Politica per la Sicurezza delle informazioni, la continuità operativa e la protezione dei dati personali - ALTEN Italy

Politica per la Sicurezza delle informazioni, la continuità operativa e la protezione dei dati personali

La Direzione di ALTEN Italia, ritiene importante perseguire, da parte di tutta l’organizzazione aziendale, gli obiettivi del proprio sistema di gestione per la sicurezza delle informazioni (ISMS), la continuità operativa (BCMS) e la protezione dei dati personali (PIMS), progettato e implementato conformemente alla norma ISO/IEC 27001, alla norma ISO 22301 e alla linea guida ISO/IEC 27701.

La gestione della sicurezza delle informazioni, della continuità operativa e della protezione dei dati personali è un processo complesso, che coinvolge le risorse umane delle unità organizzative all’interno del perimetro di certificazione, descritto nel manuale del ISMS/BCMS/PIMS.

L’Organizzazione attua la politica per la sicurezza delle informazioni, la continuità operativa e la protezione dei dati personali, facendo propri i principi di:

  • Equità
  • Lealtà
  • Correttezza
  • Conformità
  • Responsabilizzazione (Accountability)
  • Tutela dei diritti e delle libertà delle persone fisiche

Per tali ragioni, ALTEN Italia è costantemente impegnata a mantenere e migliorare il proprio sistema di gestione, che persegue i seguenti obiettivi di alto livello:

  • garantire elevati standard di sicurezza relativi alla sicurezza delle informazioni trattate, alla continuità operativa e alla protezione dei dati personali intercettando eventuali rischi e opportunità inerenti al contesto di riferimento;
  • proteggere gli interessi degli stakeholder rilevanti per l’ISMS, il BCMS ed il PIMS;
  • limitare il rischio del business, prevenendo e minimizzando l’impatto degli incidenti di sicurezza sulle informazioni (aziendali e personali);
  • tutelare la protezione dei dati personali durante l’intero ciclo di vita dei trattamenti;
  • assicurare la resilienza dell’Organizzazione nell’erogazione dei propri servizi core a fronte di eventi avversi che possano colpirne gli asset portanti attraverso il proprio processo di continuità operativa, meccanismi di backup e disaster recovery;
  • garantire la conformità alla normativa vigente, cogente e volontaria, ai vincoli contrattuali e ai requisiti definiti dalle terze parti;
  • adottare un approccio proattivo e multidisciplinare per garantire la sicurezza delle informazioni, proteggere i dati ed assicurare la continuità operativa di fronte dei cambiamenti climatici e relativi impatti.

Al fine di perseguire gli obiettivi sopra indicati, si rende necessario pianificare e realizzare, nell’ambito del sistema di gestione, le seguenti attività:

  • mettere a disposizione le risorse necessarie, inclusi i profili con le competenze adeguate, per stabilire, attuare, mantenere e migliorare in modo continuo l’ISMS, il BCMS ed il PIMS;
  • definire e segregare i ruoli e i compiti necessari per coordinare e supportare il sistema di gestione, in particolare individuando e nominando formalmente un Responsabile della Sicurezza delle Informazioni e un Data Protection Officer (DPO) che garantiscano la conformità dei sistemi alla normativa cogente e volontaria applicata;
  • intercettare nuove opportunità di business e incentivare un costante processo di innovazione nella ricerca e sviluppo di nuove tecnologie, per garantire la massima sicurezza ed efficacia dei processi aziendali;
  • accrescere il capitale umano aziendale, attraverso:
    – formazione mirata a irrobustirne le competenze e a favorire la piena consapevolezza delle problematiche relative alla sicurezza delle informazioni, alla continuità operativa e alla gestione di dati personali all’interno dell’organizzazione;
    – comunicazione volta a promuovere senso di appartenenza e clima di fiducia in azienda, incoraggiando la partecipazione attiva del personale nell’attuazione e gestione del sistema di gestione;
    – mantenimento dei contatti con i gruppi specialistici di riferimento per migliorare la cultura e la consapevolezza della sicurezza delle informazioni (Osservatori e partnership con organizzazioni che promuovono la sicurezza aziendale; Mailing list per la diffusione di elenchi di vulnerabilità note, aggiornamenti di leggi e regolamenti di settore; Gruppi di discussione e condivisione di best practice in ambito di gestione dei servizi IT);
  • classificare tutte le informazioni, inclusi dati personali trattati dall’Organizzazione, in base al loro livello di criticità applicando i principi di security / data protection by design & by default in modo da garantire:
    – riservatezza (le informazioni devono essere accessibili solamente dagli autorizzati);
    – integrità (salvaguardare la precisione e la completezza delle informazioni e dei metodi per la loro elaborazione);
    – disponibilità (garantire agli interessati autorizzati l’accesso alle informazioni e ai relativi supporti nel momento in cui ne hanno necessità).
  • garantire la tutela dei diritti e delle libertà delle persone fisiche, con riferimento ai trattamenti di dati personali, in conformità alle prescrizioni normative vigenti e ai requisiti delle norme ISO di riferimento;
  • manutenere e testare il proprio sistema di gestione della continuità operativa al fine di migliorare la propria resilienza e permettere all’Organizzazione di affrontare efficacemente ogni evento imprevisto, garantendo il ripristino dei servizi critici in tempi e con modalità che limitino le conseguenze negative sulle attività aziendali, sfruttando nel miglior modo possibile le opportunità offerte dall’impiego del cloud computing;
  • selezionare e verificare periodicamente i fornitori in grado di presentare adeguate garanzie in merito al proprio livello di conformità, con particolare riferimento alla capacità di proteggere informazioni e dati personali trattati per conto dell’organizzazione;
  • verificare periodicamente l’efficacia ed efficienza del sistema di gestione, in modo da favorire l’attivazione di un processo di miglioramento continuo, con cui viene mantenuto il controllo e l’adeguamento della policy in risposta ai cambiamenti dell’ambiente aziendale, del business, delle condizioni legali, delle esigenze degli interessi degli stakeholder, dei cambiamenti climatici, e degli interessati ai sensi del GDPR.

