D01 CONTESTO E GOVERNO

Transcript

1 D01 CONTESTO E GOVERNO Contesto in cui opera l'avepa, ambito di applicazione, politica di sicurezza, ruoli e responsabilità 1 / 16

2 AUTORE DESCRIZIONE DOCUMENTO VERSIONE 1.0 DATA ULTIMA REVISIONE STATO DOCUMENTO APPROVAZIONE CLASSIFICAZIONE DIVULGAZIONE Nadia Menegati, Dennis R. Milani Definitivo Direzione Pubblico Pubblicazione intranet aziendale e comunicazione alle parti interessate 2 / 16

3 Indice generale 1 TRATTAMENTO DEL DOCUMENTO Distribuzione del documento Approvazione ed archiviazione del documento Data di inizio validità Scopo del documento Versioni Abbreviazioni e termini utilizzati AVEPA E IL CONTESTO IN CUI OPERA Presentazione dell'agenzia Soggetti interni ed esterni Open data e sicurezza dei dati Riferimenti normativi L'adozione dello standard ISO AMBITO DI APPLICAZIONE E PERIMETRO POLITICA DEL SGSI DEFINIZIONE GENERALE DI RUOLI E REPONSABILITÀ La Direzione Riesame della Direzione Organismo di gestione del SGSI Specializzazioni Dirigente Area servizi information technology Funzione operativa Sistema di gestione della sicurezza delle informazioni Dirigente Area amministrazione e contabilità Settore affari istituzionali Ruolo del Responsabile della sicurezza delle informazioni Dirigenti di settore e Dirigenti degli Sportelli unici agricoli Responsabilità del gruppo di lavoro ISO 27001: Responsabilità degli utenti Business continuity team Area controllo interno REVISIONI / 16

4 1 TRATTAMENTO DEL DOCUMENTO 1.1 Distribuzione del documento Il presente documento (rif. art. 5.2 ISO 27001:2013) deve: essere diffuso all'interno dell'avepa (di seguito anche Agenzia ), portandone a conoscenza tutti i dipendenti attraverso la pubblicazione nel sito intranet; essere reso disponibile per le eventuali altre parti interessate, limitatamente agli argomenti di loro interesse. 1.2 Approvazione ed archiviazione del documento Il documento definitivo è allegato al decreto del Direttore di approvazione e archiviato nel repository SGSI. 1.3 Data di inizio validità La data di inizio validità è la data di approvazione del decreto di adozione. 1.4 Scopo del documento Con il presente documento si vuole presentare il contesto in cui opera l'avepa (rif. art. 4 ISO27001:2013), definire l'impegno della Direzione attraverso una politica per la sicurezza delle informazioni, stabilire i ruoli e le responsabilità (rif. art. 5 ISO27001:2013). Per raggiungere tale obiettivo questo documento si propone di: presentare un quadro strutturale per la collocazione degli obiettivi relativi alla sicurezza delle informazioni; formalizzare l'impegno della Direzione a soddisfare i requisiti attinenti la sicurezza delle informazioni; definire l'ambito di applicazione del Sistema di gestione della sicurezza delle informazioni (SGSI); identificare i ruoli e le responsabilità per l'implementazione e la manutenzione di un appropriato SGSI continuamente migliorato. 1.5 Versioni Inizio stesura da Nadia Menegati. Riferimento iniziale il precedente documento attivo con la norma ISO 27001:2005; Dennis R. Milani, Revisione ed aggiunta ruoli e responsabilità, comunicazione, approvazione ; Dennis R. Milani, revisione ordine capitoli, sistemazione titolo Dennis R. Milani, revisione ruoli e responsabilità, sistemato posto per Riesame della Direzione, inserita immagine; 4 / 16

