Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 1 (19)
Documento ad uso interno
Sezione di controllo del documento
Titolo del documento Politica per la Sicurezza delle informazioni
Tipo di documento Documento di Sistema
Applicazione
- HBG Connex S.p.A - “Gestione e conduzione operativa dei
sistemi a supporto dell'esercizio degli apparecchi di gioco lecito
con vincita in denaro: AWP (Amusement With Prizes) e VLT
(Video Lottery Terminal)”
- Tutte le società del gruppo HBG Gaming S.r.l.
Circolazione Il presente documento viene inserito nella raccolta delle
procedure aziendali pubblicate sulla intranet aziendale
Riferimenti esterni Standard ISO/IEC 27001:2013
Riferimenti interni Analisi di Contesto
Sistema di Gestione Sistema di Gestione della Sicurezza delle Informazioni
Indice
Revisione
Data
pubblicazione Motivo della revisione Redazione Verifica Approvazione
0 21/11/2016 Emissione
Sicurezza e
Compliance
ICT
Responsabile SGSI Direzione Generale
1 17/02/2017 Aggiornamento campo di
applicazione del SGSI
Sicurezza e
Compliance
ICT
Sicurezza e
Compliance ICT
Responsabile
Sicurezza e
Compliance ICT
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 2 (19)
Documento ad uso interno
Indice
1 Scopo e campo d’applicazione ............................................................................................ 4 Scopo .............................................................................................................................. 4
Campo d’applicazione .................................................................................................... 4
2 Riferimenti normativi ......................................................................................................... 5 3 Termini e definizioni ........................................................................................................... 5
4 Contesto dell’organizzazione .............................................................................................. 5 Comprendere l’organizzazione e il suo contesto ............................................................ 5
Comprendere le necessità e le aspettative delle parti interessate.................................... 6
Determinare il campo d’applicazione del sistema di gestione per la sicurezza delle
informazioni .......................................................................................................................... 6
Sistema di gestione per la sicurezza delle informazioni ................................................. 6
5 Leadership ............................................................................................................................ 7 Leadership e impegno ..................................................................................................... 7
Politica del sistema di gestione ....................................................................................... 7
Ruoli e responsabilità nel Sistema di Gestione della Sicurezza delle Informazioni ....... 9
6 Pianificazione ....................................................................................................................... 9 Azioni per affrontare rischi e opportunità..................................................................... 10
Obiettivi per la sicurezza delle informazioni e pianificazione per conseguirli............. 10
6.2.1 Diffondere una cultura per la sicurezza delle informazioni ............................. 11
6.2.2 Prevenire gli incidenti ....................................................................................... 11
6.2.3 Contenere le conseguenze degli incidenti e garantire la continuità operativa 11
6.2.4 Soddisfare i requisiti contrattuali e di business ................................................ 11
6.2.5 Soddisfare i requisiti cogenti e regolamentari .................................................. 12
7 Supporto ............................................................................................................................. 12 Risorse .......................................................................................................................... 12
Competenze .................................................................................................................. 12
Consapevolezza ............................................................................................................ 13
Comunicazione ............................................................................................................. 13
7.4.1 Comunicazione interna ..................................................................................... 13
7.4.2 Comunicazione con i fornitori e Clienti ............................................................ 13
7.4.3 Comunicazione con il pubblico ......................................................................... 14
Informazioni documentate ............................................................................................ 14
7.5.1 Classificazione delle informazioni .................................................................... 14
7.5.2 Creazione e aggiornamento delle informazioni ................................................ 15
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 3 (19)
Documento ad uso interno
7.5.3 Etichettatura delle informazioni ....................................................................... 15
7.5.4 Controllo delle informazioni ............................................................................. 15
8 Attività operativa ............................................................................................................... 16 Pianificazione e controllo operativi .............................................................................. 16
Valutazione del rischio relativo alla sicurezza delle informazioni ............................... 16
Trattamento del rischio relativo alla sicurezza delle informazioni ............................... 16
9 Valutazione delle prestazioni ............................................................................................ 17 Monitoraggio, misurazione, analisi e valutazione ........................................................ 17
Audit interno ................................................................................................................. 17
Riesame di Direzione .................................................................................................... 18
9.3.1 Elementi in ingresso per il Riesame .................................................................. 18
9.3.2 Elementi in uscita per il Riesame ...................................................................... 18
10 Miglioramento ................................................................................................................... 19 Non conformità e azioni correttive ....................................................................... 19
Miglioramento continuo ....................................................................................... 19
11 Allegati ................................................................................................................................ 19
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 4 (19)
Documento ad uso interno
1 Scopo e campo d’applicazione
Scopo
La presente politica ha l’obiettivo primario di definire il Sistema di Gestione per la Sicurezza delle
Informazioni (in seguito denominato anche SGSI), di HBG Connex S.p.A (d’ora innanzi indicata
anche come l’Azienda o l’Organizzazione) all’interno del processo definito nel paragrafo 1.2
Campo d’applicazione, in accordo ai requisiti della norma ISO/IEC 27001:2013 al fine di
proteggere le informazioni aziendali e gli elementi del sistema informativo delegati alla loro
gestione.
Obiettivo ultimo di tale politica è definire delle regole affinché siano garantiti il rispetto dei requisiti
di riservatezza, integrità e disponibilità delle informazioni trattate dall’azienda nei confronti dei suoi
stakeholder, nel rispetto delle leggi vigenti.
