Security Policy

Summary Politica Generale per la Qualità e la sicurezza delle informazioni

Destinatari del documento

Il presente documento è rivolto a tutte le funzioni aziendali coinvolte nei processi di gestione della sicurezza delle informazioni. Questi includono il personale operativo, i responsabili della sicurezza, i manager di progetto e gli amministratori di sistema. Ogni membro dell’organizzazione ha la responsabilità di contribuire attivamente alla protezione delle informazioni e di rispettare le politiche e le procedure stabilite.

 

Violazioni ed Eccezioni

Eventuali eccezioni a quanto disposto dal presente documento richiedono l’approvazione formale del Quality and Information Security Staff, che agisce su mandato dell’Alta Direzione. Le violazioni devono essere tempestivamente segnalate e un team di supporto sarà attivato per risolvere il problema e prevenire future occorrenze.

 

1. Introduzione

AINDO è impegnata a garantire la sicurezza delle informazioni e la qualità dei dati in conformità con lo standard internazionale ISO/IEC 27001:2022. Questa politica mira a proteggere le informazioni da minacce interne ed esterne, assicurando l’integrità, la riservatezza e la disponibilità dei dati. Attraverso l’implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), AINDO garantisce una gestione sistematica dei rischi relativi alla sicurezza delle informazioni, sostenendo la continuità operativa e il rispetto delle normative vigenti.

Il SGSI di AINDO è strutturato per rispondere in maniera efficace alle esigenze di sicurezza e qualità, comprendendo processi di monitoraggio continuo, valutazione dei rischi e misure di miglioramento continuo. Questo sistema è integrato con il Sistema di Gestione della Qualità (SGQ), formando un quadro complessivo che copre tutte le aree operative dell’azienda. L’obiettivo principale è garantire che tutte le informazioni gestite da AINDO siano protette adeguatamente, riducendo al minimo i rischi di perdita, furto, distruzione e falsificazione.

AINDO adotta misure tecniche e organizzative necessarie per garantire l’integrità, la riservatezza e la disponibilità del proprio patrimonio informativo. Questo include l’uso di tecnologie avanzate, protocolli di sicurezza rigorosi e procedure di controllo interne per monitorare l’accesso alle informazioni e prevenirne l’uso non autorizzato.

L’Alta Direzione di AINDO riconosce l’importanza dell’immagine aziendale e mira a raggiungere obiettivi qualitativi elevati nella gestione dei processi e nell’erogazione dei servizi. Per questo motivo, è stato istituito un Sistema di Gestione Integrato per la Qualità e la Sicurezza delle Informazioni (ISQMS), conforme alle norme ISO 9001 e ISO/IEC 27001:2022. Questo sistema consente di gestire efficacemente l’organizzazione, garantendo la continuità operativa e il miglioramento continuo delle performance.

L’implementazione del SGSI comporta una serie di processi aziendali chiave, tra cui la gestione delle risorse e della formazione, la gestione dei clienti, il project management, l’approvvigionamento e la gestione dei fornitori, l’analisi dei rischi, la realizzazione dei servizi e il controllo di gestione della qualità e della sicurezza delle informazioni.

 

2. Scopo

Lo scopo di questa politica è stabilire un quadro di riferimento per la gestione della sicurezza delle informazioni, conforme allo standard ISO/IEC 27001:2022. La politica definisce le linee guida per la protezione dei dati contro accessi non autorizzati, perdite o danni, garantendo la sicurezza delle informazioni attraverso misure preventive e correttive.

Il SGSI implementato da AINDO permette di:

  • Identificare e valutare i rischi relativi alla sicurezza delle informazioni, implementando misure appropriate per mitigarli.
  • Assicurare la conformità alle normative legali e agli standard internazionali applicabili in materia di sicurezza delle informazioni e protezione dei dati
  • Promuovere la consapevolezza e la formazione continua del personale in merito alla sicurezza delle informazioni e alle buone pratiche di gestione dei dati.
  • Monitorare e migliorare continuamente il Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) per rispondere alle nuove minacce e alle esigenze operative.
  • Stabilire procedure chiare per la gestione degli incidenti di sicurezza, garantendo una risposta tempestiva ed efficace.
  • Mantenere la continuità operativa attraverso piani di disaster recovery e misure di backup dei dati.