5 Modifica versione e stato del documento. 1.6 Abbreviazioni e termini utilizzati AVEPA = Agenzia veneta SUA = Sportello unico agricolo UAZ = Unità agricola di zona AGEA = Agenzia per le erogazioni in agricoltura AAC = AVEPA, Area amministrazione e contabilità SIT = AVEPA, Area servizi IT 2 AVEPA E IL CONTESTO IN CUI OPERA 2.1 Presentazione dell'agenzia L'Agenzia veneta (AVEPA, identificata in questi documenti anche con Agenzia ) è un ente strumentale istituito dalla Regione del Veneto per svolgere le funzioni di organismo pagatore regionale (OPR) degli aiuti, dei premi e dei contributi nel settore agricolo. L'AVEPA è un ente di diritto pubblico dotato di autonomia amministrativa, organizzativa, contabile e patrimoniale nei limiti previsti dalla legge istitutiva (legge regionale n. 31 del 9 novembre 2011). E' soggetta ai poteri di indirizzo e di controllo spettanti alla Giunta Regionale, nel rispetto delle forme di autonomia di cui gode. L'Agenzia ha iniziato la propria attività nel 2002 e nello stesso anno ha ottenuto il primo riconoscimento ad operare in qualità di organismo pagatore da parte del Ministero delle politiche agricole. In seguito, nel 2003 e nel 2004, il riconoscimento ministeriale è stato esteso ad ulteriori settori di intervento. Dal 2011 l'agenzia ha incorporato le strutture e le funzioni degli ex Ispettorati regionali dell'agricoltura divenendo il punto di riferimento a livello regionale per l'erogazione di servizi pubblici dedicati al mondo agricolo. L'attività principale dell'agenzia è rappresentata dalle funzioni di organismo pagatore per la Regione del Veneto degli aiuti, contributi e premi comunitari previsti dalla normativa dell'unione Europea e finanziati, in tutto o in parte, dai fondi europei agricoli FEAGA (Fondo europeo agricolo di garanzia) e FEASR (Fondo europeo agricolo per lo sviluppo rurale) oltre che dallo Stato e dalla Regione. Accanto alle funzioni di organismo pagatore, l'avepa gestisce le attività tecniche e amministrative connesse ad altri aiuti in materia di agricoltura e sviluppo rurale, sulla base di specifiche convenzioni stipulate con la Regione del Veneto che ha inoltre affidato all'agenzia lo svolgimento di funzioni di monitoraggio dei flussi finanziari relativi ad alcuni fondi strutturali dell'unione Europea. L'AVEPA è geograficamente strutturata nel territorio con una sede centrale, una sede per ogni provincia della Regione del Veneto (chiamata SUA) ed alcuni sportelli sul territorio (chiamati UAZ e sempre collegati ad un SUA). Ulteriori informazioni relative all'agenzia e alle sue attività sono consultabili nel sito web istituzionale 5 / 16