In particolare, la presente politica descrive:
I processi rilevanti per il Sistema di Gestione e la loro interazione, limitatamente al campo di
applicazione del Sistema stesso
La dichiarazione della mission e gli obiettivi per la Sicurezza delle Informazioni da
perseguire ai fini dell’efficacia del Sistema di Gestione
La suddivisione dei compiti, delle responsabilità e le principali modalità operative relative ai
processi rilevanti per il SGSI
L’inosservanza di tale politica può comportare, nell’ambito di una qualsiasi attività, gravi danni per
l’azienda, sia a livello reputazionale (come ad esempio la disaffezione della clientela) che operativo
(come la diffusione di virus informatici sui sistemi aziendali, la perdita o fuga di dati o il calo della
produttività a causa di disservizi prolungati).
Inoltre, possono verificarsi danni di natura economica e finanziaria, oltre a sanzioni penali e
amministrative in seguito a violazione delle normative vigenti.
Campo d’applicazione
La presente Politica per la Sicurezza delle Informazioni si applica alle attività operative e gestionali
di HBG Connex S.p.A. dislocate nell’ambito delle attività di:
“Gestione e conduzione operativa dei sistemi a supporto dell'esercizio degli apparecchi di gioco
lecito con vincita in denaro: AWP (Amusement With Prizes) e VLT (Video Lottery Terminal)”
Dall’ambito di certificazione vengono esclusi i sistemi e processi relativi alla gestione delle
periferie distribuite sul territorio, come ad esempio le sale, gli esercizi o i magazzini dove sono
ubicati gli apparecchi AWP e VLT.
La presente politica si applica a tutti gli utenti, siano essi dipendenti o esterni, così come ai fornitori
e le terze parti che condividono o scambiano dati con l’azienda, al fine di assicurare la protezione
del proprio Sistema Informativo da minacce e rischi e rispondere efficientemente a situazioni
anomale garantendo una pronta reazione e la continuità dei servizi e la produttività aziendale.
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 5 (19)
Documento ad uso interno
La presente politica rappresenta il documento di riferimento del SGSI di HBG Connex S.p.A. e
richiama quanto indicato nella norma ISO/IEC 27001:2013 in materia di sicurezza delle
informazioni, che costituisce il riferimento cardine per la gestione della Sicurezza delle
Informazioni.
2 Riferimenti normativi
Il presente documento si basa sulle seguenti normative:
- ISO/IEC 27000:2016 “Information technology -- Security techniques -- Information security
management systems -- Overview and vocabulary”
- ISO/IEC 27001:2013 “Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle
informazioni – Requisiti”
- ISO/IEC 27002:2013 “Information technology -- Security techniques -- Code of practice for
information security controls”
- ISO 31000:2009 “Risk management -- Principles and guidelines”
- D.lgs 231/2001 - Disciplina della responsabilità amministrativa delle persone giuridiche,
delle società e delle associazioni anche prive di personalità giuridica;
- D.lgs 196/2003 - Codice in materia di protezione dei dati personali;
- D.lgs 81/2008 – Sicurezza Lavoro
Il presente documento tiene inoltre in considerazione, ove applicabili le norme, o parti di esse,
elencante nell’Allegato SGSI03_Allegato1 Riferimenti Normativi.
3 Termini e definizioni
Ai fini della presente politica valgono le definizioni contenute nella norma ISO/IEC 27000:2016.
4 Contesto dell’organizzazione
Comprendere l’organizzazione e il suo contesto
L’Organizzazione definisce, e con cadenza annuale rivalida, il contesto in cui opera, gli attori
coinvolti, le opportunità e i possibili rischi impattanti sul proprio Sistema di Gestione per la
Sicurezza delle Informazioni.
Tale attività viene eseguita attraverso un’identificazione di tutte le parti interessate dal Sistema di
Gestione di HBG Connex S.p.A. con cui l’azienda entra in contatto per lo svolgimento delle attività
quotidiane di business. Tali parti interessate vengono raggruppate in sei categorie, ognuna delle
quali, interagendo direttamente o indirettamente con l’azienda, è portatrice di specifici interessi e, in
parte, fonte di rischi.
Gli interessi interni ed esterni all’azienda nonché i rischi derivanti dal contesto in cui essa opera
risultano rilevanti in quanto vincolano alcune scelte sia livello operativo che strategico e potrebbero
avere impatti in termini di sicurezza sui processi aziendali.
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 6 (19)
Documento ad uso interno
Per una descrizione approfondita del contesto in cui l’organizzazione opera, si faccia riferimento al
documento del SGSI Analisi di Contesto (ref .doc. SGSI01).
Comprendere le necessità e le aspettative delle parti interessate
Nell’analisi del contesto, richiamata nel paragrafo precedente, si descrive quali siano i fattori
esterni, i fattori interni, e le parti interessate che interagiscono con l’Azienda e quali le minacce che
possono impattarle. In tale ambito vengono anche elencati gli stakeholder che influenzano il
Sistema di Gestione per la Sicurezza delle Informazioni di HBG Connex S.p.A. e i requisiti che tali
parti determinano per il SGSI.
La presente policy è stata elaborata tenendo in considerazione le necessità, le aspettative ed i
requisiti delle parti interessate identificate nel documento di analisi del contesto.
Determinare il campo d’applicazione del sistema di gestione per la sicurezza delle
informazioni
Tutti i contesti tecnologici e non, attualmente utilizzati per il trattamento delle informazioni
soggette al SGSI, così come anche quelli futuri, sono da considerarsi all’interno del campo
d’applicazione della presente politica. Per informazioni soggette al SGSI si intendono le
informazioni conservate e trasmesse sia tramite mezzi elettronici che su supporti cartacei e definite
all’interno dell’Analisi del Contesto.
Sistema di gestione per la sicurezza delle informazioni
HBG Connex S.p.A. ha definito e formalizzato un Sistema di Gestione per la Sicurezza delle
Informazioni conforme allo Standard ISO / IEC 27001:2013. Tale Sistema di Gestione si basa sulla
presente politica la quale, nelle sue edizioni di volta in volta aggiornate, ne rappresenta il
documento guida.
