SGSI CERT CSP POSTE ITALIANE

Похожие документы
Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

LA NORMA INTERNAZIONALE SPECIFICA I REQUISITI DI UN SISTEMA DI GESTIONE PER LA QUALITÀ PER UN'ORGANIZZAZIONE CHE:

Politica del Sistema di Gestione Salute, Sicurezza e Ambiente (Politica HSE)

Sistemi informativi in ambito sanitario e protezione dei dati personali

I passi per la certificazione del Sistema di Gestione dell Energia in conformità alla norma ISO Giovanni Gastaldo Milano, 4 ottobre 2011

La nuova edizione della norma ISO (seconda parte)

ISO 9001:2015 LA STRUTTURA DELLA NORMA

Kit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.

LA STRUTTURA DELL ISO 9001:2015

SERVIZI SPECIALISTICI LEGALI E TECNICO- SISTEMISTICI PER ADEGUAMENTO ATTIVITÀ AL CODICE DELLA PRIVACY.

La funzione antiriciclaggio nel sistema di controllo interno: ruolo, responsabilità e rendicontazione delle attività svolte

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

CAPITOLO 7 GESTIONE DEI PROCESSI

Istituto Tecnico Aeronautico di Stato. Francesco De Pinedo 1. Roma - Via F. Morandini, 30 - Tel PG01 Audit Interni

Alessandra Peverini Milano 19 ottobre 2015 LA NUOVA NORMA ISO 9001:2015 E I RISCHI GESTIONALI

STRUMENTI PER COMPETERE: IL DISCIPLINARE TECNICO CERTIFICATO LINEE GUIDA

GDPR. Gli obblighi di compliance interna ed esterna. 23 novembre 1

PROCEDURA PER LA GESTIONE DELLE AZIONI CORRETTIVE E PREVENTIVE

CAPITOLO M PROGRAMMA DI QUALITÀ E CONTROLLO

MANUALE SISTEMA DI GESTIONE INTEGRATO QUALITA E AMBIENTE

Procedure di Adeguamento SGA ISO 14001:2015 Indicazioni Operative. N. Anzalone - Milano

IL SISTEMA DI GESTIONE DELLA QUALITA SECONDO LA NORMA ISO 9001:2000

Manuale di Gestione per la Qualità

"Organizzazione del lavoro, Responsabilità amministrativa degli enti ed efficacia esimente ai sensi dell'art. 30 dlgs 81/08: l'importanza

I contenuti e i vantaggi della certificazione ISO in relazione agli obblighi del Dlgs 102/2014

Sistema Informativo Unitario Regionale per la Programmazione (S.I.U.R.P.) LA SICUREZZA INFORMATICA

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

In altri termini cos è

PROCEDURA GESTIONALE PG 003 GESTIONE DEL SERVIZIO/PRODOTTO NON CONFORME

MODULO 1 INTRODUZIONE AL SISTEMA INTEGRATO

GESTIONE E CONTROLLO DEI DOCUMENTI E DELLE REGISTRAZIONI

IL CODICE PER LA PROTEZIONE DEI DATI PERSONALI. La normativa nazionale e quella regionale

MANUALE DI GESTIONE PER LA QUALITA

MANUALE DELLA QUALITÀ Pag. 1 di 9

Sicuramente

Concetti generali e introduzione alla norma UNI EN ISO 9001/2008

Procedura per la progettazione di interventi formativi

Politica per la qualità

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Ministero dei Trasporti

QUESTIONARIO 2: PIANIFICAZIONE DEL MIGLIORAMENTO

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Valutazione e Controllo Fornitori

Proposta per l organizzazione della Sicurezza Informatica dell ISTI

MONITORAGGIO COOPERATIVE, SUBAPPALTATORI E FORNITORI

REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI TRATTATI DAGLI UFFICI COMUNALI

I Modelli di organizzazione e di gestione (MOG) con efficacia esimente ex art. 30 DLgs 81/08: il punto di vista delle Regioni

Obblighi di controllo dei Fornitori esterni. Rischio tecnologico

GESTORE DEL SISTEMA QUALITA AZIENDALE

ALLEGATO N. 16 ESEMPIO DI PROCEDURA DI MONITORAGGIO DEI PROCESSI E PRODOTTI MEDIANTE INDICATORI DI PERFORMANCE

I sistemi di gestione della salute e sicurezza sul lavoro. La norma OHSAS 18001

Comune Fabriano. Protocollo Generale, Servizio Progettazione, Servizio Edilizia Privata. Progetto di Certificazione secondo le norme ISO 9000

Analisi, revisione e implementazione di un modello organizzativo in Qualità nello Studio Legale

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO

Approccio alla gestione del rischio

REGOLAMENTO CONTENENTE DISPOSIZIONI IN MERITO ALLA PUBBLICAZIONE DELLE DELIBERAZIONI E DELLE DETERMINAZIONI DIRIGENZIALI ALL ALBO AZIENDALE

EBA/GL/2015/ Orientamenti

P04 - GESTIONE DELLE NC, AC, AP. 16 luglio luglio luglio 2015 DATA DI APPROVAZIONE REVISIONE. 00 Emissione del documento

POLITICA AZIENDALE DESTRI S.R.L.