6 2.2 Soggetti interni ed esterni L'Agenzia nello svolgimento della propria attività entra in contatto con numerosi soggetti interni ed esterni. La definizione dei Ruoli e Responsabilità interne è presente nel capitolo dedicato in questo stesso documento. Le principali parti interessate sono rappresentate da: la Direzione dell'avepa, organo di vertice dell'agenzia rappresentato dal Direttore, nominato direttamente dal Presidente della Giunta Regionale; il management dell'avepa, organo di gestione dell'agenzia, nominato dal Direttore e composto dai dirigenti di Area e di SUA dell'agenzia; il personale dell'avepa, tutto il personale dipendente che concorre alla mission aziendale con le proprie competenze, tra questi si segnalano le Posizioni organizzative che supportano il management nel raggiungimento degli obiettivi aziendali; i clienti dell'agenzia, ovvero tutti i soggetti che usufruiscono dei vari servizi offerti dall'agenzia (nella fattispecie gli agricoltori); i soggetti che collaborano con l'agenzia, ovvero tutti i soggetti esterni che concorrono con l'avepa, attraverso convenzioni, per il raggiungimento degli obiettivi aziendali attraverso competenze precise in ambito agricolo, tra questi i più rilevanti sono i Centri di assistenza agricola ed i liberi professionisti accreditati, che gestiscono il fascicolo aziendale; i fornitori/outsourcer, soggetti terzi con cui l'avepa stipula contratti che contribuiscono in qualità di partner agli obiettivi dell'agenzia; i soggetti istituzionali, quali la Regione del Veneto, la Commissione Europea, il Ministero delle politiche agricole, alimentari e forestali, ecc.; i certificatori dei conti, individuati dall'unione Europea per verificare la correttezza dell'operato dell'agenzia; le forze di polizia e tribunali, con cui l'avepa intraprende comunicazioni per controlli di svariata natura. L'Agenzia è inoltre soggetta ad attività di vigilanza e controllo da parte di alcuni soggetti istituzionali quali: Regione del Veneto: il Consiglio regionale definisce gli indirizzi per l'attività dell'agenzia e ne controlla l'attuazione attraverso la competente Commissione consiliare; la Giunta regionale esercita funzioni di vigilanza e controllo definendo gli indirizzi in materia di organizzazione, funzionamento, dotazione organica e risorse finanziarie dell'agenzia; Ministero delle politiche agricole, alimentari e forestali: esercita una costante supervisione sull'avepa e gli altri organismi pagatori regionali; Agenzia per le erogazioni in agricoltura (AGEA): funge da organismo di coordinamento degli organismi pagatori; Commissione europea: effettua varie attività di controllo di natura contabile e amministrativa sui contenuti dei conti annuali e delle rendicontazioni periodiche ai fini della liquidazione dei conti degli organismi pagatori. Sulla base di specifiche analisi dei rischi effettua attività di audit relative alle attività degli organismi pagatori, verificandone il rispetto dei criteri di riconoscimento; 6 / 16

7 Corte dei conti europea: svolge attività di controllo sull'utilizzo dei fondi dell'unione Europea. Organismi di certificazione: sono i soggetti esterno indipendente che esaminano i conti, il sistema di controllo e la rispondenza alle normative dell'avepa. 2.3 Open data e sicurezza dei dati Il contesto in cui l'agenzia si trova ad operare, in quanto pubblica amministrazione, ha visto affermarsi, sia a livello europeo che nazionale, il tema della trasparenza. Il decreto legislativo 14 marzo 2013, n. 33, dopo aver definito la trasparenza come l accessibilità totale alle informazioni relative all organizzazione e alle attività delle pubbliche amministrazioni, pone a carico di queste una serie di adempimenti quali la redazione del Piano triennale della trasparenza e l'integrità e l'obbligo di pubblicazione, nel sito internet istituzionale, di molteplici dati relativi all'organizzazione e all'attività svolta. Sebbene la trasparenza risponda a varie esigenze quali il diritto della collettività di venire a conoscenza dell'operato delle pubbliche amministrazioni e la possibilità di utilizzare i dati per favorire attività economiche, questo non significa che tutti i dati siano pubblicabili. Le limitazioni sono state previste innanzitutto dallo stesso decreto legislativo 14 marzo 2013, n. 33 che individua all'art. 4 alcune categorie di dati non pubblicabili, e, per quanto riguarda i dati personali, sono state ribadite dal Garante della Privacy che con le Linee guida in materia di trattamento di dati personali, contenuti anche in dati e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati. Inoltre, che siano pubblicabili o meno, le informazioni devono rispettare i requisiti dell'integrità, della completezza, della disponibilità, come previsto sia dal decreto della trasparenza che dalla norma ISO In conclusione, la sicurezza dei dati risponde a molteplici esigenze, agli obblighi normativi di tutela di determinate categorie di dati, alla garanzia della loro qualità e alla tutela di quella parte del patrimonio informativo rappresentata dalle informazioni non divulgabili a supporto delle strategie aziendali. 2.4 Riferimenti normativi Nella intranet aziendale, nella sezione relativa al Sistema di gestione della sicurezza delle informazioni, è possibile consultare un elenco non esaustivo delle norme e dei regolamenti a cui l'attività dell'agenzia è assoggettata. 2.5 L'adozione dello standard ISO Il percorso che l'agenzia ha intrapreso per adottare lo standard ISO è iniziato nel 2005 quando, secondo quanto disposto dall'allegato I al Regolamento (CE) n. 885/2006, abrogato dal Regolamento delegato (UE) n. 907/2014, ha scelto tale standard per garantire la sicurezza del proprio sistema di gestione della sicurezza delle informazioni e ha comunicato la propria decisione ad AGEA Coordinamento con nota prot del / 16