Il SGSI viene regolarmente applicato e aggiornato ogni qualvolta se ne ravvisi l'utilità, al fine di
migliorarne continuamente l'efficacia in accordo con i requisiti delle norme di riferimento.
A tale scopo, l'organizzazione aziendale ha suddiviso tutta l'attività operativa in una sequenza di
processi determinati, ha individuato i rispettivi responsabili, stabilendo anche i criteri e metodi per
assicurare l'efficace funzionamento e controllo delle prassi formalizzate in apposite procedure e
moduli di registrazione delle attività svolte.
Di conseguenza, sulla base dei processi determinati, sono state definite e dimensionate le risorse
tecniche e professionali necessarie al fine di attuare le azioni necessarie per conseguire i risultati
voluti e il miglioramento continuo degli stessi e di garantirne il funzionamento, il monitoraggio e la
misura, ove applicabile, delle prestazioni.
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 7 (19)
Documento ad uso interno
5 Leadership
Leadership e impegno
Con cadenza almeno annuale, la Direzione Generale definisce o rivalida gli obiettivi del SGSI
compatibili con le strategie operative dell’Organizzazione e comunica a tutte le risorse necessarie
per la corretta applicazione del Sistema di Gestione l’importanza del miglioramento continuo,
fornendo guida e sostegno a tutto il personale.
Inoltre, l’azienda si avvale del supporto di consulenti specializzati e professionisti del settore al fine
di garantire un corretto livello di sicurezza delle informazioni.
In particolare, il Management si impegna a:
- Garantire il rispetto dei requisiti di sicurezza e l’integrità delle informazioni secondo quanto
previsto dalla normativa vigente;
- Mettere a disposizione, in coerenza con l’organizzazione e le responsabilità attribuite in
azienda, le risorse umane e operative necessarie a perseguire gli obiettivi di sicurezza;
- Comunicare a ciascuna risorsa necessaria per il corretto funzionamento del Sistema di
Gestione l’importanza di ottemperare ai requisiti previsti;
- Assicurare una formazione costante del personale in modo da mantenere adeguate
competenze;
- Riesaminare il Sistema di Gestione almeno una volta l’anno al fine di valutarne efficacia ed
efficienza e di fissare obiettivi, ove possibile, misurabili che consentano un miglioramento
costante
Politica del sistema di gestione
Il Sistema di Gestione della Sicurezza delle Informazioni ha come obiettivo primario la protezione
del patrimonio informativo di HBG Connex S.p.A. e il mantenimento dei requisiti di riservatezza,
integrità e disponibilità delle informazioni.
Il raggiungimento di adeguati livelli di sicurezza, consente all’azienda di mitigare e contrastare
perdite e danneggiamenti che possano avere impatto sulle persone, sull’immagine e la reputazione
aziendali, sugli aspetti di natura economica e finanziaria, oltre a consentire la conformità al contesto
contrattuale e legislativo vigente in materia di protezione delle informazioni.
In tale ambito, l’Azienda individua i seguenti obiettivi per il presente manuale:
- Adottare ed implementare principi e best practice riconosciuti per garantire la Sicurezza
delle Informazioni e promuovere l’acquisizione di certificazioni di conformità agli standard
di riferimento;
- Individuare ruoli e responsabilità, da assegnare al proprio organico, indipendentemente dal
livello gerarchico occupato, coinvolgendo anche i soggetti terzi che svolgono incarichi
chiave;
- Assegnare le risorse necessarie al fine di assicurare l’impiego di misure idonee per gli
aspetti riguardanti la sicurezza fisica, logica ed organizzativa;
- Promuovere continuamente il Sistema di Gestione per la Sicurezza delle Informazioni,
anche mediante un impegno costante degli Organi e dei Soggetti apicali;
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 8 (19)
Documento ad uso interno
- Individuare, documentare ed applicare regole che disciplinano le modalità di utilizzo delle
informazioni, dei beni e degli strumenti;
- Sviluppare un programma di consapevolezza per il personale, mediante sessioni informative
e formative periodiche;
- Predisporre adeguate misure di reazione e gestione a fronte del verificarsi di incidenti che
possono compromettere la sicurezza delle informazioni e la normale operatività;
- Impegnarsi a svolgere un processo continuo di miglioramento ed evoluzione del Sistema di
Gestione per la Sicurezza delle Informazioni, pianificando, eseguendo, verificando e
attuando con continuità misure ed accorgimenti atti al contrasto di potenziali eventi che
possano compromettere il patrimonio informativo aziendale
La sicurezza viene vista come un insieme di processi ciclici ad ogni livello e lo standard ISO/IEC
27001:2013 si concentra su aspetti di gestione della sicurezza, definendo un catalogo di
contromisure di sicurezza ad un livello tale da potere essere applicate ad ambienti, sistemi e
procedure diverse all’interno di qualsiasi tipo di azienda.
Il SGSI è stato definito in modo da eseguire un processo ciclico di gestione costituito da 4 fasi
sequenziali. L’output di ciascuna fase rappresenta l’input per la fase successiva. Le quattro fasi
vengono chiamate Plan, Do, Check, Act (PDCA).
Durante la fase di Plan, che viene eseguita per prima, il sistema di gestione viene definito e dotato
di tutti gli strumenti (requisiti, obiettivi, pianificazione, risorse ecc.) necessari alla propria
esecuzione.
Durante la fase Do, il sistema tenta di conseguire gli obiettivi stabiliti in fase Plan, utilizzando gli
strumenti definiti.
Durante la fase Check, le performance del sistema (rispetto dei requisiti, raggiungimento degli
obiettivi, efficacia ecc.) vengono esaminate e misurate. Eventuali scostamenti dai risultati attesi
vengono analizzati per determinare azioni correttive o azioni di miglioramento.
Durante la fase Act viene dato luogo all’esecuzione delle azioni determinate nella fase precedente.