PA.GRC.19 MALFUNZIONAMENTO DEI DISPOSITIVI MEDICI/APPARECCHI ELETTROMEDICALI. Indice delle revisioni Codice Documento Revisione Data emissione

Bando per l erogazione di contributi alle PMI finalizzati al sostegno per l accesso al credito R E G O L A M E N TO

PROCEDURA GESTIONE RECLAMI RICORSI E CONTENZIOSI SOMMARIO

ISO 14001:2015 NUOVI APPROCCI DELL AUDIT DI CERTIFICAZIONE

PROCEDURA GESTIONE DOCUMENTI E REGISTRAZIONI

SCHEMA. Mandato CEN M/120 Prodotti metallici per impieghi strutturali e loro accessori.

Il sistema qualità la qualità in un azienda di servizi riflessioni sulla qualità nell attivit attività del Medico Competente

MANUALE per la QUALITA dell Istituto

La gestione del rischio nella nuova norma ISO 9001:2015

ACCREDITAMENTO LABORATORI DI ANALISI UNI CEI EN ISO/IEC 17025:2005. Dr.ssa Eletta Cavedoni Cosmolab srl Tortona

Responsabilità della Direzione INDICE SCOPO CAMPO DI APPLICAZIONE RIFERIMENTI NORMATIVI FIGURE E RESPONSABILITÀ...

Politica Aziendale Modello Organizzativo 231

IL TRATTAMENTO DEI DATI PERSONALI IN AMBITO SANITARIO

MARCHEGIANI MARIA ANTONIETTA la gestione dei sistemi informativi aziendali

L AUTORITÀ PER L ENERGIA ELETTRICA IL GAS E IL SISTEMA IDRICO

L impatto della ISO 9001:2015 sulla privacy

E-20 TM. IL SISTEMA DI GESTIONE PER EVENTI SOSTENIBILI DI TROISI RICERCHE

Presidenza del Consiglio dei Ministri Autorità Nazionale per la Sicurezza CESIS III Reparto U.C.Si.

PIANO TRIENNALE DI FORMAZIONE DEL PERSONALE DIPENDENTE IN MATERIA DI ANTICORRUZIONE E TRASPARENZA

Manuale del Sistema di Gestione Integrato per la Qualità e l Ambiente INDICE

TECNOLOGIE DELL INFORMAZIONE E DELLA COMUNICAZIONE PER LE AZIENDE

ALLEGATO 2A MODELLO DI OFFERTA TECNICA LOTTO 1

REV. 2016/00 Pag. 1 di 7

Delibera del Direttore Generale n del 30/12/2014. Oggetto: Piano di attività biennale per la gestione del rischio clinico,

Транскрипт:

SGSI CERT CSP POSTE ITALIANE POLICY DEL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI PER LE TERZE PARTI (CLIENTI, FORNITORI DI BENI E SERVIZI). VERSIONE DATA REDAZIONE VERIFICA APPROVAZIONE Nicola Angelucci 1.02 12-07- 2016 Michele Gerace (SI/SI/CSP) (SI/SI/ITSAR) Alessandra Toma (SI/SI/CSP) Rocco Mammoliti (SI/SI) 1

MODIFICHE RISPETTO ALLA VERSIONE PRECEDENTE Versione. Release Data Descrizione delle modifiche 1.01 01-09- 2015 Prima versione del documento 1.02 12-07- 2016 Revisione del documento STATO E LIVELLO DI RISERVATEZZA STATO FINALE LIVELLO DI CLASSIFICAZIONE IL PRESENTE DOCUMENTO E PUBBLICO 2

SOMMARIO 1. INTRODUZIONE... 4 1.1. OBIETTIVI DEL DOCUMENTO... 4 1.2. CAMPO DI APPLICAZIONE... 4 1.3. RIFERIMENTI... 5 2. MACRO CATEGORIE DI INFORMAZIONI RIENTRANTI NEL SGSI... 6 3. OBIETTIVI E PRINCIPI DEL SGSI... 6 4. GESTIONE RAPPORTI CON LE TERZE PARTI : ASPETTI CONTRATTUALI E NORMATIVI... 7 5. CONTINOUS IMPROVEMENT... 9 3