8 L'Agenzia ha inoltre ritenuto di certificare il proprio SGSI alla norma ISO 27001:2005, ottenendo la certificazione nel corso del 2008, successivamente rinnovata nel 2011 e Nel mese di maggio 2015 sarà realizzata l'attività di migrazione alla norma ISO 27001:2013 che sostituisce la versione del AMBITO DI APPLICAZIONE E PERIMETRO L'ambito di applicazione comprende le attività, i processi, i servizi e le applicazioni che sono oggetto di certificazione e ai quali si applicano le regole in materia di sicurezza, così come previsto dalla norma (rif. art. 4.3 ISO 27001: l'organizzazione deve determinare i confini e l'applicabilità del Sistema di gestione per la sicurezza delle informazioni per stabilirne il campo di applicazione ). Il perimetro definisce l'ampiezza del Sistema di gestione della sicurezza delle informazioni e quindi individua i siti, le infrastrutture, ma anche determinati aspetti fisici e logici, nei confronti dei quali valgono le regole del SGSI. L'Agenzia ha definito il campo di applicazione del proprio SGSI come sotto indicato: Gestione dei servizi informativi a supporto dell'autorizzazione, dell'esecuzione e della contabilizzazione dei pagamenti alle imprese agricole. Il perimetro del Sistema di gestione della sicurezza delle informazioni è rappresentato dalla Sede centrale dell'agenzia. 4 POLITICA DEL SGSI L'obiettivo del Sistema di gestione della sicurezza delle informazioni dell'avepa è di garantire un adeguato livello di sicurezza dei dati e delle informazioni, nell'ambito della gestione dei servizi informativi a supporto dell'autorizzazione, dell'esecuzione e della contabilizzazione dei pagamenti alle imprese agricole, attraverso l'identificazione, la valutazione e il trattamento dei rischi ai quali le informazioni sono soggette. Con la presente politica l'avepa intende formalizzare i seguenti obiettivi nell'ambito della sicurezza delle informazioni: proteggere le risorse informative dalle minacce siano esse interne o esterne, di tipo organizzativo o tecnologico, accidentali o intenzionali, assicurando: la riservatezza: proprietà per cui l'informazione non è resa disponibile o comunicata a soggetti non autorizzati; l'integrità: proprietà di tutelare l'accuratezza e la completezza delle informazioni a cui l'agenzia attribuisce un valore; la disponibilità: proprietà per cui l'informazione deve essere accessibile ed utilizzabile previa richiesta da parte di un'entità autorizzata; promuovere la cultura della sicurezza delle informazioni, aumentando la sensibilità delle persone che prestano la loro attività in Agenzia dell'importanza del loro contributo 8 / 16