Inoltre, AINDO si impegna a:

  • Proteggere l’integrità, la riservatezza e la disponibilità delle informazioni gestite.
  • Valorizzare le attitudini dei componenti dell’organizzazione attraverso formazione e aggiornamento professionale continui.
  • Favorire lo sviluppo tecnologico e l’adozione di soluzioni innovative per migliorare la sicurezza delle informazioni.
  • Garantire ai clienti e alle parti interessate il rispetto delle normative sulla privacy, incrementando la fiducia e la soddisfazione del cliente.

 

3. Comunicazione

La politica sulla sicurezza delle informazioni viene comunicata a tutti i dipendenti, collaboratori e partner di AINDO. Vengono organizzati corsi di formazione e sensibilizzazione per assicurare che tutto il personale sia a conoscenza delle proprie responsabilità in materia di sicurezza delle informazioni. Inoltre, la politica è resa disponibile attraverso il sito web aziendale e altre piattaforme di comunicazione interna.

Comunicazione Interna

Tutti i dipendenti ricevono aggiornamenti sui processi di qualità e sicurezza delle informazioni attraverso iniziative formative specifiche. L’intera documentazione aggiornata del Sistema di Gestione Integrato per la Qualità e la Sicurezza delle Informazioni (ISQMS) è resa disponibile in un’area dedicata dell’intranet aziendale. Questo approccio garantisce che ogni membro dell’organizzazione abbia accesso continuo alle informazioni rilevanti e possa contribuire attivamente alla protezione delle informazioni aziendali.

Comunicazione Esterna

Nei confronti delle terze parti (clienti e fornitori), le comunicazioni relative alla qualità e alla sicurezza delle informazioni sono regolate in maniera conforme alle politiche aziendali facenti parte del ISQMS e ai contratti in essere. AINDO consente la comunicazione e diffusione delle informazioni verso l’esterno solo per il corretto svolgimento delle proprie attività, nel rispetto delle normative vigenti. Mantenuti adeguati contatti con le autorità pertinenti alla sicurezza dei dati e delle informazioni, nonché con enti e associazioni di riferimento in materia di cybersecurity e privacy, al fine di aggiornare le competenze e prestare collaborazione in ogni frangente.

 

4. Ruoli e responsabilità

La responsabilità della gestione della sicurezza delle informazioni è distribuita tra diversi ruoli all’interno dell’organizzazione:

  • Alta Direzione: È responsabile della supervisione complessiva del SGSI e dell’assicurazione che le politiche siano attuate correttamente.
  • Responsabile della Sicurezza delle Informazioni (CISO): Coordina le attività di sicurezza delle informazioni, garantisce la conformità allo standard ISO/IEC 27001:2022 e supervisiona la gestione dei rischi.
  • Dipendenti e Collaboratori: Hanno il dovere di seguire le politiche e le procedure di sicurezza delle informazioni e di segnalare eventuali incidenti o vulnerabilità.

 

5. Obiettivi

Gli obiettivi principali della politica di sicurezza delle informazioni di AINDO includono:

  • Proteggere le informazioni aziendali da accessi non autorizzati, perdita o danneggiamento.

AINDO implementa misure di sicurezza tecniche e organizzative avanzate per garantire che tutte le informazioni aziendali siano adeguatamente protette. Questo include l’uso di crittografia, firewall, sistemi di rilevamento delle intrusioni e protocolli di autenticazione rigorosi.

  • Assicurare la conformità alle normative legali e agli standard internazionali.

AINDO si impegna a rispettare tutte le leggi e i regolamenti applicabili, inclusi il Regolamento Generale sulla Protezione dei Dati (GDPR) e le normative specifiche di settore. La conformità viene mantenuta attraverso audit regolari, valutazioni di conformità e aggiornamenti continui delle politiche aziendali.

  • Mantenere l’integrità e la riservatezza delle informazioni.

AINDO garantisce che i dati siano accurati e completi, proteggendoli da alterazioni non autorizzate. Vengono adottate misure per assicurare che solo il personale autorizzato possa accedere alle informazioni sensibili, riducendo il rischio di perdite o manipolazioni.