Al termine della fase Act, il ciclo ricomincia con una nuova fase Plan.
Nei SGSI conformi allo standard ISO/IEC 27001:2013, i requisiti per l’implementazione della fase
Plan vengono descritti nei capitoli dal 4 al 6; i requisiti per la fase Do sono espressi nel capitolo 8;
quelli per la fase Check nel capitolo 9; quelli per la fase Act nel capitolo 10. Il capitolo 7, cosiddetto
di supporto, fornisce requisiti per processi (gestione delle informazioni documentate, gestione delle
risorse, comunicazione ecc.) che vengono utilizzati lungo tutte le 4 fasi del PDCA.
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 9 (19)
Documento ad uso interno
Ruoli e responsabilità nel Sistema di Gestione della Sicurezza delle Informazioni
L’efficace attuazione del SGSI ed il conseguimento degli obiettivi prefissati sono assicurati
dall’assetto organizzativo definito e messo in atto dalla Direzione Generale. A tale scopo, essa
identifica, definisce ed assegna l’insieme dei ruoli e delle responsabilità relative al Sistema di
Gestione della Sicurezza delle Informazioni di HBG Connex S.p.A., e li comunica rendendoli
disponibili a tutti i dipendenti all’interno della rete aziendale. Di seguito vengono sinteticamente
riportati ruoli, le principali prerogative e responsabilità:
Direzione Generale - determina la strategia dell'organizzazione integrata con il Sistema di
Gestione della Sicurezza delle Informazioni (SGSI), stabilisce gli obiettivi di sicurezza delle
informazioni e mette a disposizione le risorse necessarie per la gestione del SGSI. Inoltre
promuove il miglioramento continuo del SGSI, esegue il riesame e valuta le prestazioni del
SGSI.
Steering Committee - fornisce il supporto decisionale al Responsabile del SGSI, supporta
l'integrazione del SGSI all'interno dei processi aziendali. Supporta la Direzione nel riesame
del SGSI.
Responsabile del SGSI – è responsabile dell’implementazione e della gestione complessiva
del Sistema di Gestione della Sicurezza delle Informazioni attraverso le risorse messe a
disposizione dalla Direzione nel rispetto dei requisiti delle parti interessate e per il
raggiungimento degli obiettivi stabiliti. È parte attiva nei processi di validazione ed
approvazione di policy e procedure del SGSI.
Risorse Umane - misura e gestisce il grado di competenza e consapevolezza delle risorse
umane coinvolte nel sistema di gestione definendo appositi programmi di sensibilizzazione e
formazione e garantendone l’esecuzione.
Risk Owner – gestisce uno o più rischi specifici. Approva il piano di trattamento del rischio
in collaborazione con il Responsabile SGSI, sulla base della soglia di accettabilità stabilità
dalla Direzione Generale. È responsabile dell’accettazione formale del rischio residuo.
Asset Owner – garantisce la sicurezza delle informazioni dell'asset di cui è l’owner. Tale
governo è garantito rispettando le policy del sistema di gestione, i processi e le procedure di
sicurezza associate agli asset oltre che mediante l’applicazione di opportuni controlli
determinati in collaborazione con il Responsabile SGSI. Stabilisce le regole di accesso
all'asset e collabora ai controlli di sicurezza da applicare ad esso al fine di ridurre rischi
identificati dal risk owner fino al livello accettabile.
Le figure di Risk Owner e Asset Owner possono anche essere assegnate alla stessa persona.
Per la descrizione più dettagliata dei ruoli, responsabilità e l’autorità si fa riferimento al documento
“Ruoli, responsabilità e autorità del SGSI”.
6 Pianificazione
HBG Connex S.p.A. pianifica e implementa il SGSI in modo coerente con il conseguimento degli
obiettivi di sicurezza delle informazioni fissati e con la possibilità di garantire costantemente il
rispetto dei requisiti di integrità, disponibilità e riservatezza.
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 10 (19)
Documento ad uso interno
Il SGSI implementato è, peraltro, uno strumento dinamico di gestione, capace di recepire ogni
eventuale elemento di miglioramento salvaguardando la conformità alle norme di riferimento.
La pianificazione delle attività per la Sicurezza delle Informazioni è descritta e distribuita su tutta la
documentazione per la Sicurezza delle Informazioni, che fa perno sulla presente politica e sulle
relative procedure .
Azioni per affrontare rischi e opportunità
HBG Connex S.p.A. ha identificato e instaurato un processo documentato di gestione del rischio
relativo alla sicurezza delle informazioni che utilizza una metodologia di Valutazione del Rischio.
La metodologia di valutazione e trattamento del rischio è stata sviluppata ad hoc prendendo spunto
dalle migliori pratiche di settore e dalle raccomandazioni dei comitati tecnici e scientifici di
riferimento ed introducendo alcune peculiarità originali. La metodologia considera ad alto livello
tutti gli asset rilevanti per il SGSI ed utilizzati dai differenti processi all’interno
dell’Organizzazione.
Secondo la metodologia, dopo aver stabilito le scale di impatto e le frequenze di accadimento, per
valutare i rischi collegati alla Sicurezza delle Informazioni vengono innanzitutto individuati gli
asset dell’azienda che trattano le informazioni rilevanti per il SGSI.
Per ogni famiglia di asset, vengono correlate minacce e vulnerabilità per ciascuno dei requisiti di
Riservatezza, Integrità e Disponibilità. In tal modo è possibile condurre una valutazione del rischio
vera e propria sulle famiglie di asset e/o sugli asset che trattano le informazioni rilevanti per il
SGSI, tenendo in considerazione le più significative vulnerabilità presenti, le possibili minacce e la
loro frequenza di accadimento (cfr. documento “Metodologia Analisi del Rischio”).