9 nell'efficacia del Sistema di gestione della sicurezza delle informazioni attraverso attività di formazione, costituzione di gruppi di lavoro, ecc.; rispondere alle indicazioni previste dalla normativa vigente in materia di privacy e tutela dei dati; preservare l'immagine dell'agenzia dando garanzia ai soggetti esterni preposti al controllo sulla sua organizzazione e sul suo operato di efficienza, competenza e affidabilità e della corretta gestione dei rischi; integrare il Sistema di gestione della sicurezza delle informazioni nei processi dell'organizzazione e nella sua struttura generale di gestione; individuare i rischi e i responsabili del trattamento e gestione degli stessi; garantire la continuità operativa dell'agenzia; porre in essere le opportune azioni per fronteggiare le violazioni della sicurezza ed effettuare una corretta rilevazione ed indagine. 5 DEFINIZIONE GENERALE DI RUOLI E REPONSABILITÀ Secondo quanto disposto dall'art. 5.3 della norma ISO 27001:2013 in materia di ruoli, responsabilità e autorità all'interno dell'organizzazione, il presente paragrafo si pone come obiettivo quello di individuare i principali soggetti coinvolti nel SGSI aziendale e i loro ruoli al fine di: assicurare che il SGSI sia conforme alla norma ISO 27001:2013; garantire che il SGSI sia efficace nel conseguire gli obiettivi; gestire il SGSI garantendo un miglioramento continuo dello stesso, attraverso opportune azioni di controllo e correttive; individuare i responsabili dei rischi relativi alla sicurezza delle informazioni; riferire alla Direzione in merito alle prestazioni del SGSI. L'Agenzia deve garantire che i soggetti che svolgono attività che ricadono nell'ambito del proprio Sistema di gestione della sicurezza delle informazioni siano competenti, mettendo in atto azioni rivolte a far acquisire o incrementare la loro competenza, quali ad esempio, la formazione in materia di sicurezza, l'addestramento, l'affiancamento, la loro riallocazione, ecc. L'art. 7.3 della norma prevede che le persone che svolgono attività che influenzano le prestazioni dell'agenzia in materia di sicurezza delle informazioni siano consapevoli del loro contributo nel conseguire gli obiettivi stabiliti e, per contro, delle conseguenze derivanti dal non essere conformi ai requisiti del Sistema di gestione della sicurezza delle informazioni. Per la gestione granulare della sicurezza si individuano 4 campi rilevanti nel sistema informativo dell'agenzia, ovvero: 1. risorse umane, sono ivi incluse tutte le risorse umane in carico all'agenzia. L'area interna incaricata della gestione è l'area amministrazione e contabilità (AAC); 2. sedi fisiche, sono ivi incluse le aree fisiche in gestione all'agenzia. L'area interna incaricata della gestione è AAC; 3. IT, sono inclusi tutti i servizi IT. L'area interna incaricata della gestione è l'area servizi IT; 4. supporti cartacei, sono inclusi tutti i supporti cartacei necessari alla mission aziendale. L'area interna incaricata della gestione è la Direzione, Settore affari istituzionali. 9 / 16

10 Per l'armonizzazione delle loro attività in materia di sicurezza delle informazioni si è costituita, nell'ambito dell'area Servizi IT, una Funzione operativa SGSI, mentre per il loro monitoraggio si nomina un Responsabile della sicurezza delle informazioni. Illustrazione 1: Flusso delle responsabilità per il SGSI 5.1 La Direzione 10 / 16

11 Il presente documento vuole esprimere in un testo unico l'importanza che la sicurezza delle informazioni rappresenta per la Direzione e concretizza l'organizzazione necessaria per tutelare la confidenzialità, l'integrità e la disponibilità dei dati. La Direzione si impegna a sviluppare, mantenere, controllare e migliorare in modo costante un Sistema di gestione della sicurezza delle informazioni in conformità alla norma ISO 27001:2013 ed è consapevole che la sicurezza è un processo culturale complesso che deve coinvolgere tutte le risorse umane ed organizzative. La Direzione per questi motivi si impegna a fornire le risorse necessarie al Sistema di gestione della sicurezza delle informazioni, in modo che lo stesso consegua gli esiti previsti. La Direzione è responsabile: del rilascio del documento contenente la politica relativa al SGSI; della definizione e dimensionamento formale dei ruoli e delle responsabilità nell ambito del SGSI; dell'approvazione del Riesame della Direzione 2015, ottenuto in concerto con l'organismo di gestione del SGSI di cui al paragrafo successivo Riesame della Direzione Il Riesame della Direzione consiste nell'attività di verifica del SGSI al fine di assicurare l'idoneità alla norma, l'adeguatezza e l'efficacia dello stesso. Il Riesame, che deve essere eseguito almeno una volta l'anno, è disciplinato dall'art. 9.3 della norma ISO 27001:2013 il quale prevede che lo stesso debba includere considerazioni su: lo stato delle azioni derivanti dai precedenti riesami della Direzione; i cambiamenti dei fattori esterni e interni che hanno attinenza con il Sistema di gestione della sicurezza delle informazioni; le informazioni di ritorno sulle prestazioni relative alla sicurezza delle informazioni, compresi gli andamenti: 1. delle non conformità e azioni correttive; 2. dei risultati del monitoraggio e della misurazione; 3. dei risultati di audit; 4. del raggiungimento degli obiettivi per la sicurezza delle informazioni; 5. le informazioni di ritorno dalle parti interessate; 6. i risultati della valutazione del rischio e lo stato del piano di trattamento del rischio; 7. le opportunità per il miglioramento continuo. Gli elementi in uscita dal riesame di Direzione devono comprendere le decisioni relative alle opportunità per il miglioramento continuo e ogni necessità di modifiche al Sistema di gestione della sicurezza delle informazioni. Il Riesame della Direzione è adottato dalla Direzione e presentato dall'organismo di gestione del SGSI. 5.2 Organismo di gestione del SGSI 11 / 16

