D01 CONTESTO E GOVERNO



Documenti analoghi
UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

MANUALE DELLA QUALITÀ Pag. 1 di 6

Politica per la Sicurezza

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

Manuale CAP 1. SISTEMA QUALITA

5.1.1 Politica per la sicurezza delle informazioni

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

Modello dei controlli di secondo e terzo livello

REGOLAMENTO PER L ISTITUZIONE E L APPLICAZIONE DEL SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE

Città di Minerbio Provincia di Bologna. CICLO DELLA PERFORMANCE Indirizzi per il triennio

MANUALE DELLA QUALITÀ Pag. 1 di 12

Sistema di gestione della Responsabilità Sociale

PO 01 Rev. 0. Azienda S.p.A.

Effettuare gli audit interni

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

SISTEMA DI GESTIONE INTEGRATO. Audit

AUDIT. 2. Processo di valutazione

I SISTEMI DI GESTIONE DELLA SICUREZZA

DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI

MANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ

Sistema di Gestione per la Qualità

CRITERI PER IL RICONOSCIMENTO DEGLI ORGANISMI DI ABILITAZIONE

FIDEURO MEDIAZIONE CREDITIZIA S.R.L.

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

visto il trattato sul funzionamento dell Unione europea,

REGOLAMENTO SULL ISTITUZIONE ED IL FUNZIONAMENTO DEL NUCLEO DI VALUTAZIONE

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

MANUALE DELLA QUALITÀ

Regolamento di disciplina della misurazione, della valutazione e della trasparenza delle performance.

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi

1. ORGANIZZAZIONE E FUNZIONI DELLA SOCIETÀ AMBITO NORMATIVO... IL PROGRAMMA TRIENNALE PER LA TRASPARENZA E LA PUBBLICITA

REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO

Azienda Pubblica di Servizi alla Persona Opere Sociali di N.S. di Misericordia Savona

Documento in attesa di approvazione definitiva Nota per la Commissione Consultiva Permanente

PROGRAMMA DI SVILUPPO RURALE REGOLAMENTO INTERNO PER IL FUNZIONAMENTO DEL COMITATO DI SORVEGLIANZA. Art.

Manuale del Sistema di Gestione Integrato per la Qualità e l Ambiente INDICE

ART A. Agenzia Regionale Toscana Erogazioni Agricoltura (L.R. 19 novembre 1999, n. 60) DIREZIONE. Decreto n marzo 2015

Norme per l organizzazione - ISO serie 9000

REGOLAMENTO PER LA MISURAZIONE E LA VALUTAZIONE DEL PERSONALE DEI LIVELLI

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Sviluppo Sistemi Qualit à nella Cooperazione di Abitazione

AQ DELLA RICERCA SCIENTIFICA

PS_01 PROCEDURA PER LA GESTIONE DEI DOCUMENTI E DELLE REGISTRAZIONI

MANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ

SGSL UN SISTEMA PER LA GESTIONE DELLA SICUREZZA SUL LAVORO NELLA SCUOLA

MODALITÀ ORGANIZZATIVE E PIANIFICAZIONE DELLE VERIFICHE SUGLI IMPIANTI

REGOLAMENTO PER LA GESTIONE DEL PATRIMONIO FONDAZIONE CASSA DI RISPARMIO DI FANO

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

MANUALE DELLA QUALITÀ SISTEMA DI GESTIONE DELLA QUALITA

GESTIONE DELLA FORMAZIONE E

CERTIFICAZIONE ISO 14001

A cura di Giorgio Mezzasalma

A.O. MELLINO MELLINI CHIARI (BS) GESTIONE DELLE RISORSE 1. MESSA A DISPOSIZIONE DELLE RISORSE RISORSE UMANE INFRASTRUTTURE...