Una volta analizzati i risultati della valutazione dei rischi ed effettuando opportuni approfondimenti
sulle specifiche risorse a supporto dei propri processi, il Responsabile SGSI ed i Risk Owner
decidono le azioni da intraprendere e valuta se accettare / mitigare / trasferire / eliminare i rischi
rilevati nell’ambito di un apposito Piano di Trattamento del Rischio.
Dal piano di trattamento del rischio viene derivata la Dichiarazione di Applicabilità (SOA).
Obiettivi per la sicurezza delle informazioni e pianificazione per conseguirli
L’Organizzazione riconosce che sia le informazioni che tutti i sistemi attraverso i quali esse
transitano o sono elaborate, immagazzinate o trasmesse devono essere soggette ad un'attenta e
controllata gestione, finalizzata ad innalzarne e mantenerne i livelli di sicurezza allineati ai migliori
standard internazionali.
A questo fine, la Direzione Generale ritiene di definire e supportare adeguatamente la presente
politica e tutte le attività ad essa connesse impegnandosi fortemente a partire dalla sua stessa
Direzione.
Gli obiettivi che giustificano l’adozione di un Sistema di Gestione per la Sicurezza delle
Informazioni sono molteplici e sono descritti nei paragrafi seguenti. Per i metodi di misurazione e
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 11 (19)
Documento ad uso interno
valutazione quantitativa del grado raggiungimento di tali obiettivi, si rimanda al documento
“Obiettivi di Sicurezza delle Informazioni”.
6.2.1 Diffondere una cultura per la sicurezza delle informazioni
L’Azienda ritiene che la più importante linea di difesa sia rappresentata dal personale dell'azienda,
indipendentemente dal suo livello, e si basa sulla sensibilità e sul patrimonio conoscitivo dei singoli
individui. La Direzione opera in tal senso un incoraggiamento continuo e sostiene l’esecuzione di
processi periodici di adeguata formazione quali fattori fondamentali per ottenere una cultura della
sicurezza diffusa tra il personale.
La diffusione della cultura della sicurezza delle informazioni ed il suo continuo innalzamento sono
un obiettivo del SGSI.
6.2.2 Prevenire gli incidenti
La prevenzione è una misura indispensabile per proteggere le informazioni aziendali, poiché mette
al riparo l’organizzazione dalle conseguenze di un evento indesiderato che avrebbe potuto tradursi
in danni economici, legali o di immagine. L'analisi preventiva e i test rivestono un ruolo
fondamentale in questo contesto. È necessario quindi prevedere l’implementazione di una serie di
misure preventive e di recovery dei dati volte a ridurre il rischio di danno causato da interruzioni del
servizio.
La prevenzione degli incidenti è un obiettivo del SGSI.
6.2.3 Contenere le conseguenze degli incidenti e garantire la continuità operativa
In aggiunta alla prevenzione, la strategia complementare per ridurre al minimo i danni è la risposta
immediata ad un incidente. Come per tutte le situazioni di emergenza, seguire dei piani predisposti,
facenti riferimento ad azioni ben precise, rende possibile intervenire con prontezza riportando
rapidamente l’azienda nelle condizioni di normalità e limitando il prolungarsi nel tempo di
situazioni dannose. A tale scopo vengono stabiliti i processi di incidet management. I tracciati degli
incidenti occorsi e le informazioni acquisite devono essere mantenute in appositi archivi per
minimizzare i danni dovuti a incidenti di sicurezza o malfunzionamenti. I processi di incident
management devono essere resi noti a tutto il personale e gli utenti devono essere messi a conoscenza
delle modalità di gestione dei incidenti al fine di garantire un’efficace risposta in caso di incidenti di
sicurezza (ad esempio: infezione da virus, tentativi di intrusione).
Il contenimento delle conseguenze degli incidenti è un obiettivo del SGSI.
6.2.4 Soddisfare i requisiti contrattuali e di business
Tutti i requisiti di sicurezza delle informazioni che hanno origine contrattuale o legale hanno una
rilevanza strategica per il business e di conseguenza il loro rispetto è centrale per il SGSI. Più in
generale, tutti gli aspetti di sicurezza delle informazioni che possono influenzare l’immagine
aziendale, sono indirizzati nell’ambito del SGSI.
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 12 (19)
Documento ad uso interno
Deve essere controllato e regolato da una specifica normativa l’accesso di terze parti ai sistemi
informativi aziendali al fine di mantenere un adeguato livello di sicurezza delle informazioni. Questa
normativa costituirà parte del capitolato tecnico e dovrà essere inclusa nei contratti che regolano i
rapporti tra l’azienda e le società fornitrici e clienti. La gestione in outsourcing di dispositivi informatici e l’elaborazione di dati aziendali devono essere
conformi con la politica di sicurezza delle informazioni. Inoltre, nel contratto di outsourcing devono
essere indicati, insieme ai parametri di Service Level Agreement (SLA), specifici requisiti di sicurezza
che devono essere garantiti dalla società outsourcer.
La soddisfazione dei requisiti contrattuali in relazione alla sicurezza delle informazioni è un
obiettivo del SGSI.
6.2.5 Soddisfare i requisiti cogenti e regolamentari
Infine, tutti i requisiti relativi alla sicurezza delle informazioni che hanno origine dal panorama
regolatorio cogente o ne derivano, o sono previsti all’interno di norme adottate dall’organizzazione
sono centrali per il SGSI. La Politica per la Sicurezza delle Informazioni deve essere soggetta a
verifica periodica al fine di assicurare la conformità del sistema informativo con le norme o regolamenti
adottati dall’organizzazione.
La soddisfazione dei requisiti cogenti e regolamentari è un obiettivo del SGSI.