1. INTRODUZIONE 1.1. OBIETTIVI DEL DOCUMENTO Il presente documento recepisce e sintetizza le direttive di sicurezza definite all interno della Politica del Sistema di Gestione di Sicurezza delle Informazioni (SGSI) che la Funzione SI/Sicurezza Informatica di Poste Italiane, (SI/SI) ha progettato, attraverso i rispettivi centri di eccellenza CERT( Computer Emergency Response Team) e CSP (Centro Servizi Privacy), per stabilire, implementare, monitorare, riesaminare, mantenere e migliorare la sicurezza delle informazioni da essi gestite. Il sistema contiene le direttive strategiche volte a indirizzare la corretta gestione della sicurezza delle informazioni, in linea con i requisiti delle politiche di sicurezza Aziendali di Poste Italiane e delle policy specifiche che essi si propongono di adottare per la particolare e importante mission di sicurezza che entrambi ricoprono. Il Sistema di Gestione della Sicurezza delle Informazioni adottato è conforme alla norma internazionale ISO IEC 27001:2013. 1.2. CAMPO DI APPLICAZIONE Il presente documento si applica a tutto il personale di Poste Italiane afferente alla funzione Sistemi Informativi Sicurezza Informatica/CERT (Computer Emergency Response Team) e CSP (Centro Servizi Privacy) ma anche alle parti interessate e alle terze parti (fornitori di beni e servizi, consulenti, outsourcer) che collaborano alla gestione delle informazioni, ai processi e alle risorse coinvolte nella progettazione, realizzazione, collaudo ed erogazione dei servizi di rispettiva competenza. In particolare, Il CERT e Il CSP operano al fine di garantire il governo e il controllo della sicurezza delle informazioni in tutte le attività svolte, prevedendo, ove necessario, il coinvolgimento delle terze parti con l obiettivo di: assicurare, nel trattamento delle informazioni, l adozione di specifiche procedure volte al rispetto di adeguati livelli di sicurezza. garantire che le Terze parti, nel trattamento delle informazioni, abbiano piena consapevolezza dei requisiti e delle problematiche relative alla sicurezza. garantire la conformità con i requisiti di legge ed il rispetto degli impegni contrattuali e di sicurezza stabiliti nei contratti con le terze parti. 4

1.3. RIFERIMENTI Nella stesura del presente documento sono stati tenuti in considerazione: International Standard ISO/IEC 27001:2013 Information Technology Security techniques - Information Security Management System Requirements; Decreto Legislativo 27 giugno 2003, n.196 - Codice in materia di protezione dei dati personali e i provvedimenti emanati dall Autorità Garante per la protezione dei dati personali; Politica di Sicurezza delle Informazioni di Sistemi Informativi v.1.1 Politica Aziendale della Sicurezza delle Informazioni di Poste Italiane - Sistemi Informativi per le terze parti v1.0 Corporate Information Security Governance Policy_v1.0 5

2. MACRO CATEGORIE DI INFORMAZIONI RIENTRANTI NEL SGSI LE MACRO- CATEGORIE DI INFORMAZIONI CHE RIENTRANO NEL PERIMETRO IN OGGETTO SONO: Dati di eventi di sicurezza trattati dal servizio di Incident Handling Dati di vulnerabilità trattati dal servizio di Early Warning Dati personali compromessi e report di analisi eventi ICT anomali o incidenti di sicurezza di vulnerabilità trattati dal servizio di Information Sharing Dati di monitoraggio sito trattati dal servizio Up Time & Performance Monitoring Informazioni Clienti e Costituency (es. contrattualistica, accordi, dati di accesso ai servizi, SLA, etc.) Informazioni del SGSI Dati bancari nell ambito del servizio Gestione Data Breach. Dati di clienti (personali) nell ambito del servizio Gestione Istanze Privacy 3. OBIETTIVI E PRINCIPI DEL SGSI L obiettivo principale che il CERT e il CSP di Poste Italiane intendono perseguire è quello di tutelare il proprio patrimonio informativo aziendale, comprese le informazioni e i dati relativi a tutte le parti interessate, siano esse altre Funzioni Aziendali, Società del Gruppo PI, Clienti e Fornitori esterni, e di proteggerli da tutte le minacce, interne o esterne, intenzionali o accidentali che si potrebbero prefigurare nell ambito dell erogazione dei propri servizi. Inoltre, allo scopo di prevenire e contenere possibili rischi relativi alla perdita di riservatezza, integrità e disponibilità delle informazioni acquisite, tutte le operazioni di trattamento vengono eseguite in conformità agli standard internazionali di riferimento, e alle disposizioni legislative vigenti in materia di Privacy e di prevenzione e contrasto degli illeciti informatici. Tutte le risorse aziendali costituiscono dunque un valore strategico per l organizzazione e come tali devono essere adeguatamente protette. Nell ambito delle risorse informative, l informazione assume un ruolo d importanza primaria costituendo una risorsa critica immateriale, necessaria ai processi di pianificazione, organizzazione, esecuzione e controllo delle attività aziendali In particolare, il Sistema di gestione della sicurezza delle Informazioni (SGSI) del CERT e del CSP intende tutelare : 6