12 L'Area costituisce la macrostruttura di massimo livello dell'agenzia ed è posta a governo dei settori e delle posizioni organizzative. Le Aree sono individuate in base a grandi tipologie di intervento che si distinguono nell ambito dell'azione istituzionale dell'agenzia. Ogni Area dispone di un elevato grado di autonomia progettuale ed operativa nell ambito degli indirizzi impartiti dalla Direzione. Le Aree sono affidate alla responsabilità di un Dirigente, il quale ha il compito di pianificare e coordinare le attività operative della propria area. Al fine di coordinare le molteplici attività relative alla sicurezza delle informazioni che interessano trasversalmente tutte le unità organizzative dell'agenzia si istituisce l'organismo di gestione del SGSI, composto dal Direttore, da tutti i Dirigenti di Area e dai dirigenti degli Sportelli unici agricoli. L'Organismo, che dovrà riunirsi periodicamente e comunque almeno una volta l'anno: stila gli obiettivi di controllo applicati al SGSI; stabilisce e monitora gli indicatori di performance per la valutazione dell'efficacia del SGSI; riesamina il SGSI al fine di verificare la sua adeguatezza ed efficacia, nonché le possibilità di miglioramento e implementazione; definisce i criteri per l'accettazione dei rischi e i livelli di rischio accettabili; valuta le azioni per trattare i rischi e le opportunità collegabili al SGSI; supporta fattivamente la Direzione nella stesura del Riesame della Direzione; definisce le priorità nel trattamento dei rischi; monitora l'applicazione del piano di trattamento dei rischi; armonizza le differenti azioni in ambito di sicurezza; Ogni dirigente, per l'ambito di cui è responsabile: promuove la cultura della sicurezza delle informazioni nei confronti dei propri collaboratori; vigila sul rispetto delle norme e delle procedure stabilite a tale fine; è l'owner dei rischi relativi alla sicurezza delle informazioni ed approva - per la sua competenza - il proprio piano di trattamento dei rischi; assicura l'integrazione dei requisiti del SGSI nei propri processi interni; comunica alla Direzione obiettivi e priorità di sicurezza per la propria Area; promuove il miglioramento continuo del SGSI attraverso azioni di controllo e correttive; 5.3 Specializzazioni La norma ISO prevede l'individuazione dei risk owner, i quali consistono nelle persone o entità che hanno la responsabilità e l'autorità per gestire i rischi. Questi soggetti sono identificati nei documenti relativi all'analisi del rischio ai quali si fa riferimento Dirigente Area servizi information technology Al Dirigente dell Area servizi IT, in capo al quale è stata posta la Funzione operativa Sistema di gestione della sicurezza delle informazioni, è attribuita la responsabilità di coordinare le azioni relative alla gestione del SGSI in attuazione degli obiettivi e piani definiti dall'organismo di 12 / 16