7 Supporto
Per tutte le attività che fanno riferimento alla messa in atto delle azioni individuate come necessarie
per la realizzazione del Sistema di Gestione, la Direzione Generale si impegna a determinare e
rendere disponibili le risorse necessarie.
In particolare, la Direzione Generale si impegna a far sì che le risorse umane e le infrastrutture
necessarie a garantire il conseguimento degli obiettivi di sicurezza delle informazioni e le strategie
di business siano sempre disponibili, al fine di migliorare in continuo l’efficacia del SGSI.
Risorse
Tutti i dipendenti, i collaboratori e i fornitori collegati al Sistema di Gestione hanno un ruolo
fondamentale nel conseguimento degli obiettivi della sicurezza delle informazioni. Infatti è
necessario che ogni risorsa conosca il proprio ruolo e le proprie attività da svolgere in caso si
verifichi un evento avverso che può mettere in crisi il business aziendale. L’organizzazione e le
autorità per la definizione e mantenimento del SGSI sono definite nel par. 5.3, vengono assegnate
mediante comunicazione formale e pubblicate sulla intranet aziendale.
Competenze
L’adeguatezza professionale delle risorse impiegate è monitorata e aggiornata secondo le esigenze
di volta in volta emergenti e valutate da Risorse Umane con cadenza almeno annuale in occasione
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 13 (19)
Documento ad uso interno
del riesame di Direzione. Tutto il personale deve seguire una formazione periodica nell’ambito della
sicurezza delle informazioni.
La Direzione Generale valuterà puntualmente quali necessità di competenze sono necessarie per
l’attuazione e il miglioramento del Sistema di Gestione.
Sulla base dei requisiti formativi per il personale interno, l’Azienda definisce:
- La pianificazione di corsi di formazione generali e specifici con l’ausilio di fornitori esperti.
- La partecipazione a seminari e/o convegni esterni a fini formativi.
- L’iscrizione del personale responsabile a mailing list e/o forum on-line sulla sicurezza delle
informazioni
Per quello che riguarda le attività di formazione, l’azienda o le terze parti, si occuperanno di
produrre evidenze della partecipazione del personale ai corsi.
Consapevolezza
Oltre agli obiettivi di formazione, relativi all’acquisizione dell’aggiornamento operativo e tecnico
ritenuto necessario, le azioni formative del personale sono volte anche ad assicurare che tutto il
personale mantenga costante la consapevolezza dell’importanza delle proprie attività rispetto al
conseguimento degli obiettivi aziendali per la sicurezza delle informazioni.
Comunicazione
L’Organizzazione è impegnata nel rendere sempre più efficace il sistema di comunicazione al
proprio personale.
HBG Connex S.p.A. definisce opportuni metodi di comunicazione delle informazioni aziendali a
seconda del pubblico a cui sono indirizzate.
7.4.1 Comunicazione interna
La comunicazione verso il personale interno è svolta tramite il sistema di posta elettronica interna
ed il portale intranet aziendale. Tramite questo canale vengono veicolate informazioni riguardanti la
sicurezza ed eventuali aggiornamenti del SGSI.
7.4.2 Comunicazione con i fornitori e Clienti
Le comunicazioni con Fornitori e Clienti sono stabilite a livello contrattuale con le singole entità
che operano con l’Azienda. In ogni caso entrambe le parti si impegnano ad usare canali trasmissivi
consoni alla classificazione delle informazioni che vengono trasferite.
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 14 (19)
Documento ad uso interno
7.4.3 Comunicazione con il pubblico
Queste sono tipicamente informazioni di marketing, promozionali o a scopo di ricerca di personale.
Sono gestite direttamente da HBG Connex S.p.A. attraverso il proprio sito o tramite appositi servizi
e sono generalmente informazioni di carattere pubblico.
Informazioni documentate
Le informazioni trattate da HBG Connex S.p.A. sono fondamentali per il core business aziendale,
siano esse cartacee o digitali. Conseguentemente, è fondamentale che vengano gestite
opportunamente secondo la loro natura, il loro livello di classificazione, le tipologie di trattamento
ed i requisiti specifici di sicurezza.
7.5.1 Classificazione delle informazioni
La classificazione delle informazioni, in funzione della loro criticità per le attività dell’azienda,
guida la modalità per il trattamento e la protezione delle informazioni.
La classificazione delle informazioni è sempre immediatamente desumibile, indipendentemente
dalla natura del supporto ove queste risiedono.
Lo schema di classificazione delle informazioni esposto successivamente è da considerarsi valevole
non solo per i documenti ma anche, più estensivamente, per tutte le informazioni trattate da HBG
Connex S.p.A. e soggette al SGSI. Questo schema di classificazione è orientato unicamente alla
confidenzialità delle informazioni, non ad altre proprietà che hanno un impatto sulla sicurezza.
In accordo con lo schema di classificazione adottato, l’organizzazione sviluppa, mantiene, favorisce
e garantisce l’utilizzo di un set di procedure per il trattamento delle informazioni (produzione,
elaborazione, archiviazione, accesso, copia, trasmissione, ricezione, distruzione) progettate per
garantire adeguati livelli di riservatezza, integrità e disponibilità.
CLASSIFICAZIONE DESCRIZIONE Tipologia di informazioni
CONFIDENZIALE Informazione accessibile solo da
un ristretto e predefinito gruppo
di persone
Dati personali, informazioni
strategiche e privilegiate
USO INTERNO Informazione accessibile al
personale interno ed esterno
sotto NDA
Procedure, documentazioni
tecniche, comunicazioni
PUBBLICO Informazioni di pubblico accesso Dati pubblicati su internet o
destinati alla pubblica diffusione
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 15 (19)
Documento ad uso interno
7.5.2 Creazione e aggiornamento delle informazioni
La creazione di un nuovo documento da inserire nel framework documentale deve essere
previamente autorizzata, revisionata ed approvata dal Responsabile SGSI, che ne valuta la reale
necessità e la rispondenza con gli obiettivi di business aziendali. Ogni documento deve riportare al
suo interno l’autore dello stesso e il livello di classificazione su ogni pagina. Il documento deve
essere creato utilizzando solamente i modelli standard aziendali.
