ARDA SOLUTIONS S.R.L. pone tra i propri obiettivi prioritari al pari della redditività, la qualità dei servizi, la soddisfazione dei propri clienti, e la riservatezza delle informazioni e dei dati dei propri Clienti.
L’implementazione del modello gestionale adottato ha lo scopo di permettere ad ARDA SOLUTIONS S.R.L. di pianificare in modo adeguato le azioni da svolgere per il pieno raggiungimento degli obiettivi fissati dalla Direzione Aziendale.
Per affrontare questi temi ARDA SOLUTIONS S.R.L si è dotata di un Sistema di Gestione Integrato Qualità e Sicurezza delle informazioni che:
- soddisfi i requisiti delle normative UNI EN ISO 9001:2015 e UNI EN ISO 27001:2022;
- garantisca la riservatezza, l’integrità e la disponibilità delle informazioni attraverso la tutela e la protezione da tutte le minacce, interne o esterne, intenzionali o accidentali, delle informazioni nell’ambito delle proprie attività in accordo con le indicazioni fornite dalla normativa UNI EN ISO 27001:2022;
- implementi i controlli specifici per la sicurezza dei servizi cloud in base ai principi della UNI EN ISO 27017:2015;
- protegga le informazioni personali conformemente alla UNI EN ISO 27018:2019.
Sono in particolare obiettivi primari:
PER IL SISTEMA DI GESTIONE QUALITÀ:
- Il miglioramento dell’immagine e della reputazione sul mercato, e quindi: incremento del numero dei clienti, incremento del fatturato ed espansione territoriale dell’azienda;
- Affermare e consolidare un rapporto di collaborazione stretto con i clienti attuali e potenziali, rafforzando la relazione cliente-fornitore;
- Assicurare il profitto aziendale per reinvestire nell’accrescimento del know-how inteso come innovazione e implementazione di nuove procedure e modalità operative, con una profonda attenzione ai bisogni del cliente, al fine di garantire la competitività dell’azienda sul mercato;
- Favorire la crescita professionale dei collaboratori, assicurando agli stessi la formazione necessaria ed una adeguata qualifica, al fine di poter disporre di una struttura organizzativa e di risorse umane sempre pronte a soddisfare le esigenze aziendali e del mercato;
- Selezione, valutazione e qualifica dei Fornitori di materie prime/servizi con l’obiettivo di ottenere forniture qualitativamente conformi ed affidabili nel tempo;
- Garantire un continuo controllo sull’efficacia ed efficienza del Sistema, finalizzato a perseguire gli obiettivi per la Qualità, assicurando nel tempo idoneità ed adeguatezza del Sistema di Gestione;
PER IL SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI:
Obiettivo principale per la sicurezza delle informazioni è quello di tutelare il patrimonio informativo costituito dall’insieme delle informazioni gestite attraverso i servizi forniti assicurando:
- la confidenzialità delle informazioni: ovvero le informazioni devono essere accessibili solo da chi è autorizzato.
- l’integrità delle informazioni: ovvero proteggere la precisione e la completezza delle informazioni e dei metodi per la loro elaborazione.
- la disponibilità delle informazioni: ovvero che gli utenti autorizzati possano effettivamente accedere alle informazioni e ai beni collegati nel momento in cui lo richiedono.
La mancanza di adeguati livelli di sicurezza può comportare il danneggiamento dell’immagine aziendale, la mancata soddisfazione del cliente, il rischio di incorrere in sanzioni legate alla violazione delle normative vigenti nonché danni di natura economica e finanziaria.
Un adeguato livello di sicurezza è altresì basilare per la condivisione delle informazioni.
L’azienda identifica tutte le esigenze di sicurezza tramite l’analisi dei rischi che consente di acquisire consapevolezza sul livello di esposizione a minacce del proprio sistema informativo. La valutazione del rischio permette di valutare le potenziali conseguenze e i danni che possono derivare dalla mancata applicazione di misure di sicurezza al sistema informativo e quale sia la realistica probabilità di attuazione delle minacce identificate.
I risultati di questa valutazione determinano le azioni necessarie per gestire i rischi individuati e le misure di sicurezza più idonee.
I principi generali della gestione della sicurezza delle informazioni abbracciano vari aspetti:
- Viene valutato costantemente il contesto operativo dell’organizzazione, tenendo conto delle dinamiche del cloud computing e delle considerazioni sulla privacy.
- Deve esistere un catalogo costantemente aggiornato degli asset aziendali rilevanti ai fini della gestione delle informazioni e per ciascuno deve essere individuato un responsabile. Le informazioni devono essere classificate in base al loro livello di criticità, in modo da essere gestite con livelli di riservatezza ed integrità coerenti ed appropriati.
- Per garantire la sicurezza delle informazioni, ogni accesso ai sistemi deve essere sottoposto a una procedura d’identificazione e autenticazione, inclusi quelli specifici per il cloud computing secondo la UNI EN ISO 27017:2015. Le autorizzazioni di accesso alle informazioni devono essere differenziate in base al ruolo ed agli incarichi ricoperti dai singoli individui, in modo che ogni utente possa accedere alle sole informazioni di cui necessita, e devono essere periodicamente sottoposte a revisione.
- Garantire l’accesso appropriato alle informazioni personali conformemente ai principi della UNI ENISO 27018:2019.
- Devono essere definite delle procedure per l’utilizzo sicuro dei beni aziendali e delle informazioni e dei loro sistemi di gestione.
- Deve essere incoraggiata la piena consapevolezza delle problematiche relative alla sicurezza delle informazioni in tutto il personale (dipendenti e collaboratori) a partire dal momento della selezione e per tutta la durata del rapporto di lavoro.
- Per poter gestire in modo tempestivo gli incidenti, tutti devono notificare qualsiasi problema relativo alla sicurezza. Ogni incidente deve essere gestito come indicato nelle procedure.
- È necessario prevenire l’accesso non autorizzato alle sedi e ai singoli locali aziendali dove sono gestite le informazioni e deve essere garantita la sicurezza delle apparecchiature.
- Deve essere assicurata la conformità con i requisiti legali e con i principi legati alla sicurezza delle informazioni nei contratti con le terze parti.
- Deve essere predisposto un piano di continuità che permetta all’azienda di affrontare efficacemente un evento imprevisto, garantendo il ripristino dei servizi critici in tempi e con modalità che limitino le conseguenze negative sulla missione aziendale.
- Gli aspetti di sicurezza devono essere inclusi in tutte le fasi di progettazione, sviluppo, esercizio, manutenzione, assistenza e dismissione dei sistemi e dei servizi informatici.
- Devono essere garantiti il rispetto delle disposizioni di legge, di statuti, regolamenti o obblighi contrattuali e di ogni requisito inerente la sicurezza delle informazioni, riducendo al minimo il rischio di sanzioni legali o amministrative, di perdite rilevanti o danni alla reputazione.
RESPONSABILITA’ DI OSSERVANZA E ATTUAZIONE
L’osservanza e l’attuazione delle policy sono responsabilità di:
- Tutto il personale che, a qualsiasi titolo, collabora con l’azienda ed è in qualche modo coinvolto nei processi aziendali e, nell’ambito della sicurezza delle informazioni, con il trattamento di dati ed informazioni che rientrano nel campo di applicazione del Sistema di Gestione Integrato. Tutto il personale è altresì responsabile della segnalazione di tutte le anomalie e violazioni di cui dovesse venire a conoscenza.
- Tutti i soggetti esterni che intrattengono rapporti e collaborano con l’azienda. Devono garantire il rispetto dei requisiti contenuti nella presente policy.
Il Responsabile del Sistema di Gestione, nell’ambito del Sistema di Gestione della sicurezza delle informazioni e attraverso norme e procedure appropriate, deve:
- condurre l’analisi dei rischi con le opportune metodologie e adottare tutte le misure per la gestione del rischio
- stabilire tutte le norme necessarie alla conduzione sicura di tutte le attività aziendali
- verificare le violazioni alla sicurezza e adottare le contromisure necessarie e controllare l’esposizione dell’azienda alle principali minacce e rischi
- organizzare la formazione e promuovere la consapevolezza del personale per tutto ciò che concerne la sicurezza delle informazioni
- verificare periodicamente l’efficacia e l’efficienza del Sistema di Gestione.
Chiunque, dipendenti, consulenti e/o collaboratori esterni dell’Azienda, in modo intenzionale o riconducibile a negligenza, disattenda le regole stabilite e in tal modo provochi un danno all’azienda, potrà essere perseguito nelle opportune sedi e nel pieno rispetto dei vincoli di legge e contrattuali.
RIESAME
La Direzione verificherà periodicamente e regolarmente o in concomitanza di cambiamenti significativi l’efficacia e l’efficienza del Sistema di Gestione Integrato, in modo da assicurare un supporto adeguato all’introduzione di tutte le migliorie necessarie e in modo da favorire l’attivazione di un processo continuo, con cui viene mantenuto il controllo e l’adeguamento della policy in risposta ai cambiamenti dell’ambiente aziendale, del business, delle condizioni legali.
Il Responsabile del Sistema di Gestione ha la responsabilità del riesame della politica.
Il riesame dovrà verificare lo stato delle azioni preventive e correttive e l’aderenza alla politica.
Nell’ambito del Sistema di Gestione della Sicurezza delle Informazioni dovrà tenere conto di tutti i cambiamenti che possono influenzare l’approccio dell’Azienda alla gestione della sicurezza delle informazioni, includendo i cambiamenti organizzativi, l’ambiente tecnico, la disponibilità di risorse, le condizioni legali, regolamentari o contrattuali e dei risultati dei precedenti riesami.
Il risultato del riesame dovrà includere tutte le decisioni e le azioni relative al miglioramento dell’approccio aziendale alla gestione della sicurezza delle informazioni.
IMPEGNO DELLA DIREZIONE
La Direzione di ARDA SOLUTIONS S.R.L. conferisce ai Responsabili aziendali l’autorità per l’applicazione di tali sistemi di gestione, per quanto di competenza di ciascuno, e la responsabilità di relazionare alla Direzione in merito all’andamento del Sistema nell’area di propria pertinenza ed alle azioni di miglioramento intraprese o che ci si propone di intraprendere.
Garantisce inoltre che siano identificati tutti gli obiettivi negli ambiti dei sistemi di gestione integrati e che questi incontrino i requisiti aziendali; fornisce le risorse sufficienti alla pianificazione, implementazione, organizzazione, controllo, revisione, gestione e miglioramento continuo; approva e sostiene tutte le iniziative volte al miglioramento della sicurezza delle informazioni.
Infine, la Direzione si impegna a diffondere la presente “Politica aziendale” a tutto il personale di ARDA SOLUTIONS S.R.L. ed a renderla disponibile alle Parti interessate esterne all’Azienda, mediante idonei strumenti di comunicazione.