SISTEMI DI MISURAZIONE DELLA PERFORMANCE

UNIONE DEI COMUNI VALDARNO E VALDISIEVE REGOLAMENTO DEL SERVIZIO ASSOCIATO VAS

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

Certificazione dei Sistemi di Gestione per la Qualità (Norma UNI EN ISO 9001:2008)

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA (Art. 11, D. Lgs. 27 ottobre 2009, nr. 150)

POLITICA PER LA QUALITÀ, L AMBIENTE, LA SALUTE E SICUREZZA SUL LAVORO E LA RESPONSABILITA SOCIALE

3. APPLICABILITÀ La presente procedura si applica nell organizzazione dell attività di Alac SpA.

FONDAZIONE DEI DOTTORI COMMERCIALISTI E DEGLI ESPERTI CONTABILI B A R I

MANDATO DI AUDIT DI GRUPPO

REGOLAMENTO PER LA GESTIONE DELLE SEGNALAZIONI E DEI RECLAMI

SISTEMA DI GESTIONE PER LA QUALITÀ

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

COMUNE DI CINQUEFRONDI Provincia di Reggio Calabria

QUESTIONARIO 3: MATURITA ORGANIZZATIVA

REGOLAMENTO PER LA VERIFICA DEL LIVELLO DI APPLICAZIONE DELLA LINEA GUIDA ISO 26000

MANUALE DELLA QUALITÀ SIF CAPITOLO 08 (ED. 01) MISURAZIONI, ANALISI E MIGLIORAMENTO

SPECIFICA DI ASSICURAZIONE QUALITA

INTRODUZIONE AL MANUALE DELLA QUALITA

Regolamento per la certificazione di Sistemi di Gestione Ambientale

Comune di San Martino Buon Albergo

PROCEDURA OPERATIVA INTEGRAZIONE DEL SISTEMA ISPRA -ARPA/APPA NEI PROCESSI DI ADESIONE AD EMAS DELLE ORGANIZZAZIONI INDICE. 1.

REGOLAMENTO COMUNALE PER L ISTITUZIONE ED IL FUNZIONAMENTO DEL NUCLEO DI VALUTAZIONE

Regolamento per la certificazione di Sistemi di Gestione Ambientale

REGOLAMENTO CONTENENTE I CRITERI PER L EROGAZIONE DEI PREMI DI RISULTATO AL PERSONALE DIPENDENTE

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA TRIENNIO

REGOLAMENTO PER LA PUBBLICAZIONE DI ATTI E PROVVEDIMENTI ALL ALBO CAMERALE. (Adottato con delibera della Giunta Camerale n.72, del 17 ottobre 2014)

Articolo 1. Articolo 2. (Definizione e finalità)


MANUALE DELLA QUALITÀ DI

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

LA CERTIFICAZIONE. Dr.ssa Eletta Cavedoni Responsabile Qualità Cosmolab srl Tortona

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITÀ 1 ***

Regolamento per la certificazione di Sistemi di Gestione Ambientale

DELIBERA. Art. 1. Requisiti di Accreditamento

SISTEMA DI GESTIONE PER LA QUALITA Capitolo 4

CODICE DI COMPORTAMENTO DEI DIPENDENTI DELLA CAMERA DI COMMERCIO DI MANTOVA RELAZIONE ILLUSTRATIVA

PROCEDURE ISTITUTO COMPRENSIVO STATALE Leonardo da Vinci OLEVANO SUL TUSCIANO. Processo: TENUTA SOTTO CONTROLLO DELLA DOCUMENTAZIONE

REGOLAMENTO PER LE EROGAZIONI EMBLEMATICHE DELLA FONDAZIONE CARIPLO

ART A. Agenzia Regionale Toscana Erogazioni Agricoltura (L.R. 19 novembre 1999, n. 60) Settore Sostegno allo Sviluppo Rurale e Interventi Strutturali

1 SCOPO E CAMPO DI APPLICAZIONE RIFERIMENTI SIGLE E DEFINIZIONI RESPONSABILITA PROCEDURA...3

Comune di OLGIATE OLONA SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

ART A. Agenzia Regionale Toscana Erogazioni Agricoltura (L.R. 19 novembre 1999, n. 60) Settore Sostegno allo Sviluppo Rurale e Interventi Strutturali

Rev. N Descrizione delle modifiche Data Prima emissione del documento per estensione campo applicazione

Rev. 00. AUDIT N DEL c/o. Auditor Osservatori DOCUMENTI DI RIFERIMENTO. Legenda: C = Conforme NC = Non conforme Oss = Osservazione.

Delibera n. 49/2015. VISTO il decreto legislativo 19 novembre 1997, n. 422 e s.m.i. ;

Transcript:

D01 CONTESTO E GOVERNO Contesto in cui opera l'avepa, ambito di applicazione, politica di sicurezza, ruoli e responsabilità 1 / 16

AUTORE DESCRIZIONE DOCUMENTO VERSIONE 1.0 DATA ULTIMA REVISIONE 2015.05.12 STATO DOCUMENTO APPROVAZIONE CLASSIFICAZIONE DIVULGAZIONE Nadia Menegati, Dennis R. Milani Definitivo Direzione Pubblico Pubblicazione intranet aziendale e comunicazione alle parti interessate 2 / 16

Indice generale 1 TRATTAMENTO DEL DOCUMENTO...4 1.1 Distribuzione del documento...4 1.2 Approvazione ed archiviazione del documento...4 1.3 Data di inizio validità...4 1.4 Scopo del documento...4 1.5 Versioni...4 1.6 Abbreviazioni e termini utilizzati...5 2 AVEPA E IL CONTESTO IN CUI OPERA...6 2.1 Presentazione dell'agenzia...6 2.2 Soggetti interni ed esterni...6 2.3 Open data e sicurezza dei dati...7 2.4 Riferimenti normativi...8 2.5 L'adozione dello standard ISO 27001...8 3 AMBITO DI APPLICAZIONE E PERIMETRO...8 4 POLITICA DEL SGSI...9 5 DEFINIZIONE GENERALE DI RUOLI E REPONSABILITÀ...10 5.1 La Direzione...11 5.1.1 Riesame della Direzione...12 5.2 Organismo di gestione del SGSI...12 5.3 Specializzazioni...13 5.3.1 Dirigente Area servizi information technology...13 5.3.2 Funzione operativa Sistema di gestione della sicurezza delle informazioni...14 5.3.3 Dirigente Area amministrazione e contabilità...14 5.3.4 Settore affari istituzionali...14 5.4 Ruolo del Responsabile della sicurezza delle informazioni...14 5.5 Dirigenti di settore e Dirigenti degli Sportelli unici agricoli...14 5.6 Responsabilità del gruppo di lavoro ISO 27001:2013...15 5.7 Responsabilità degli utenti...15 5.8 Business continuity team...16 5.9 Area controllo interno...16 6 REVISIONI...17 3 / 16

1 TRATTAMENTO DEL DOCUMENTO 1.1 Distribuzione del documento Il presente documento (rif. art. 5.2 ISO 27001:2013) deve: essere diffuso all'interno dell'avepa (di seguito anche Agenzia ), portandone a conoscenza tutti i dipendenti attraverso la pubblicazione nel sito intranet; essere reso disponibile per le eventuali altre parti interessate, limitatamente agli argomenti di loro interesse. 1.2 Approvazione ed archiviazione del documento Il documento definitivo è allegato al decreto del Direttore di approvazione e archiviato nel repository SGSI. 1.3 Data di inizio validità La data di inizio validità è la data di approvazione del decreto di adozione. 1.4 Scopo del documento Con il presente documento si vuole presentare il contesto in cui opera l'avepa (rif. art. 4 ISO27001:2013), definire l'impegno della Direzione attraverso una politica per la sicurezza delle informazioni, stabilire i ruoli e le responsabilità (rif. art. 5 ISO27001:2013). Per raggiungere tale obiettivo questo documento si propone di: presentare un quadro strutturale per la collocazione degli obiettivi relativi alla sicurezza delle informazioni; formalizzare l'impegno della Direzione a soddisfare i requisiti attinenti la sicurezza delle informazioni; definire l'ambito di applicazione del Sistema di gestione della sicurezza delle informazioni (SGSI); identificare i ruoli e le responsabilità per l'implementazione e la manutenzione di un appropriato SGSI continuamente migliorato. 1.5 Versioni 2014.12.30 - Inizio stesura da Nadia Menegati. Riferimento iniziale il precedente documento attivo con la norma ISO 27001:2005; 2015.01.22 - Dennis R. Milani, Revisione ed aggiunta ruoli e responsabilità, comunicazione, approvazione ; 2015.01.27 - Dennis R. Milani, revisione ordine capitoli, sistemazione titolo. 2015.05.07 - Dennis R. Milani, revisione ruoli e responsabilità, sistemato posto per Riesame della Direzione, inserita immagine; 4 / 16

2015.05.12 - Modifica versione e stato del documento. 1.6 Abbreviazioni e termini utilizzati AVEPA = Agenzia veneta SUA = Sportello unico agricolo UAZ = Unità agricola di zona AGEA = Agenzia per le erogazioni in agricoltura AAC = AVEPA, Area amministrazione e contabilità SIT = AVEPA, Area servizi IT 2 AVEPA E IL CONTESTO IN CUI OPERA 2.1 Presentazione dell'agenzia L'Agenzia veneta (AVEPA, identificata in questi documenti anche con Agenzia ) è un ente strumentale istituito dalla Regione del Veneto per svolgere le funzioni di organismo pagatore regionale (OPR) degli aiuti, dei premi e dei contributi nel settore agricolo. L'AVEPA è un ente di diritto pubblico dotato di autonomia amministrativa, organizzativa, contabile e patrimoniale nei limiti previsti dalla legge istitutiva (legge regionale n. 31 del 9 novembre 2011). E' soggetta ai poteri di indirizzo e di controllo spettanti alla Giunta Regionale, nel rispetto delle forme di autonomia di cui gode. L'Agenzia ha iniziato la propria attività nel 2002 e nello stesso anno ha ottenuto il primo riconoscimento ad operare in qualità di organismo pagatore da parte del Ministero delle politiche agricole. In seguito, nel 2003 e nel 2004, il riconoscimento ministeriale è stato esteso ad ulteriori settori di intervento. Dal 2011 l'agenzia ha incorporato le strutture e le funzioni degli ex Ispettorati regionali dell'agricoltura divenendo il punto di riferimento a livello regionale per l'erogazione di servizi pubblici dedicati al mondo agricolo. L'attività principale dell'agenzia è rappresentata dalle funzioni di organismo pagatore per la Regione del Veneto degli aiuti, contributi e premi comunitari previsti dalla normativa dell'unione Europea e finanziati, in tutto o in parte, dai fondi europei agricoli FEAGA (Fondo europeo agricolo di garanzia) e FEASR (Fondo europeo agricolo per lo sviluppo rurale) oltre che dallo Stato e dalla Regione. Accanto alle funzioni di organismo pagatore, l'avepa gestisce le attività tecniche e amministrative connesse ad altri aiuti in materia di agricoltura e sviluppo rurale, sulla base di specifiche convenzioni stipulate con la Regione del Veneto che ha inoltre affidato all'agenzia lo svolgimento di funzioni di monitoraggio dei flussi finanziari relativi ad alcuni fondi strutturali dell'unione Europea. L'AVEPA è geograficamente strutturata nel territorio con una sede centrale, una sede per ogni provincia della Regione del Veneto (chiamata SUA) ed alcuni sportelli sul territorio (chiamati UAZ e sempre collegati ad un SUA). Ulteriori informazioni relative all'agenzia e alle sue attività sono consultabili nel sito web istituzionale www.avepa.it. 5 / 16

2.2 Soggetti interni ed esterni L'Agenzia nello svolgimento della propria attività entra in contatto con numerosi soggetti interni ed esterni. La definizione dei Ruoli e Responsabilità interne è presente nel capitolo dedicato in questo stesso documento. Le principali parti interessate sono rappresentate da: la Direzione dell'avepa, organo di vertice dell'agenzia rappresentato dal Direttore, nominato direttamente dal Presidente della Giunta Regionale; il management dell'avepa, organo di gestione dell'agenzia, nominato dal Direttore e composto dai dirigenti di Area e di SUA dell'agenzia; il personale dell'avepa, tutto il personale dipendente che concorre alla mission aziendale con le proprie competenze, tra questi si segnalano le Posizioni organizzative che supportano il management nel raggiungimento degli obiettivi aziendali; i clienti dell'agenzia, ovvero tutti i soggetti che usufruiscono dei vari servizi offerti dall'agenzia (nella fattispecie gli agricoltori); i soggetti che collaborano con l'agenzia, ovvero tutti i soggetti esterni che concorrono con l'avepa, attraverso convenzioni, per il raggiungimento degli obiettivi aziendali attraverso competenze precise in ambito agricolo, tra questi i più rilevanti sono i Centri di assistenza agricola ed i liberi professionisti accreditati, che gestiscono il fascicolo aziendale; i fornitori/outsourcer, soggetti terzi con cui l'avepa stipula contratti che contribuiscono in qualità di partner agli obiettivi dell'agenzia; i soggetti istituzionali, quali la Regione del Veneto, la Commissione Europea, il Ministero delle politiche agricole, alimentari e forestali, ecc.; i certificatori dei conti, individuati dall'unione Europea per verificare la correttezza dell'operato dell'agenzia; le forze di polizia e tribunali, con cui l'avepa intraprende comunicazioni per controlli di svariata natura. L'Agenzia è inoltre soggetta ad attività di vigilanza e controllo da parte di alcuni soggetti istituzionali quali: Regione del Veneto: il Consiglio regionale definisce gli indirizzi per l'attività dell'agenzia e ne controlla l'attuazione attraverso la competente Commissione consiliare; la Giunta regionale esercita funzioni di vigilanza e controllo definendo gli indirizzi in materia di organizzazione, funzionamento, dotazione organica e risorse finanziarie dell'agenzia; Ministero delle politiche agricole, alimentari e forestali: esercita una costante supervisione sull'avepa e gli altri organismi pagatori regionali; Agenzia per le erogazioni in agricoltura (AGEA): funge da organismo di coordinamento degli organismi pagatori; Commissione europea: effettua varie attività di controllo di natura contabile e amministrativa sui contenuti dei conti annuali e delle rendicontazioni periodiche ai fini della liquidazione dei conti degli organismi pagatori. Sulla base di specifiche analisi dei rischi effettua attività di audit relative alle attività degli organismi pagatori, verificandone il rispetto dei criteri di riconoscimento; 6 / 16

Corte dei conti europea: svolge attività di controllo sull'utilizzo dei fondi dell'unione Europea. Organismi di certificazione: sono i soggetti esterno indipendente che esaminano i conti, il sistema di controllo e la rispondenza alle normative dell'avepa. 2.3 Open data e sicurezza dei dati Il contesto in cui l'agenzia si trova ad operare, in quanto pubblica amministrazione, ha visto affermarsi, sia a livello europeo che nazionale, il tema della trasparenza. Il decreto legislativo 14 marzo 2013, n. 33, dopo aver definito la trasparenza come l accessibilità totale alle informazioni relative all organizzazione e alle attività delle pubbliche amministrazioni, pone a carico di queste una serie di adempimenti quali la redazione del Piano triennale della trasparenza e l'integrità e l'obbligo di pubblicazione, nel sito internet istituzionale, di molteplici dati relativi all'organizzazione e all'attività svolta. Sebbene la trasparenza risponda a varie esigenze quali il diritto della collettività di venire a conoscenza dell'operato delle pubbliche amministrazioni e la possibilità di utilizzare i dati per favorire attività economiche, questo non significa che tutti i dati siano pubblicabili. Le limitazioni sono state previste innanzitutto dallo stesso decreto legislativo 14 marzo 2013, n. 33 che individua all'art. 4 alcune categorie di dati non pubblicabili, e, per quanto riguarda i dati personali, sono state ribadite dal Garante della Privacy che con le Linee guida in materia di trattamento di dati personali, contenuti anche in dati e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati. Inoltre, che siano pubblicabili o meno, le informazioni devono rispettare i requisiti dell'integrità, della completezza, della disponibilità, come previsto sia dal decreto della trasparenza che dalla norma ISO 27001. In conclusione, la sicurezza dei dati risponde a molteplici esigenze, agli obblighi normativi di tutela di determinate categorie di dati, alla garanzia della loro qualità e alla tutela di quella parte del patrimonio informativo rappresentata dalle informazioni non divulgabili a supporto delle strategie aziendali. 2.4 Riferimenti normativi Nella intranet aziendale, nella sezione relativa al Sistema di gestione della sicurezza delle informazioni, è possibile consultare un elenco non esaustivo delle norme e dei regolamenti a cui l'attività dell'agenzia è assoggettata. 2.5 L'adozione dello standard ISO 27001 Il percorso che l'agenzia ha intrapreso per adottare lo standard ISO 27001 è iniziato nel 2005 quando, secondo quanto disposto dall'allegato I al Regolamento (CE) n. 885/2006, abrogato dal Regolamento delegato (UE) n. 907/2014, ha scelto tale standard per garantire la sicurezza del proprio sistema di gestione della sicurezza delle informazioni e ha comunicato la propria decisione ad AGEA Coordinamento con nota prot. 1671400 del 16.12.2005. 7 / 16

L'Agenzia ha inoltre ritenuto di certificare il proprio SGSI alla norma ISO 27001:2005, ottenendo la certificazione nel corso del 2008, successivamente rinnovata nel 2011 e 2014. Nel mese di maggio 2015 sarà realizzata l'attività di migrazione alla norma ISO 27001:2013 che sostituisce la versione del 2005. 3 AMBITO DI APPLICAZIONE E PERIMETRO L'ambito di applicazione comprende le attività, i processi, i servizi e le applicazioni che sono oggetto di certificazione e ai quali si applicano le regole in materia di sicurezza, così come previsto dalla norma (rif. art. 4.3 ISO 27001:2013 - l'organizzazione deve determinare i confini e l'applicabilità del Sistema di gestione per la sicurezza delle informazioni per stabilirne il campo di applicazione ). Il perimetro definisce l'ampiezza del Sistema di gestione della sicurezza delle informazioni e quindi individua i siti, le infrastrutture, ma anche determinati aspetti fisici e logici, nei confronti dei quali valgono le regole del SGSI. L'Agenzia ha definito il campo di applicazione del proprio SGSI come sotto indicato: Gestione dei servizi informativi a supporto dell'autorizzazione, dell'esecuzione e della contabilizzazione dei pagamenti alle imprese agricole. Il perimetro del Sistema di gestione della sicurezza delle informazioni è rappresentato dalla Sede centrale dell'agenzia. 4 POLITICA DEL SGSI L'obiettivo del Sistema di gestione della sicurezza delle informazioni dell'avepa è di garantire un adeguato livello di sicurezza dei dati e delle informazioni, nell'ambito della gestione dei servizi informativi a supporto dell'autorizzazione, dell'esecuzione e della contabilizzazione dei pagamenti alle imprese agricole, attraverso l'identificazione, la valutazione e il trattamento dei rischi ai quali le informazioni sono soggette. Con la presente politica l'avepa intende formalizzare i seguenti obiettivi nell'ambito della sicurezza delle informazioni: proteggere le risorse informative dalle minacce siano esse interne o esterne, di tipo organizzativo o tecnologico, accidentali o intenzionali, assicurando: la riservatezza: proprietà per cui l'informazione non è resa disponibile o comunicata a soggetti non autorizzati; l'integrità: proprietà di tutelare l'accuratezza e la completezza delle informazioni a cui l'agenzia attribuisce un valore; la disponibilità: proprietà per cui l'informazione deve essere accessibile ed utilizzabile previa richiesta da parte di un'entità autorizzata; promuovere la cultura della sicurezza delle informazioni, aumentando la sensibilità delle persone che prestano la loro attività in Agenzia dell'importanza del loro contributo 8 / 16

nell'efficacia del Sistema di gestione della sicurezza delle informazioni attraverso attività di formazione, costituzione di gruppi di lavoro, ecc.; rispondere alle indicazioni previste dalla normativa vigente in materia di privacy e tutela dei dati; preservare l'immagine dell'agenzia dando garanzia ai soggetti esterni preposti al controllo sulla sua organizzazione e sul suo operato di efficienza, competenza e affidabilità e della corretta gestione dei rischi; integrare il Sistema di gestione della sicurezza delle informazioni nei processi dell'organizzazione e nella sua struttura generale di gestione; individuare i rischi e i responsabili del trattamento e gestione degli stessi; garantire la continuità operativa dell'agenzia; porre in essere le opportune azioni per fronteggiare le violazioni della sicurezza ed effettuare una corretta rilevazione ed indagine. 5 DEFINIZIONE GENERALE DI RUOLI E REPONSABILITÀ Secondo quanto disposto dall'art. 5.3 della norma ISO 27001:2013 in materia di ruoli, responsabilità e autorità all'interno dell'organizzazione, il presente paragrafo si pone come obiettivo quello di individuare i principali soggetti coinvolti nel SGSI aziendale e i loro ruoli al fine di: assicurare che il SGSI sia conforme alla norma ISO 27001:2013; garantire che il SGSI sia efficace nel conseguire gli obiettivi; gestire il SGSI garantendo un miglioramento continuo dello stesso, attraverso opportune azioni di controllo e correttive; individuare i responsabili dei rischi relativi alla sicurezza delle informazioni; riferire alla Direzione in merito alle prestazioni del SGSI. L'Agenzia deve garantire che i soggetti che svolgono attività che ricadono nell'ambito del proprio Sistema di gestione della sicurezza delle informazioni siano competenti, mettendo in atto azioni rivolte a far acquisire o incrementare la loro competenza, quali ad esempio, la formazione in materia di sicurezza, l'addestramento, l'affiancamento, la loro riallocazione, ecc. L'art. 7.3 della norma prevede che le persone che svolgono attività che influenzano le prestazioni dell'agenzia in materia di sicurezza delle informazioni siano consapevoli del loro contributo nel conseguire gli obiettivi stabiliti e, per contro, delle conseguenze derivanti dal non essere conformi ai requisiti del Sistema di gestione della sicurezza delle informazioni. Per la gestione granulare della sicurezza si individuano 4 campi rilevanti nel sistema informativo dell'agenzia, ovvero: 1. risorse umane, sono ivi incluse tutte le risorse umane in carico all'agenzia. L'area interna incaricata della gestione è l'area amministrazione e contabilità (AAC); 2. sedi fisiche, sono ivi incluse le aree fisiche in gestione all'agenzia. L'area interna incaricata della gestione è AAC; 3. IT, sono inclusi tutti i servizi IT. L'area interna incaricata della gestione è l'area servizi IT; 4. supporti cartacei, sono inclusi tutti i supporti cartacei necessari alla mission aziendale. L'area interna incaricata della gestione è la Direzione, Settore affari istituzionali. 9 / 16

