L'assistente virtuale per il tuo ecommerce Shopify

Scopri Indi-e

02-SGSI Politica del sistema di gestione della sicurezza delle informazioni

Numero documento: 02-SGSI

Nome della società: Indigo.ai S.R.L. 

Proprietario/i della politica: Andrea Tangredi

Data di entrata in vigore: 14.03.2024

Storia della versione

Versione: 1.0

Data: 14.03.2024

Descrizione: 02-SGSI Politica del sistema di gestione della sicurezza delle informazioni

Autore: Andrea Tangredi

Approvato da: Gianluca Maruzzella

Scopo

Questa politica fornisce un quadro di riferimento da applicare per la creazione, l'implementazione, il mantenimento e il miglioramento continuo del sistema di gestione della sicurezza delle informazioni ("SGSI"), come definito in 01-SGSI Ambito di applicazione, in conformità ai requisiti dello standard ISO/IEC 27001 ("ISO 27001").

Leadership

Leadership e impegno

Indigo.ai S.R.L. si impegna a stabilire, implementare, mantenere e migliorare continuamente il SGSI. L'impegno della leadership è dimostrato dalla Direzione nell'esercizio delle proprie responsabilità. Indigo.ai S.R.L. stabilirà una politica di sicurezza delle informazioni e fisserà obiettivi di sicurezza delle informazioni che siano pienamente allineati con la nostra direzione strategica. Indigo.ai S.R.L. assicurerà che siano disponibili risorse sufficienti per l'effettiva creazione, implementazione, manutenzione e miglioramento del nostro SGSI. Tali risorse comprenderanno:

  1. Sostegno finanziario
  2. Personale qualificato
  3. Strutture e infrastrutture tecniche

Politica di sicurezza delle informazioni

La direzione di Indigo.ai S.R.L. stabilisce e sostiene una politica di sicurezza delle informazioni dedicata che ha le seguenti caratteristiche:

  1. Allineata con lo scopo e la missione dell'organizzazione.
  2. Incorpora i nostri obiettivi di sicurezza delle informazioni o pone le basi per la determinazione di tali obiettivi.
  3. Dimostra l'impegno a soddisfare tutti i requisiti di sicurezza delle informazioni.
  4. Sottolinea il nostro continuo impegno a migliorare il nostro sistema di gestione della sicurezza delle informazioni.

Per la trasparenza e la consapevolezza:

  1. Questa politica è documentata e facilmente accessibile.
  2. Viene comunicata attivamente a tutti i livelli all'interno di Indigo.ai S.R.L..
  3. Inoltre, ci assicuriamo che questa politica sia disponibile alle parti esterne interessate, a dimostrazione del nostro impegno per la sicurezza delle informazioni.

Ruoli, responsabilità e autorità

Indigo.ai S.R.L. ha definito i ruoli, le responsabilità e le autorità coinvolte nella creazione, nell'implementazione, nel mantenimento e nel miglioramento continuo del SGSI. Indigo.ai S.R.L. ha inoltre definito come verranno misurate le prestazioni e le competenze e come verranno affrontati i gap di competenza. Per ulteriori dettagli, consultare il documento 03-SGSI Ruoli, responsabilità e autorità.

Pianificazione

Pianificazione generale del SGSI

Indigo.ai S.R.L. dà priorità all'identificazione dei rischi e delle opportunità principali, all'integrazione delle soluzioni nel nostro sistema e al monitoraggio e miglioramento continuo del nostro approccio.

Valutazione del rischio di sicurezza delle informazioni

In Indigo.ai S.R.L., il nostro metodo coerente di valutazione dei rischi garantisce l'identificazione delle principali minacce alla sicurezza. Valutiamo regolarmente e diamo priorità a questi rischi e conserviamo la documentazione di tutti i nostri risultati. Per ulteriori dettagli, consultare il documento 04-SGSI Processo di valutazione e trattamento dei rischi

Trattamento del rischio di sicurezza delle informazioni

Indigo.ai S.R.L. si impegna a selezionare le soluzioni giuste per i rischi identificati, a implementare i controlli di sicurezza necessari e a documentare accuratamente le nostre scelte ottenendo le approvazioni essenziali.  Per ulteriori dettagli, consultare il documento 04-SGSI Processo di valutazione e trattamento dei rischi.