13 gestione del SGSI. Tra i compiti del Dirigente dell Area servizi IT vi sono quelli relativi all adozione della documentazione del SGSI, ad eccezione di quanto di competenza della Direzione Funzione operativa Sistema di gestione della sicurezza delle informazioni La Funzione operativa Sistema di gestione della sicurezza delle informazioni, a cui appartiene anche il Responsabile della sicurezza delle informazioni, deve coordinare ed armonizzare le attività necessarie per il mantenimento della certificazione del Sistema di gestione della sicurezza delle informazioni alla norma ISO 27001:2013, collaborare con l'organismo di certificazione durante gli audit periodici di rinnovo e sorveglianza, suggerire miglioramenti pratici per ridurre il rischio collegato alla sicurezza dei dati Dirigente Area amministrazione e contabilità Al Dirigente dell'area amministrazione e contabilità è attribuita la responsabilità di coordinare la gestione del rischio per la sicurezza delle informazioni collegato alla gestione del personale, comunicando alla Funzione operativa Sistema di gestione della sicurezza delle informazioni eventuali rilevanze di sicurezza che abbiano impatto sulle procedure interne Settore affari istituzionali Al Settore affari istituzionali presente in Direzione è attribuita la responsabilità della gestione del rischio per la sicurezza delle informazioni collegato alla gestione dei supporti cartacei presenti in Agenzia, comunicando alla Funzione operativa Sistema di gestione della sicurezza delle informazioni eventuali rilevanze di sicurezza che abbiano impatto sulle procedure interne. 5.4 Ruolo del Responsabile della sicurezza delle informazioni È la figura di riferimento per il mantenimento e l'implementazione di un elevato livello di sicurezza delle informazioni, in particolare attraverso la verifica della corretta implementazione della politica e delle procedure relative alla sicurezza dei dati e la prevenzione di possibili incidenti al sistema informatico/informativo dell'agenzia. Tale responsabilità normalmente è in capo al Dirigente dell'area servizi IT ma può essere delegata ad altra persona ritenuta idonea attraverso opportuna formalizzazione e comunicazione. 5.5 Dirigenti di settore e Dirigenti degli Sportelli unici agricoli Ogni Area può essere suddivisa in Settori, a capo dei quali sono posti dei Dirigenti di Settore. In questa sotto-area svolgono funzioni di coordinamento e di controllo ai fini del raggiungimento degli obiettivi assegnati. Ogni Sportello unico agricolo è presidiato da un Dirigente SUA che coordina l'attività della sede periferica dell'agenzia. Questi Dirigenti, per quanto di loro competenza e secondo le indicazioni del Dirigente d Area e del Direttore, dovranno provvedere a: 13 / 16

14 informare i propri collaboratori circa le clausole di riservatezza contenute nel contratto di lavoro; gestire le risorse umane assegnate alla struttura assicurando idonea formazione al personale in materia di sicurezza delle informazioni; assicurarsi che i propri collaboratori prendano visione delle procedure relative al SGSI, consultabili presso il sito intranet dell Agenzia, e della loro corretta applicazione; assicurarsi che i dati nel sistema informatico siano corretti ed integri e definire i livelli di riservatezza degli stessi; comunicare alla Funzione operativa Sistema di gestione della sicurezza delle informazioni eventuali rilevanze di sicurezza che abbiano impatto sulle procedure interne. 5.6 Responsabilità del gruppo di lavoro ISO 27001:2013 È stato istituito un gruppo di lavoro ISO 27001:2013 composto dal Responsabile della sicurezza delle informazioni e da soggetti individuati dai Dirigenti in rappresentanza delle varie strutture della Sede centrale dell'agenzia e degli Sportelli unici agricoli. Ai componenti del gruppo di lavoro ISO 27001:2013 è chiesto di: essere punti di contatto per la diffusione delle buone pratiche e procedure nel loro ambito di lavoro; proporsi come concentratori locali di conoscenza, in ambito sicurezza delle informazioni, per i colleghi; essere referenti per eventuali incident di sicurezza ed eventi sospetti; suggerire miglioramenti e modifiche alle procedure e individuare malfunzionamenti del SGSI. Le nomine devono essere formalizzate e comunicate agli interessati. Le convocazioni del gruppo sono effettuate da personale dell'area servizi IT attraverso una apposita di gruppo iso@avepa.it, anche in seguito a specifica richiesta di un componente del gruppo. Le riunioni plenarie del gruppo devono essere verbalizzate, anche attraverso strumenti informali quali la condivisione tramite di gruppo del verbale. 5.7 Responsabilità degli utenti Gli utenti, cioè il personale dell'avepa che quotidianamente accede al sistema informatico e gli utenti esterni che si collegano ai sistemi dell'agenzia, sono tenuti: a consultare la sezione dedicata al SGSI nella intranet aziendale; al rispetto, nello svolgimento delle proprie attività, delle misure di sicurezza dei dati individuate dall'agenzia, nonché dell applicazione delle procedure e delle norme del SGSI; a segnalare al proprio Dirigente, al Dirigente dell Area servizi IT o al Responsabile della sicurezza informatica ogni violazione delle misure di sicurezza di cui vengano a conoscenza. 14 / 16