  • Promuovere una cultura della sicurezza delle informazioni tra i dipendenti e i collaboratori.

AINDO organizza regolarmente corsi di formazione e campagne di sensibilizzazione per assicurare che tutto il personale comprenda l’importanza della sicurezza delle informazioni e sappia come proteggere i dati aziendali. Questa cultura della sicurezza viene rafforzata attraverso comunicazioni interne, workshop e sessioni di aggiornamento periodiche.

  • Monitorare e migliorare continuamente il Sistema di Gestione per la Sicurezza delle Informazioni (SGSI).

AINDO adotta un approccio proattivo nella gestione della sicurezza delle informazioni, effettuando monitoraggi continui e valutazioni periodiche per identificare e mitigare i rischi emergenti. Questo processo include la revisione regolare delle politiche e delle procedure di sicurezza, l’implementazione di azioni correttive e preventive e l’adozione di nuove tecnologie e metodologie per migliorare la protezione dei dati.

 

6. Sicurezza delle informazioni

La sicurezza delle informazioni è assicurata attraverso l’adozione di misure tecniche e organizzative adeguate, tra cui:

  • Controllo degli accessi: Implementazione di meccanismi di autenticazione e autorizzazione per limitare l’accesso alle informazioni solo al personale autorizzato. Ciò include l’uso di credenziali uniche per ogni utente, sistemi di autenticazione a due fattori e log di accesso dettagliati per monitorare e registrare tutte le attività di accesso ai dati aziendali.
  • Crittografia: Utilizzo di tecniche di crittografia per proteggere i dati sensibili durante la trasmissione e l’archiviazione. Viene applicata la crittografia end-to-end per garantire che i dati rimangano protetti mentre sono in transito tra sistemi o quando vengono archiviati su supporti fisici o digitali.
  • Gestione degli incidenti: Procedure per la rilevazione, la risposta e la mitigazione degli incidenti di sicurezza. Queste includono piani di risposta agli incidenti, formazione del personale su come riconoscere e segnalare potenziali minacce, e simulazioni periodiche per garantire la prontezza dell’organizzazione nell’affrontare situazioni di emergenza.
  • Backup e ripristino: Soluzioni di backup regolari e piani di ripristino per garantire la disponibilità delle informazioni in caso di perdita o danneggiamento. I backup sono effettuati su base giornaliera, settimanale e mensile e vengono conservati in luoghi sicuri sia on-site che off-site per garantire la ridondanza e la sicurezza dei dati.
  • Audit e conformità: Verifiche periodiche per assicurare la conformità con le politiche di sicurezza delle informazioni e identificare aree di miglioramento. Gli audit interni ed esterni vengono condotti regolarmente per valutare l’efficacia delle misure di sicurezza adottate e per garantire l’aderenza agli standard ISO/IEC 27001:2022 e alle normative vigenti.
  • Soluzioni di storage sicuro: Utilizzo di soluzioni di storage certificate per conservare i dati sensibili. Queste includono misure di sicurezza fisica per proteggere le infrastrutture hardware e l’implementazione di sistemi di controllo degli accessi rigorosi per limitare l’accesso ai dati a livello digitale.
  • Protocollo di trasferimento sicuro dei dati: Implementazione di protocolli sicuri per il trasferimento dei dati tra diverse ubicazioni e sistemi, che forniscono livelli aggiuntivi di sicurezza per i dati in movimento.
  • Formazione e sensibilizzazione: Organizzazione di corsi di formazione regolari e campagne di sensibilizzazione per assicurare che tutto il personale comprenda l’importanza della sicurezza delle informazioni e sappia come proteggere i dati aziendali. La formazione copre vari aspetti della sicurezza, inclusi l’uso sicuro delle tecnologie aziendali, il riconoscimento delle minacce comuni e le procedure da seguire in caso di incidente.

Attraverso queste misure, AINDO si impegna a mantenere un elevato livello di sicurezza delle informazioni, proteggendo i dati e le risorse aziendali da potenziali minacce. Questo approccio integrato assicura che tutte le informazioni trattate siano protette in modo efficace, promuovendo un ambiente operativo sicuro e conforme alle normative internazionali.

Transform your data to transform the future

The synthetic data platform for businesses that want to change the world.