Lingua
Richiedi una demo

ISO 27001: Politica della Sicurezza dell'Informazione

La protezione del patrimonio informativo aziendale è un obiettivo di primario interesse per la tutela e la continuità del business di THRON ed è altresì un obbligo contrattuale verso le parti interessate.

A tal fine viene istituito il Sistema di Protezione delle Informazioni aziendali (Information Security Management System o ISMS), progettato dall’ Information Security Manager (ISM) di THRON e basato su:

  1. politiche e linee guida;
  2. misure di sicurezza organizzative, fisiche, tecnologiche e comportamentali;
  3. metodologie e metodi di verifica dell’efficacia e dell’adeguatezza alle necessità aziendali ed ai requisiti di legge.

L’Information Security Management System tende a conseguire le seguenti finalità:

  1. salvaguardare i leciti interessi degli azionisti, dei dipendenti e di tutte le ulteriori parti interessate;
  2. garantire la protezione delle informazioni aziendali e la continuità delle attività lavorative, assicurando che il livello di protezione previsto sia attuato in funzione della criticità, del rischio e del valore delle informazioni da proteggere;
  3. definire un modello di riferimento nella protezione delle informazioni aziendali semplice, coerente e tempestivamente aggiornato sulle strategie di business;
  4. conservare le prove documentali dei sistemi progettati e attuati, nonché delle attività svolte, a fini legali, fiscali ed operativi;
  5. rispondere ai requisiti imposti dalle direttive nazionali ed europee sulla sicurezza delle reti e delle informazioni.

Principi Generali

L’ Information Security Management System si fonda sui seguenti principi:

  • l’informazione è un bene aziendale che deve essere adeguatamente protetto in tutte le fasi del trattamento (dalla progettazione alla distruzione)
  • la sicurezza informatica deve costituire parte integrante di ogni processo aziendale
  • il rischio non può essere totalmente eliminato, ma l’obiettivo è quello di contenerlo entro un livello accettabile (a garantire la continuità dei servizi erogati)
  • la responsabilità, propria o verso gli altri, di proprietari, fornitori o utenti dei sistemi informativi, deve essere esplicita
  • i sistemi esterni sono, per definizione, non sicuri
  • le protezioni devono, ove possibile, essere costruite “a strati” e composte da un mix equilibrato di misure tecnologiche ed organizzative
  • i sistemi “mission critical” devono essere segregati rispetto ai sistemi con accesso pubblico
  • tutti gli accessi ai dati devono essere autorizzati secondo i principi del “need-to-know” (lo stretto necessario) e del “least privilege” (minime autorizzazioni di accesso).

Modello dell’ ISMS

L’Information Security Management System è strutturato su diversi (tra loro correlati) livelli di contromisure per la protezione della riservatezza, integrità e disponibilità delle informazioni:

  1. livello organizzativo identifica la distribuzione delle responsabilità e dei ruoli nella gestione della protezione delle informazioni
  2. livello tecnologico, che si articola in:
    1. livello di infrastruttura identifica come devono essere progettati e realizzati i sistemi ICT (elaborazione, trasmissione e conservazione) in modo da garantire un adeguato livello di sicurezza
    2. livello di rete identifica i meccanismi di difesa per gestire l’accesso alla rete aziendale (sia dall’interno che da postazione remota)
    3. livello applicativo identifica i meccanismi di difesa per gestire l’accesso alle applicazioni ed ai dati da esse elaborati
  3. livello comportamentale identifica le regole cui deve attenersi tutto il personale nonché eventuali altri soggetti terzi che interagiscono con THRON
  4. livello fisico identifica le protezioni fisiche da mettere in atto per proteggere i dispositivi, gli apparati ICT e l’accesso agli stessi
  5. livello legale identifica leggi e norme da rispettare
  6. livello di controllo identifica i meccanismi organizzativi e tecnologici che permettono di tenere sotto controllo il livello complessivo di protezione delle informazioni.

I principi sopra enunciati sono dettagliati nel documento descrittivo del Sistema di Protezione delle Informazioni (Information Security Protection Policy) e costituiscono la base di specifiche Linee Guida, emesse a cura dell’ ISM, pubblicate sul portale interno aziendale ed oggetto di formazione periodica a tutti gli interessati.

Ambito di Applicazione

L’ Information Security Protection Policy si applica a tutte le parti interessate di THRON e coinvolge e vincola tutte le persone che hanno necessità di accedere al sistema informativo di THRON (inclusi dipendenti / partners / fornitori / clienti).

Il disegno architetturale dei sistemi informativi, sia per la parte di infrastruttura che per quella delle applicazioni, deve rispettare ed essere coerente con i principi del’l Information Security Protection Policy di THRON sin dalla fase progettuale.

Gli stessi principi si applicano anche all’utilizzo dei beni e delle risorse aziendali.

THRON
Chief Executive Officer (CEO)

Revisione del 30/09/2023