15 5.8 Business continuity team Al fine di garantire la continuità operativa in caso di evento dannoso che comprometta l'operatività dell'agenzia è stato costituito un Business continuity team, le cui competenze sono elencate nel documento relativo alla continuità operativa al quale si rimanda. 5.9 Area controllo interno L'Agenzia si è dotata di un servizio interno di controllo, denominato Unità complessa controllo interno, la quale si trova in una posizione indipendente rispetto alle altre strutture dell'agenzia perché è tenuta a riferire l'esito dei controlli da essa svolti direttamente alla Direzione. Secondo quanto previsto dalla norma ISO 27001:2013, l'unità complessa controllo interno deve condurre ad intervalli regolari degli audit interni relativamente al Sistema di gestione della sicurezza delle informazioni, al fine di verificare se questo sia: conforme ai requisiti della norma ISO 27001:2013 e alle leggi e regolamenti in materia di sicurezza dei dati; conforme ai requisiti identificati per la sicurezza delle informazioni; efficacemente realizzato, mantenuto e aggiornato; efficace nel conseguire gli obiettivi. L'art. 9.2 della norma ISO 27001:2013, stabilisce inoltre che, l'organizzazione deve: pianificare, stabilire, attuare e mantenere uno o più programmi di audit, comprensivi di frequenze, metodi, responsabilità, requisiti di pianificazione e reporting. I programmi di audit devono prendere in considerazione l'importanza dei processi coinvolti e i risultati di audit precedenti; definire i criteri di audit e il campo di applicazione per ciascun audit; selezionare gli auditor e condurre gli audit in modo da assicurare l'obiettività e l'imparzialità del processo di audit; assicurare che i risultati degli audit siano riportati ai pertinenti responsabili; conservare informazioni documentate quale evidenza dell'attuazione del programma di audit e dei risultati di audit. La realizzazione degli audit viene pianificata all'interno del Piano annuale di audit, redatto e aggiornato secondo quanto riportato nel Manuale di audit dell'unità complessa controllo interno. Il Piano annuale di audit viene approvato annualmente dal Direttore e successivamente adottato con decreto del Dirigente dell'unità complessa controllo interno. E' prevista l'attuazione di almeno un intervento di audit sul Sistema di Gestione della Sicurezza delle Informazioni nell'arco dell'anno. Le attività di audit seguono quanto prescrive il Manuale delle attività di audit relativamente alla conduzione degli interventi di audit ed in particolare per gli interventi di audit IT, esplicitata in una sezione dedicata. L'attività si svolge conformemente ai criteri accettati a livello internazionale e viene registrata in documenti di lavoro. 15 / 16

16 6 REVISIONI Il presente documento è soggetto a revisione in occasione di significative modifiche organizzative e tecnologiche rilevanti per la gestione delle informazioni. Il capitolo relativo a ruoli e responsabilità deve essere esaminato annualmente al fine di adattarlo ad eventuali cambiamenti avvenuti nell'organizzazione dell'agenzia. 16 / 16