A tal fine, con particolare riferimento agli aspetti di sicurezza delle informazioni, alla continuità operativa e alla protezione dei dati personali, ALTEN Italia si impegna a:

  • mantenere aggiornata e diffondere a tutti gli stakeholder interni ed esterni la propria “Politica per la sicurezza delle informazioni, la continuità operativa e la protezione dei dati personali”, in conformità agli standard ISO/IEC 27001, ISO 22301 e ISO/IEC 27701;
  • dimostrare la propria capacità di fornire con regolarità prodotti e servizi di qualità e conformi, rispetto delle disposizioni di legge, statuti, regolamenti o obblighi contrattuali con le terze parti, inclusi i requisiti inerenti alla sicurezza delle informazioni (aziendali e/o personali) e alla continuità del proprio business, per ridurre al minimo il rischio di sanzioni legali o amministrative, di perdite rilevanti o danni all’immagine aziendale;
  • migliorare in modo continuo il proprio sistema di gestione adattandolo alle variazioni di contesto significative per gli obiettivi del sistema, sulla base dell’evoluzione delle minacce e in generale dei rischi che ne derivano, dell’efficacia/efficienza dei processi implementati e delle evidenze emergenti dalle verifiche periodiche interne ed esterne;
  • garantire la conoscenza e scrupolosa applicazione delle prescrizioni normative e dei requisiti derivanti dalla normativa volontaria e dalle politiche e regolamenti interni nello svolgimento delle attività effettuate dall’organizzazione;
  • rispettare rigorosamente diritti di autore e proprietà intellettuali, evitando e facendo divieto al proprio personale e ai propri collaboratori di utilizzare, copiare, caricare e/o scaricare, trasmettere o rendere accessibile a ogni titolo materiale protetto da copyright senza autorizzazione;
  • assicurare la conformità ai vincoli contrattuali relativi al trattamento dei dati personali, sia nei casi in cui l’organizzazione operi in qualità di Data Controller (Titolare del trattamento), sia nei casi in cui svolga il ruolo di Data Processor (Responsabile del trattamento) su incarico dei propri Clienti, seguendo le istruzioni da questi impartite;
  • promuovere la collaborazione interdisciplinare e adeguare le normative esistenti per affrontare efficacemente le nuove sfide poste dai cambiamenti climatici;
  • diffondere i principi e i valori dichiarati nella politica aziendale dall’organizzazione e a rendere attiva ed efficace la comunicazione da e verso le diverse parti interessate affinché tale politica sia compresa e partecipata.

La Direzione è impegnata ad attuare, sostenere e verificare periodicamente la presente politica e a divulgarla a tutti i soggetti che lavorano per l’azienda o per conto di essa o che con essa collaborano a qualsiasi titolo.
Il presente documento è pubblico e disponibile per la consultazione da parte di tutte le parti interessate.

Milano, 5 Settembre 2024

Responsabile Direzione Qualità

Antonietta Nobili

Clicca sul seguente link per scaricare il Certificato: