Politica del Sistema di Gestione per la Sicurezza delle Informazioni
(ver. 02 del 25/03/2021)


1. Scopo e campo di applicazione

Lo scopo del presente documento è quello di descrivere i principi generali di Sicurezza delle Informazioni definiti da OMNYS S.r.l. al fine di sviluppare un funzionale Sistema di Gestione per la Sicurezza delle Informazioni (SGSI).

 

2. Descrizione

Per OMNYS la Sicurezza delle Informazioni ha come obiettivo primario la protezione dei dati e delle informazioni che l’organizzazione tratta sia per le attività interne che per l’erogazione dei servizi proposti alla clientela.

Questo significa ottenere e mantenere un Sistema di Gestione per la Sicurezza delle Informazioni, nell’ambito del campo di applicazione definito per il SGSI, attraverso il rispetto dei seguenti requisiti di base:

  • Riservatezza: assicurare che l’informazione sia accessibile solamente ai soggetti e/o ai processi debitamente autorizzati; 
  • Integrità: salvaguardare la consistenza dell’informazione da modifiche non autorizzate; 
  • Disponibilità: assicurare che gli utenti autorizzati abbiano accesso alle informazioni e agli elementi architetturali associati quando ne fanno richiesta; 
  • Controllo: assicurare che la gestione delle informazioni avvenga sempre attraverso processi e strumenti sicuri e testati; 
  • Autenticità: garantire una provenienza affidabile dell’informazione; 
  • Data Protection: garantire la protezione ed il controllo dei dati personali. 

Nell’ambito della gestione dei servizi offerti da OMNYS, attraverso la propria infrastruttura tecnologica, l’osservanza dei livelli di Sicurezza delle Informazioni stabiliti attraverso l’implementazione del SGSI, assicura la garanzia: 

  • della scelta di un partner affidabile al trattamento del proprio patrimonio informativo,  
  • della scelta di un partner con una significativa immagine aziendale, 
  • della completa osservanza degli accordi stabiliti con i clienti, 
  • di ottenere servizi con un alto livello di professionalità, 
  • del rispetto delle normative vigenti e degli standard internazionali di sicurezza.

Per questo motivo OMNYS ha implementato un Sistema di Gestione per la Sicurezza delle Informazioni seguendo i requisiti specificati della UNI CEI EN ISO/IEC 27001:2017 e delle leggi cogenti come mezzo per gestire al meglio la Sicurezza delle Informazioni nell’ambito della propria attività.

 

3. Ambito di applicazione

La Politica per la Sicurezza delle Informazioni di OMNYS si applica a tutto il personale interno ed alle terze parti che collaborano alla gestione delle informazioni ed a tutti i processi e risorse coinvolte nella progettazione, realizzazione, avviamento, erogazione, assistenza continuativa nell’ambito dei servizi erogati.

 

4. Politica per la Sicurezza delle Informazioni

La Politica per la Sicurezza della Informazioni di OMNYS rappresenta l’impegno dell’organizzazione nei confronti di clienti e terze parti a garantire la sicurezza delle informazioni, degli strumenti fisici, logici e organizzativi atti al trattamento delle informazioni in tutte le attività.

La Politica per la Sicurezza delle Informazioni di OMNYS si orienta ai seguenti obiettivi:

  1. garantire all’organizzazione la piena conoscenza delle informazioni gestite e la valutazione della loro criticità, al fine di agevolare l’implementazione degli adeguati livelli di protezione;
  2. garantire l’accesso sicuro alle informazioni, in modo da prevenire trattamenti non autorizzati o realizzati senza i diritti necessari;
  3. garantire che l’organizzazione e le terze parti collaborino al trattamento delle informazioni adottando procedure volte al rispetto di adeguati livelli di sicurezza;
  4. garantire che l’organizzazione e le terze parti che collaborano al trattamento delle informazioni abbiano piena consapevolezza delle problematiche relative alla sicurezza;
  5. garantire che le anomalie e gli incidenti aventi ripercussioni sul sistema informativo e sui livelli di sicurezza aziendale siano tempestivamente riconosciuti e correttamente gestiti, attraverso efficienti sistemi di prevenzione, comunicazione e reazione al fine di minimizzare l’impatto sul business;
  6. garantire che l’accesso alla sede operativa ed ai singoli locali aziendali avvenga esclusivamente da personale autorizzato, a garanzia della sicurezza delle aree e degli asset presenti;
  7. garantire la conformità con i requisiti di legge ed il rispetto degli impegni di sicurezza stabiliti nei contratti con le terze parti;
  8. garantire la rilevazione di eventi anomali, incidenti e vulnerabilità dei sistemi informativi al fine di rispettare la sicurezza e la disponibilità dei servizi e delle informazioni;
  9. garantire la Continuità Operativa aziendale (Business Continuity) e il Disaster Recovery, attraverso l’applicazione di procedure di sicurezza stabilite.  

 

5. Responsabilità della Politica di Sicurezza delle Informazioni

La Direzione è responsabile del sistema di gestione per la sicurezza delle informazioni, in coerenza con l’evoluzione del contesto aziendale e di mercato, valutando eventuali azioni da intraprendere a fronte di eventi come: 

  • evoluzioni significative del business,
  • nuove minacce rispetto a quelle considerate nell’attività di analisi del rischio, 
  • significativi incidenti di sicurezza,
  • evoluzione del contesto normativo o legislativo in materia di trattamento sicuro delle informazioni.

 

6. Miglioramento continuo

La Politica per la Sicurezza delle Informazioni è formalizzata nel SGSI, viene costantemente aggiornata per assicurare il suo continuo miglioramento ed è condivisa con l’organizzazione, le terze parti ed i clienti, attraverso specifici canali di comunicazione.