Politica per la sicurezza delle informazioni

La Politica per la sicurezza delle informazioni (P01) stabilisce l’impegno fondamentale di un’organizzazione a proteggere la riservatezza, l’integrità e la disponibilità dei propri patrimoni informativi. Rendendo obbligatoria l’implementazione di un Sistema di gestione della sicurezza delle informazioni (SGSI) formale, la politica definisce la direzione strategica essenziale per mantenere una postura di sicurezza a livello aziendale basata sul rischio, misurabile e soggetta a miglioramento continuo. Il campo di applicazione di questa politica è completo e vincolante per tutti i dipendenti, contraenti, fornitori terzi di servizi e per tutti gli ambienti fisici e digitali coinvolti nel trattamento dei dati aziendali. Copre l’intero ciclo di vita delle informazioni, con requisiti rigorosi affinché eventuali esclusioni da tale campo di applicazione siano pienamente documentate e approvate dall’Alta Direzione. Questa applicazione vincolante garantisce uniformità degli standard di protezione in tutta l’azienda, indipendentemente dalla posizione o dalla funzione dell’asset. Gli obiettivi definiti mirano non solo a soddisfare la conformità con norme internazionali quali ISO/IEC 27001:2022, NIST SP 800-53 e COBIT 2019, ma anche a promuovere una cultura in cui la sicurezza sia integrata nelle attività quotidiane, nelle partnership e nei sistemi aziendali. A tal fine, ruoli e responsabilità assegnati chiariscono le aspettative per l’Alta Direzione, i responsabili della sicurezza, i Proprietari dell'asset, il personale IT e tecnico e tutto il personale. Ciò garantisce che tutti, dall’Alta Direzione ai contraenti esterni, comprendano i propri doveri nel mantenere la sicurezza dell’organizzazione e nel supportare la risposta agli incidenti, la formazione e le attività di audit. La governance all’interno del SGSI è un pilastro critico della politica e richiede strutture formalizzate, come comitati direttivi e una Matrice dei ruoli e delle responsabilità, per supervisionare la valutazione continua delle prestazioni del SGSI e consentire tempestivi riesami della direzione. La politica definisce requisiti per il coordinamento interfunzionale, assicurando che la sicurezza delle informazioni non sia isolata ma integrata in Gestione dei progetti, Approvvigionamento, Risorse Umane (HR) e Funzione legale e compliance. Le procedure di riesame e aggiornamento sono strettamente regolamentate, con controllo delle versioni e approvazione esplicita dell’Alta Direzione, a ulteriore supporto di responsabilità e difendibilità normativa. Per soddisfare richieste normative, dei clienti e di audit, la politica richiede che tutti i controlli e la documentazione di supporto siano auditabili e verificabili. Sono descritti percorsi chiari per la selezione dei controlli basata sul rischio, la gestione delle eccezioni e l’accettazione del rischio residuo. L’applicazione è supportata da conseguenze concrete per la non conformità, tutele per il Sistema di whistleblowing e programmi di formazione obbligatoria. I collegamenti con altre politiche organizzative chiave, Governance Roles & Responsibilities, Politica di utilizzo accettabile, Politica di controllo degli accessi, Gestione dei rischi e Audit, garantiscono pieno allineamento all’interno del SGSI per una gestione unificata di rischio e conformità.