POLITICA PER LA QUALITA’ E LA SICUREZZA DELLE INFORMAZIONI
La Direzione della Alfa Group S.p.a. procede alla definizione della propria “Politica della Qualità e della Sicurezza delle Informazioni” inquadrandola in una più ampia visione della strategia generale aziendale e nel suo posizionamento nel mercato.
Ad oggi Alfa Group S.p.a. ha tre grandi valori: risorse, cultura e metodologie. Ciascuna di queste componenti è orientata a proporre innovazione sia in termini tecnologici che di visione del business. Si tratta di un’attitudine che Alfa Group mette a disposizione del sistema delle imprese italiane, indipendentemente dal settore di intervento e dalle dimensioni di ogni singola azienda.
La strategia della società si inspira alle seguenti linee generali:
- Svolgere la propria attività per puntare ad ottenere risultati reali e duraturi al fine di mantenere un rapporto ottimo e costante nel tempo con i clienti e fornitori;
- Offrire, come risultato del proprio processo, dei servizi in linea con gli standard qualitativi più elevati;
- Puntare a soddisfare in maniera continuativa sia i committenti che i propri stakeholder;
- Puntare alla istruzione e formazione delle risorse umane che costituiscono il proprio nucleo produttivo, al fine di accrescere la cultura professionale complessiva e creare un gruppo di lavoro omogeneo.
Proprio in quest’ottica di miglioramento delle attuali procedure riguardanti la Sicurezza delle Informazioni, l’Azienda si fa da garante per fornire sufficienti garanzie e adeguati controlli sulla Sicurezza, per proteggere l’interesse del cliente così come quello del pubblico in generale.
In quest’ambito, l’Azienda ha anche pianificato un miglioramento ed una maggior cura riguardo la classificazione delle Informazioni, per un’efficace ed efficiente Sicurezza delle Informazioni.
L’organizzazione ha l’obiettivo di assicurare la protezione delle informazioni aziendali in allineamento con le strategie di business e di gestione dei rischi aziendali in conformità ai requisiti legali, normativi e contrattuali, tenendo presente i requisiti delle terze parti interessate.
A tal fine definisce la “Politica della Qualità e della Sicurezza delle Informazioni” nell’impegno a perseguire la piena soddisfazione del cliente ed al fine di migliorare le proprie prestazioni mirando a:
- Garantire ai propri committenti, con modalità oggettive e verificabili, la realizzazione ed erogazione di servizi rispondenti alle condizioni contrattuali ed alle normative tecniche vigenti ed agli standard di mercato anche assicurando la continuità nei confronti delle associate;
- Standardizzare i processi, compatibilmente con la specificità delle realizzazioni, attraverso il ricorso a procedure che definiscano nel dettaglio compiti e responsabilità e consentano il riutilizzo del Know-how acquisito e consolidato;
- Ottimizzare i tempi di realizzazione ed erogazione al fine di ridurli;
- Razionalizzare i costi di produzione, al fine di poter migliorare i contenuti economici delle offerte ai propri committenti;
- Responsabilizzare il personale, anche attraverso incontri periodici, volti al miglioramento del clima aziendale;
- Puntare ad aumentare il livello di istruzione e la formazione del personale, finalizzati all’accrescimento culturale e professionale, oltre che acquisire abilità utilizzabili;
- Acquisire il miglioramento dell’immagine nel mercato nazionale;
- Assegnare e monitorare opportuni ruoli e responsabilità per la gestione della sicurezza delle informazioni
- Valutare periodicamente i rischi di sicurezza delle informazioni, di tutte le parti interessate, al fine di ridurli a livelli accettabili;
- Aumentare il livello di consapevolezza della popolazione aziendale sugli aspetti relativi alla sicurezza delle informazioni;
- Aumentare il livello di competenza della popolazione aziendale sugli aspetti relativi alla sicurezza delle informazioni;
- Proteggere il proprio patrimonio informativo e quello delle parti interessate in termini di Riservatezza, Integrità e Disponibilità;
- L’Azienda si impegna a verificare periodicamente l’efficacia e l’efficienza del sistema di gestione per la sicurezza delle informazioni, garantendo l’adeguato supporto per l’adozione delle necessarie migliorie, al fine di consentire l’attivazione di un processo continuo che terrà sotto controllo il variare delle condizioni a contorno o degli obiettivi di business aziendali al fine di garantirne il suo corretto adeguamento;
- Preservare al meglio l’immagine aziendale;
- Evitare ritardi nell’erogazione dei servizi (rispetto degli SLA);
- Assicurare e monitorare i requisiti di sicurezza all’interno degli accordi con le parti interessate;
- Ridurre il numero di incidenti di sicurezza delle informazioni;
- Soddisfare tutti i requisiti normativi relativi alla Sicurezza delle Informazioni vigenti e cogenti.