Tali indicazioni si applicano anche in caso di modifiche o aggiornamenti al SGSI.
Ulteriori informazioni documentate, create mediante processi che non possono utilizzare il modello
aziendale standard, verranno assoggettate a specifiche procedure che ne consentano
immediatamente di identificare il livello di classificazione e le modalità di generazione (ad
esempio: log applicativi, codice sorgente, etc.)
7.5.3 Etichettatura delle informazioni
L’etichettatura delle informazioni deve essere effettuata coerentemente con lo schema di
classificazione delle informazioni definito dall’Organizzazione e applicata ove possibile a tutti i
supporti di memorizzazione in modo semplice e chiaro, al fine di permettere un’immediata
identificazione delle misure di sicurezza da applicare. L’etichettatura viene effettuata dall’autore del
documento.
Le informazioni prive di etichettatura, sono considerate ad USO INTERNO e con distribuzione
limitata all’interno all’azienda.
Quando non è possibile etichettare direttamente l’informazione, l’asset owner procede
all’etichettatura dell’asset che la contiene. Se l’asset contiene più informazioni con gradi di
classificazione diversi, l’asset assumerà lo stesso grado di classificazione dell’informazione a grado
più elevato di classificazione. L’etichettatura degli asset viene tracciata in un apposito registro.
7.5.4 Controllo delle informazioni
Ogni informazione è soggetta ad un livello di controllo differente a seconda del livello di
classificazione attribuito.
In particolare, le informazioni pubbliche sono soggette ad un livello minimo di protezione e
archiviate in qualunque locale dell’azienda o file digitale non cifrato, in quanto la loro divulgazione
non reca alcun danno al business aziendale. Le informazioni ad uso interno devono essere
consultate previa verifica dell’autorizzazione dell’accesso. La conservazione di tali informazioni
deve essere tale da garantire la riservatezza dei dati. Le informazioni confidenziali possono essere
consultate da un limitato numero di persone autorizzate. Per tale motivo, tali informazioni devono
essere conservate in modo sicuro e controllato.
La distruzione delle informazioni interne o confidenziali deve avvenire in modo irreversibile, come
indicato nell’apposite procedure.
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 16 (19)
Documento ad uso interno
8 Attività operativa
Pianificazione e controllo operativi
HBG Connex S.p.A. ha definito, formalizzato e attuato un Sistema di Gestione per la Sicurezza
delle Informazioni conforme allo Standard ISO/IEC 27001:2013.
Quanto previsto per il SGSI viene regolarmente applicato nella quotidiana attività lavorativa.
Qualora si rilevino non conformità, mancanze o inefficienze di processo il SGSI viene aggiornato al
fine di migliorarne continuamente l'efficacia in accordo con i requisiti della norma di riferimento e
le normative cogenti.
Valutazione del rischio relativo alla sicurezza delle informazioni
Con cadenza almeno annuale e in occasione di importanti cambiamenti al Sistema di Gestione,
l’Organizzazione esegue un processo di Risk Management volto all’identificazione e valutazione
dei principali rischi a cui sono esposte le informazioni soggette al SGSI, e di conseguenza i processi
che le trattano e gli asset ad essi funzionali. Tale valutazione viene opportunatamente documentata
durante l’attività di riesame della Direzione che si svolge con cadenza almeno annuale.
Trattamento del rischio relativo alla sicurezza delle informazioni
Al termine dell’identificazione dei principali rischi a cui l’azienda è esposta, vengono valutate le
possibili contromisure di mitigazione, eliminazione o trasferimento del rischio al fine di garantire la
sicurezza delle informazioni.
Tali contromisure sono preventivamente autorizzate dai Risk Owner e realizzate da un Responsabile
opportunatamente identificato nella fase di pianificazione delle attività di Risk Management.
I risultati del trattamento del rischio vengono documentati e opportunatamente conservati nelle
modalità previste per tutti i documenti classificati come “confidenziali”.
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 17 (19)
Documento ad uso interno
9 Valutazione delle prestazioni
La Sicurezza delle Informazioni afferente ai servizi erogati deve essere costantemente misurata e
mantenuta formalmente sotto controllo attraverso adeguati strumenti di gestione.
L’Organizzazione ha definito una serie di attività volte a misurare le prestazioni dei propri processi
inerenti la Sicurezza delle Informazioni, al fine di analizzarle e individuare le aree di miglioramento
da sviluppare. Al fine di misurare l’efficacia e l’idoneità del proprio Sistema di Gestione per la
Sicurezza delle Informazioni ed identificare le opportunità/esigenze di miglioramento, HBG
Connex S.p.A. analizza una serie di dati principalmente rappresentati da:
- le non conformità rilevate;
- gli incidenti di sicurezza occorsi;
- le risultanze dal processo di Risk Management;
- i risultati degli audit interni e di terza parte;
- gli indicatori di processo;
- la normale operatività.
Monitoraggio, misurazione, analisi e valutazione
Il SGSI viene monitorato dal Responsabile SGSI, che con cadenza almeno annuale effettua una
revisione dell’intero framework documentale relativo al Sistema di Gestione dell’Organizzazione.
In particolare, il Responsabile verifica che siano presenti le politiche, le procedure organizzative e
le registrazioni che permettono una buona gestione del Sistema interno e si assicura che vengano
opportunatamente aggiornate in caso di cambiamenti significativi.
La Direzione Generale, in occasione del riesame, effettua una valutazione sulle analisi e sul
monitoraggio effettuato dal Responsabile SGSI.