Definizione e raggiungimento degli obiettivi di sicurezza

Indigo.ai S.R.L. stabilisce obiettivi di sicurezza chiari e misurabili. Abbiamo sviluppato un piano completo che spiega come raggiungerli, assegnando le risorse e le responsabilità necessarie e monitorando continuamente i nostri progressi per apportare le modifiche necessarie. Gli obiettivi di sicurezza delle informazioni vengono rivisti annualmente dalla Direzione di Indigo.ai S.R.L. sulla base di una chiara comprensione dei requisiti aziendali. 

Gli attuali obiettivi di sicurezza delle informazioni sono i seguenti:

  1. Proteggere la riservatezza, la disponibilità e l'integrità dei dati aziendali, dei clienti e dei dipendenti.
  2. Rispettare le leggi, i regolamenti e gli obblighi contrattuali dei clienti.
  3. Ottenere e mantenere la certificazione ISO 27001

I piani d'azione per il raggiungimento di questi obiettivi sono mantenuti e rivisti annualmente dalla Direzione. Per ulteriori dettagli, consultare il 10-SGSI Piano degli obiettivi di sicurezza delle informazioni

Pianificazione delle modifiche al sistema SGSI

Quando le modifiche sono ritenute essenziali, Indigo.ai S.R.L. si assicura che siano pianificate in modo sistematico, con un'attenta considerazione del loro potenziale impatto sulla sicurezza generale e sull'organizzazione.

Supporto

Risorse:

Indigo.ai S.R.L. si impegna ad allocare le risorse necessarie per creare, eseguire, mantenere e migliorare costantemente il proprio sistema di gestione della sicurezza delle informazioni.

Competenza:

  1. Identifichiamo le competenze necessarie per i ruoli che hanno un impatto sulla nostra sicurezza informatica.
  2. Il personale viene valutato in base all'istruzione, alla formazione e all'esperienza per garantire che possieda le competenze richieste.
  3. Quando necessario, Indigo.ai S.R.L. fornirà formazione, tutoraggio o riassegnazione, oppure ricorrerà a competenze esterne, mantenendo anche la prova di tali competenze.

Consapevolezza:

  1. Tutto il personale viene messo al corrente della nostra politica di sicurezza delle informazioni e segue una formazione annuale di sensibilizzazione.
  2. I dipendenti comprendono il loro ruolo nel successo del sistema di gestione della sicurezza delle informazioni e le ripercussioni della mancata conformità.

Comunicazione:

  1. Indigo.ai S.R.L. identifica e agisce sulla necessità di comunicazioni interne ed esterne riguardanti le nostre pratiche di sicurezza delle informazioni.
  2. Le decisioni comprendono cosa, quando, come e con chi comunicare.

Le politiche di sicurezza delle informazioni rilevanti saranno comunicate a tutto il personale coinvolto almeno una volta all'anno, dopo la revisione e l'approvazione, o dopo qualsiasi modifica significativa della politica. La politica sarà resa disponibile nel sistema aziendale tramite la piattaforma Complaion accessibile a tutto il personale di Indigo.ai S.R.L.. Per ulteriori dettagli, consultare il documento 06-SGSI Piano di comunicazione sulla sicurezza delle informazioni.

Controllo delle informazioni documentate

Informazioni documentate:

Il nostro sistema comprende le informazioni esplicitamente richieste e qualsiasi altra documentazione che riteniamo fondamentale per l'efficacia delle nostre misure di sicurezza.

La creazione e gli aggiornamenti della documentazione tengono conto della corretta identificazione, del formato e dei meccanismi di approvazione.

Per mantenere l'integrità della nostra documentazione, disponiamo di protocolli per controllare la distribuzione, l'accesso, l'archiviazione, le modifiche e la conservazione.

La documentazione esterna, ritenuta essenziale, viene identificata e gestita efficacemente all'interno del nostro sistema.