la riservatezza delle informazioni da attuarsi mediante interventi idonei a contrastare il verificarsi di accessi non autorizzati alle informazioni o la diffusione non controllata delle stesse; l integrità delle informazioni da attuarsi mediante interventi idonei a contrastare il verificarsi di modifiche non autorizzate o il danneggiamento del formato fisico e/o del contenuto semantico delle informazioni; la disponibilità delle informazioni da attuarsi mediante interventi idonei a garantire, ai soggetti autorizzati. Coerentemente anche con la direzione aziendale fornita dall Information Security Corporate Policy di Poste Italiane, il CERT e il CSP hanno definito, nel loro Sistema di Gestione della Sicurezza delle Informazioni i propri obiettivi in materia di sicurezza delle informazioni. In particolare, risulta di fondamentale importanza per il CERT e per il CSP proteggere adeguatamente, nel tempo, le informazioni, anche e soprattutto nei casi in cui le informazioni stesse siano accessibili, gestite ed elaborate da soggetti esterni all Azienda. Pertanto, in conformità con quanto previsto dallo Standard ISO 27001:2013, si rende necessario definire adeguatamente i requisiti di sicurezza che i fornitori esterni sono tenuti a recepire ed applicare nelle attività di trattamento delle informazioni. Tali requisiti devono essere concordati con i fornitori stessi e stabiliti in specifici accordi contrattuali. 4. GESTIONE RAPPORTI CON LE TERZE PARTI : ASPETTI CONTRATTUALI E NORMATIVI Al fine di mitigare i rischi accidentali e/o intenzionali, di distruzione, perdita, divulgazione, alterazione e accesso non autorizzato delle risorse informative aziendali, tutte le informazioni accessibili dalle terze parti o associati a servizi/prodotti erogati da fornitori esterni, sono soggette a specifici requisiti di sicurezza. I suddetti requisiti devono risultare adeguati rispetto ai rischi e devono essere stabiliti all interno di opportuni accordi contrattuali con i fornitori esterni e con gli outsourcer e devono garantire ove necessario : il rispetto dei requisiti di legge in materia di protezione dei dati personali e copyright delle risorse informative accedute ed utilizzate. la riservatezza e la non- divulgazione delle informazioni aziendali critiche. 7

Prevedere contrattualmente, ove possibile, la possibilità di effettuare attività di audit di II parte su fornitori per verificare il rispetto dei requisiti di sicurezza concordati. A tal fine, I responsabili del CERT e del CSP, ciascuno nell ambito della propria competenza, devono assicurarsi che tutte le politiche, le procedure, gli standard e in generale tutta la documentazione relativa alla sicurezza delle informazioni siano applicati e rispettati. I principi generali sopra espressi nel presente paragrafo fanno riferimento in particolare alle disposizioni normative cogenti provenienti dal Codice in materia di protezione dei dati personali (D.Lgs. n.196/2003 e s.m.i.), alla normativa sulla Protezione del diritto d autore (Legge 22.04.1941, n. 633 e s.m.i.) ed al punto 15 (Supplier relationships) dell Allegato A allo Standard ISO/IEC 27001:2013. 8

5. CONTINOUS IMPROVEMENT la suddetta Politica di sicurezza delle Informazioni per le Terze parti, verrà riesaminata regolarmente (almeno una volta l anno) per recepire eventuali modifiche e/o adeguamenti normativi al fine di mantenerla coerente con la capacità di soddisfare le aspettative e gli interessi di tutte le parti interessate. Il CERT e il CSP di Poste Italiane si impegnano a determinare (col monitoraggio continuo) problematiche, questioni, requisiti importanti che possano rivelarsi rilevanti per gli obiettivi di information security definiti e che possono quindi avere effetti in positivo o in negativo sulla riservatezza, integrità e disponibilità delle informazioni che cadono (o cadranno) nell ambito del sistema di gestione. Il CERT e il CSP procederanno quindi all adozione di misure preventive al fine di eliminare cause di potenziali non conformità, e misure correttive al fine di eliminare le cause di non conformità rilevate direttamente a seguito di audit interni o di terze parti oppure a valle della gestione di incidenti di sicurezza. Per il conseguimento degli obiettivi di sicurezza indicati, il CERT e il CSP di Poste Italiane si impegnano a diffondere la presente Politica e ad accertarsi che sia compresa e attuata non solo dal personale interno, ma anche da collaboratori esterni, consulenti, fornitori sotto contratto che siano in qualsiasi modo coinvolti nel trattamento delle informazioni aziendali. 9

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back