Audit interno
Il monitoraggio periodico e costante del Sistema di Gestione per la Sicurezza delle Informazioni è
effettuato, ad intervalli pianificati e almeno annualmente, mediante l’esecuzione di Audit Interni.
Tali audit, condotti da personale qualificato e in possesso di opportune competenze, hanno lo scopo
di valutare, tramite la ricerca di evidenze oggettive, la presenza di eventuali situazioni carenti
rispetto alla soddisfazione dei requisiti cogenti, contrattuali, normativi ed interni inerenti il Sistema
di Gestione per la Sicurezza delle Informazioni.
Le risultanze degli Audit sono documentate in appositi rapporti che riportano le non conformità
emerse, i suggerimenti/raccomandazioni che si ritiene di dover dare in merito alle situazioni rilevate
ed un giudizio complessivo in merito al grado di conformità del processo verificato rispetto alle
prescrizioni di riferimento.
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 18 (19)
Documento ad uso interno
Riesame di Direzione
La Direzione verifica con cadenza almeno annuale o in concomitanza di cambiamenti significativi
l’efficacia e l’efficienza del Sistema di Gestione della Sicurezza delle Informazioni, in modo da
assicurare un supporto adeguato all’introduzione di tutte le migliorie necessarie e in modo da
favorire il miglioramento continuo.
Il riesame permette di verificare lo stato delle azioni correttive e l’aderenza del SGSI rispetto alla
Politica per la Sicurezza delle Informazioni, tenendo conto di tutti i cambiamenti che possono
influenzare l’approccio della azienda alla gestione della sicurezza delle informazioni, assicurando in
tal modo il raggiungimento degli obiettivi pianificati.
Il risultato del riesame include tutte le decisioni e le azioni relative al miglioramento dell’approccio
aziendale alla gestione della sicurezza delle informazioni, dei controlli e nell’allocazione delle
risorse e delle responsabilità.
Per quanto possibile, in sede di riesame, si tende sempre ad individuare parametri quantificabili e
misurabili per tutte le valutazioni in ingresso e in uscita, di seguito illustrate.
9.3.1 Elementi in ingresso per il Riesame
Il Riesame di Direzione si avvale prevalentemente dei seguenti elementi di ingresso e/o di altri
riconducibili a questi:
- i risultati degli Audit interni ed esterni
- i risultati delle rilevazioni degli aspetti inerenti la sicurezza delle informazioni;
- le prestazioni dei processi individuati, relative alla sicurezza delle informazioni e al rispetto
dei requisiti specificati;
- lo stato di avanzamento dell’attuazione delle azioni correttive e preventive, comprese le
verifiche di efficacia;
- gli impegni assunti in sede dei precedenti riesami di Direzione;
- modifiche che potrebbero avere effetti sul sistema di gestione per la sicurezza delle
informazioni;
- raccomandazioni per il miglioramento
9.3.2 Elementi in uscita per il Riesame
Gli elementi in uscita dal Riesame di Direzione riguardano prevalentemente i seguenti elementi:
- miglioramento delle prestazioni dei processi individuati;
- miglioramento delle misure in essere relativamente alla sicurezza delle informazioni e
individuazione di eventuali nuove misure;
- eventuali nuovi obiettivi di miglioramento;
- valutazione dei bisogni di nuove o diverse competenze tecniche e/o personali/professionali;
- valutazioni sulla continuità dell’adeguatezza della politica della sicurezza delle
informazioni.
Documento di Sistema SGSI03
Rev.1
Politica per la sicurezza delle
informazioni
17/02/2017
pag. 19 (19)
Documento ad uso interno
10 Miglioramento
Non conformità e azioni correttive
Le non conformità possono consistere, a titolo di esempio, nel mancato rispetto delle modalità di
svolgimento descritte nel corpo documentale del SGSI oppure nel mancato soddisfacimento di
requisiti inerenti la sicurezza delle informazioni nei sistemi in esercizio.
Le eventuali non conformità inerenti la corretta attuazione del Sistema di Gestione per la Sicurezza
delle Informazioni vengono rilevate attraverso gli Audit interni o mediante le attività di
sorveglianza poste in essere dagli Asset Owner. In quest’ultimo caso, le problematiche riscontrate
vengono sottoposte all’attenzione del Responsabile SGSI, che valuta se intervenire mediante
opportune azioni correttive.
Le azioni correttive sono quei provvedimenti intrapresi allo scopo di rimuovere le cause che hanno
generato non conformità o, più in generale, situazioni contrastanti con la corretta ed efficace
attuazione del Sistema di Gestione per la Sicurezza delle Informazioni.
In particolare, la gestione delle azioni correttive si articola nelle seguenti fasi:
- Descrizione delle carenze riscontrate ed individuazione del responsabile dell’attuazione
dell’azione correttiva;
- Definizione delle modalità di trattamento della non conformità ed identificazione delle cause
e dell’azione proposta con i relativi tempi di implementazione previsti;
- Verifica ed approvazione delle azioni correttive dal responsabile preposto;
- Data ultimazione delle azioni previste;
- Riesame della corretta attuazione e dell’efficacia delle azioni intraprese
Miglioramento continuo
L’Organizzazione assicura, tra i suoi obiettivi principali, il miglioramento continuo del proprio
Sistema di Gestione di Sicurezza delle Informazioni. Tale processo di miglioramento viene
garantito attraverso le azioni correttive scaturite dagli audit, i Risk Assessment e la normale
operatività.
La pianificazione del processo di miglioramento trova la sua formalizzazione nel Verbale di
Riesame di Direzione o in altri documenti emessi allo scopo di definire, oltre agli obiettivi da
perseguire, le relative responsabilità ed i percorsi da seguire.
11 Allegati
SGSI03_Allegato1 Riferimenti Normativi
Top Related