Il Sistema di Gestione identifica e tiene conto dei requisiti derivanti dall’evoluzione del contesto interno e del contesto esterno, in particolare dei requisiti delle terze parti interessate, e identifica gli obiettivi di sicurezza da perseguire. L’Alta Direzione si impegna ad allocare le risorse necessarie alla realizzazione del predetto sistema e mantiene un “commitment” adeguato sulle tematiche della sicurezza, assicurando che gli obiettivi di sicurezza siano integrati nei processi aziendali e conseguiti.
Per orientare le diverse iniziative di protezione e, più in generale, i comportamenti di tutto il personale, a diverso titolo preposto alla gestione delle “informazioni aziendali”, l’Organizzazione ritiene opportuno adottare i seguenti principi:
- Deve essere svolta (periodicamente e comunque in presenza di situazioni che possono influire sul complessivo livello di rischio) un’attività di identificazione e valutazione dei rischi connessi alla sicurezza delle informazioni trattate (analisi dei rischi) con metodologie integrate nel complessivo sistema di gestione dei rischi; per ciascun rischio è identificata una figura responsabile della sua gestione.
- In base ai risultati dell’analisi dei rischi debbono essere adottati opportuni controlli. Tali controlli debbono garantire adeguati livelli di protezione nei confronti delle minacce considerate rilevanti per la specifica informazione (eventi naturali, frodi, errori, …) e per ogni possibile contesto in cui l’informazione viene trattata (centri di elaborazione dati, reti, posti di lavoro, …). In tutti i casi il livello di protezione selezionato deve risultare conforme alle disposizioni normative esterne fra cui, a titolo esemplificativo e non esaustivo, si citano le norme di legge (privacy, 231, anticorruzione e trasparenza…), disposizioni emanate dagli Organi di Vigilanza, ed alle norme di autoregolamentazione (ad es. statuti, codici di condotta, codici di autodisciplina). L’eventuale rischio residuo deve essere portato a conoscenza del C.d.A. e da quest’ultimo approvato.
- I presidi progettati ed attivati debbono risultare conformi allo stato delle tecnologie e delle best practice tenuto conto del bilanciamento tra il costo della protezione, il rischio connesso e la propensione al rischio individuata a livello aziendale.
- Le responsabilità di gestione delle informazioni debbono essere formalmente assegnate ed includono fra l’altro l’analisi della rilevanza/criticità di ciascuna informazione e la conseguente definizione dei criteri di protezione, qualità, ritenzione, concessione delle autorizzazioni di uso.
- Tutto il personale deve operare in modo di salvaguardare la riservatezza, l’integrità, la disponibilità, la divulgazione delle “informazioni e il ciclo di vita dei documenti” gestite e ridurre i rischi cui le predette informazioni sono esposte.
- La politica di sicurezza delle informazioni deve essere riesaminata ad intervalli pianificati o a cambiamenti significativi.
- La presente Politica è comunicata a tutto il personale ed alle terze parti interessate al trattamento delle “informazioni aziendali”.
A questo scopo la Direzione si impegna ad attuare e diffondere la Politica della Qualità suindicata, assicurando le risorse e le condizioni necessarie per la sua realizzazione, provvedendo periodicamente al riesame per verificare le effettive prestazioni ed il conseguimento degli obiettivi indicati.