Indigo.ai S.R.L. ha definito una procedura per il controllo e la protezione delle informazioni documentate. Per ulteriori dettagli, consultare il documento 05-SGSI Procedura per il controllo delle informazioni documentate.

Operazione

Pianificazione e controllo operativo

Indigo.ai S.R.L. pianificherà, eseguirà e supervisionerà i processi vitali per soddisfare i requisiti e le azioni delineate nella clausola 6. Indigo.ai S.R.L. manterrà le informazioni documentate necessarie. Le modifiche pianificate saranno supervisionate e le implicazioni delle modifiche non pianificate saranno valutate. Verranno intraprese azioni appropriate per contrastare eventuali effetti negativi. I processi, i prodotti o i servizi di origine esterna cruciali per il sistema di gestione della sicurezza delle informazioni saranno gestiti da Indigo.ai S.R.L..

Valutazione del rischio di sicurezza delle informazioni

Indigo.ai S.R.L. condurrà valutazioni del rischio a intervalli programmati o alla luce di alterazioni significative, attenendosi ai criteri evidenziati al punto 6.1.2 a). Verrà conservata una registrazione degli esiti di tali valutazioni del rischio.

Trattamento del rischio di sicurezza delle informazioni

Indigo.ai S.R.L. si impegna a eseguire il piano di trattamento dei rischi per la sicurezza delle informazioni. Per garantire la responsabilità, saranno conservate informazioni documentate sui risultati del trattamento dei rischi. 

Valutazione delle prestazioni

Audit interno

Indigo.ai S.R.L. esegue annualmente audit interni del proprio SGSI e ha definito una procedura di audit interno SGSI. Per ulteriori dettagli, si rimanda al documento 07-SGSI Procedura per gli audit interni.

Revisione della gestione

Indigo.ai S.R.L. ha definito una procedura di riesame della gestione del SGSI che consiste negli input e negli output necessari per garantire che il SGSI dell'azienda funzioni efficacemente, come previsto, e sia in continuo miglioramento. Per ulteriori dettagli, si rimanda alla 08-SGSI Procedura per il riesame della direzione.

Miglioramento

Miglioramento continuo

Indigo.ai S.R.L. si impegna a migliorare costantemente la pertinenza, l'adeguatezza e l'efficienza del proprio sistema di gestione della sicurezza delle informazioni.

Non conformità e azioni correttive

In caso di deviazione dagli standard stabiliti, Indigo.ai S.R.L. si impegna a:

  1. Affrontare la non conformità, gestirne gli effetti e implementare le correzioni necessarie.
  2. Valutare la causa principale, assicurandosi che non si ripeta o emerga in altre aree.
  3. Attuare le modifiche richieste e convalidare l'efficacia.
  4. Tutte le misure adottate saranno proporzionate alla gravità delle non conformità individuate.

Per trasparenza e due diligence, Indigo.ai S.R.L. documenterà:

  • Le specifiche di ogni non conformità e le misure correttive applicate.
  • I risultati di tali azioni correttive.

Indigo.ai S.R.L. ha definito una procedura per le azioni correttive e il miglioramento continuo del SGSI quando vengono identificate delle non conformità. Le non conformità possono essere identificate durante gli audit interni, gli audit esterni, i riesami della direzione o il monitoraggio continuo del SGSI. Per ulteriori dettagli, consultare il documento 09-SGSI Procedura per azioni correttive e miglioramento continuo

Violazione della politica

Tutto il personale di Indigo.ai S.R.L. (compresi i dipendenti, gli appaltatori e le terze parti applicabili) deve mantenere la sicurezza, la riservatezza, la disponibilità, l'integrità e la privacy delle risorse di Indigo.ai S.R.L.. Le violazioni delle politiche e delle procedure SGSI possono essere considerate gravi violazioni della fiducia, che possono comportare azioni disciplinari fino alla cessazione del rapporto di lavoro o del contratto e azioni penali in conformità alle leggi federali, statali e locali applicabili.

Copertura ISO 27001

ISO 27001 4.1; 4.2; 4.3; 5.1