Politica e controlli per la sicurezza delle informazioni

ISO 27001

Alpin Srl è certificata ISO 27001:2017

Data di prima emissione certificato: 25/01/2024
Validità certificato: 24/01/2027

Certificato ISO

Scopo e Campo di applicazione

Lo scopo del presente documento è quello di descrivere i principi generali di sicurezza delle informazioni definiti da Alpin al fine di sviluppare un efficiente e sicuro Sistema di Gestione della Sicurezza delle Informazioni.

Riferimenti

  • ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection – Information security management systems – Requirements.
  • Decreto legislativo 30 giugno 2003, n. 196 così come modificato dal D.lgs. 101/2018 – Provvedimenti del Garante e Regolamento Europeo 679/2016 in materia di protezione dei dati personali.

Descrizione

Per Alpin la sicurezza delle informazioni ha come obiettivo primario la protezione dei dati e delle informazioni, della struttura tecnologica, fisica, logica ed organizzativa, e la loro gestione. Questo significa ottenere e mantenere un sistema di gestione sicura delle informazioni, attraverso il rispetto delle seguenti proprietà:

  • Riservatezza: assicurare che l’informazione sia accessibile solamente ai soggetti e/o ai processi debitamente autorizzati;
  • Integrità: salvaguardare la consistenza dell’informazione da modifiche non autorizzate;
  • Disponibilità: assicurare che gli utenti autorizzati abbiano accesso alle informazioni e agli elementi architetturali associati quando ne fanno richiesta;
  • Controllo: assicurare che la gestione dei dati avvenga sempre attraverso processi e strumenti sicuri e testati;
  • Autenticità: garantire una provenienza affidabile dell’informazione;
  • Privacy: garantire la protezione ed il controllo dei dati personali.

Nell’ambito della gestione dei servizi offerti, l’osservanza dei livelli di sicurezza stabiliti, si intende assicurare:

  • La garanzia di aver incaricato un partner affidabile al trattamento del proprio patrimonio informativo;
  • Un’elevata immagine aziendale;
  • La completa osservanza dei Service Level Agreement (SLA) stabiliti con i clienti;
  • La soddisfazione del cliente;
  • Il rispetto delle normative vigenti e degli standard internazionali di sicurezza.

Per questo motivo Alpin ha sviluppato un Sistema di Gestione Sicura delle Informazioni seguendo i requisiti specificati della Norma ISO/IEC 27001:2022 e delle leggi cogenti come mezzo per gestire la sicurezza delle informazioni nell’ambito della propria attività.

Ambito di applicazione

La politica per la sicurezza delle informazioni di Alpin si applica a tutto il personale interno ed alle terze parti che collaborano alla gestione delle informazioni ed a tutti i processi e risorse coinvolte nella progettazione, realizzazione, avviamento ed erogazione continuativa dei propri servizi IT.

Descrizione della politica

La politica della sicurezza di Alpin rappresenta l’impegno dell’organizzazione nei confronti di clienti e terze parti a garantire la sicurezza delle informazioni, degli strumenti fisici, logici e organizzativi atti al trattamento delle informazioni in tutte le attività.

La politica della sicurezza delle informazioni di Alpin si ispira ai seguenti principi:

  • Garantire all’organizzazione la piena conoscenza delle informazioni gestite e la valutazione della loro criticità, al fine di agevolare l’implementazione degli adeguati livelli di protezione;
  • Garantire l’accesso sicuro alle informazioni, in modo da prevenire trattamenti non autorizzati o realizzati senza i diritti necessari;
  • Garantire che l’organizzazione e le terze parti collaborino al trattamento delle informazioni adottando procedure volte al rispetto di adeguati livelli di sicurezza;
  • Garantire che le anomalie e gli incidenti aventi ripercussioni sul sistema informativo e sui livelli di sicurezza aziendale siano tempestivamente riconosciuti e correttamente gestiti attraverso efficienti sistemi di prevenzione, comunicazione e reazione al fine di minimizzare l’impatto sul business;
  • Garantire che l’accesso alle sedi ed ai singoli locali aziendali avvenga esclusivamente da personale autorizzato, a garanzia della sicurezza delle aree e degli asset presenti;
  • Garantire la conformità con i requisiti di legge ed il rispetto degli impegni di sicurezza stabiliti nei contratti con le terze parti;
  • Garantire la rilevazione di eventi anomali, incidenti e vulnerabilità dei sistemi informativi al fine di rispettare la sicurezza e la disponibilità dei servizi e delle informazioni;
  • Garantire la Business Continuity aziendale e il Disaster Recovery, attraverso l’applicazione di procedure di sicurezza stabilite.

Alpin definisce e documenta le politiche, gli obiettivi e gli impegni per la sicurezza delle informazioni, anche tenendo conto delle aspettative di tutti gli Stakeholder, dei possibili rischi e opportunità e della soddisfazione della conformità di requisiti cogenti e del cliente.

Per attuare tali Politiche, la Direzione individua e determina come raggiungere degli obiettivi definiti, rendendoli quantificabili e misurabili.

La politica della sicurezza delle informazioni viene costantemente aggiornata per assicurare il suo continuo miglioramento ed è condivisa con l’organizzazione, le terze parti ed i clienti, attraverso un sistema documentale interno e specifici canali di comunicazione.

Responsabilità ed aggiornamenti

La Direzione di Alpin è responsabile del sistema di gestione sicura delle informazioni, in coerenza con l’evoluzione del contesto aziendale e di mercato, valutando eventuali azioni da intraprendere a fronte di eventi come:

  • Evoluzioni significative del business;
  • Nuove minacce rispetto a quelle considerate nell’attività di analisi del rischio;
  • Significativi incidenti di sicurezza;
  • Evoluzione del contesto normativo o legislativo in materia di trattamento sicuro delle informazioni.

Bolzano, luglio 2024 – la Direzione.