamenti dell’esposizione alle minacce delle informazioni chiave dell’azienda e analizzare gli incidenti alla sicurezza, rivedendo i criteri per l’accettazione del rischio e i livelli di rischio accettabili;
  • valutare, approvare e sostenere tutte le iniziative volte al miglioramento della sicurezza;
  • attivare programmi per la diffusione della consapevolezza e della cultura della sicurezza delle informazioni.

4.2 IMPEGNO DEL RESPONSABILE DEL SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI (RSGSI)

Nell’ambito del sistema di gestione della sicurezza delle informazioni e attraverso norme e procedure appropriate ed approvate, deve:

  • effettuare l’analisi dei rischi con le opportune metodologie e adottare tutte le misure per la gestione del rischio
  • definire tutti i requisiti cogenti (le norme, le leggi, i regolamenti, inclusi i requisiti specifici del cliente) necessari alla gestione sicura di tutte le attività aziendali
  • verificare le violazioni alla sicurezza e adottare le contromisure necessarie e controllare l’esposizione dell’azienda alle principali minacce
  • suggerire le misure di sicurezza organizzative, procedurali e tecnologiche a tutela della sicurezza e continuità delle attività
  • organizzare la formazione e promuovere la consapevolezza del personale per tutto ciò che concerne la sicurezza delle informazioni
  • effettuare il riesame della politica della sicurezza delle informazioni e di proporlo alla Direzione per la relativa approvazione
  • verificare periodicamente l’efficacia e l’efficienza del sistema di gestione della sicurezza delle informazioni.

4.3 IMPEGNO DI TUTTO IL PERSONALE

Tutto il personale (dipendente e collaboratore), qualunque sia il ruolo e/o la mansione svolta, è invitato ad attuare quanto indicato:

  • proteggere la riservatezza, l’integrità e la disponibilità delle informazioni e delle risorse intellettuali di Netalia o affidate a Netalia da terze parti;
  • proteggere i beni e le risorse materiali, i sistemi informatici di Netalia o affidati a Netalia da terze parti;
  • proteggere ogni informazione, attività e risorsa sotto la propria responsabilità;
  • informare la Direzione ovvero il RSGSI, le autorità competenti in caso di accertate e/o presunte violazioni della sicurezza o rilevazione di tentate violazioni;
  • informare la Direzione ovvero il RSGSI, in caso si ritenga necessario apportare modifiche alla politica di sicurezza, ai requisiti di sicurezza, ai documenti del sistema di gestione.

4.4 SOGGETTI ESTERNI

Tutti i soggetti esterni che intrattengono rapporti e collaborano con l’azienda devono garantire il rispetto dei requisiti di sicurezza contenuti nella presente politica.

I soggetti esterni coinvolti nel campo di applicazione della ISO 27001 e le linee guida di best practices sono i clienti e i fornitori, i collaboratori esterni (consulenti) questi operanti all’interno dell’azienda, che sono assimilati ai dipendenti e che sottoscrivono una lettera di impegno di riservatezza.