Per l'armonizzazione delle loro attività in materia di sicurezza delle informazioni si è costituita, nell'ambito dell'area Servizi IT, una Funzione operativa SGSI, mentre per il loro monitoraggio si nomina un Responsabile della sicurezza delle informazioni. Illustrazione 1: Flusso delle responsabilità per il SGSI 5.1 La Direzione 10 / 16

Il presente documento vuole esprimere in un testo unico l'importanza che la sicurezza delle informazioni rappresenta per la Direzione e concretizza l'organizzazione necessaria per tutelare la confidenzialità, l'integrità e la disponibilità dei dati. La Direzione si impegna a sviluppare, mantenere, controllare e migliorare in modo costante un Sistema di gestione della sicurezza delle informazioni in conformità alla norma ISO 27001:2013 ed è consapevole che la sicurezza è un processo culturale complesso che deve coinvolgere tutte le risorse umane ed organizzative. La Direzione per questi motivi si impegna a fornire le risorse necessarie al Sistema di gestione della sicurezza delle informazioni, in modo che lo stesso consegua gli esiti previsti. La Direzione è responsabile: del rilascio del documento contenente la politica relativa al SGSI; della definizione e dimensionamento formale dei ruoli e delle responsabilità nell ambito del SGSI; dell'approvazione del Riesame della Direzione 2015, ottenuto in concerto con l'organismo di gestione del SGSI di cui al paragrafo successivo. 5.1.1 Riesame della Direzione Il Riesame della Direzione consiste nell'attività di verifica del SGSI al fine di assicurare l'idoneità alla norma, l'adeguatezza e l'efficacia dello stesso. Il Riesame, che deve essere eseguito almeno una volta l'anno, è disciplinato dall'art. 9.3 della norma ISO 27001:2013 il quale prevede che lo stesso debba includere considerazioni su: lo stato delle azioni derivanti dai precedenti riesami della Direzione; i cambiamenti dei fattori esterni e interni che hanno attinenza con il Sistema di gestione della sicurezza delle informazioni; le informazioni di ritorno sulle prestazioni relative alla sicurezza delle informazioni, compresi gli andamenti: 1. delle non conformità e azioni correttive; 2. dei risultati del monitoraggio e della misurazione; 3. dei risultati di audit; 4. del raggiungimento degli obiettivi per la sicurezza delle informazioni; 5. le informazioni di ritorno dalle parti interessate; 6. i risultati della valutazione del rischio e lo stato del piano di trattamento del rischio; 7. le opportunità per il miglioramento continuo. Gli elementi in uscita dal riesame di Direzione devono comprendere le decisioni relative alle opportunità per il miglioramento continuo e ogni necessità di modifiche al Sistema di gestione della sicurezza delle informazioni. Il Riesame della Direzione è adottato dalla Direzione e presentato dall'organismo di gestione del SGSI. 5.2 Organismo di gestione del SGSI 11 / 16

L'Area costituisce la macrostruttura di massimo livello dell'agenzia ed è posta a governo dei settori e delle posizioni organizzative. Le Aree sono individuate in base a grandi tipologie di intervento che si distinguono nell ambito dell'azione istituzionale dell'agenzia. Ogni Area dispone di un elevato grado di autonomia progettuale ed operativa nell ambito degli indirizzi impartiti dalla Direzione. Le Aree sono affidate alla responsabilità di un Dirigente, il quale ha il compito di pianificare e coordinare le attività operative della propria area. Al fine di coordinare le molteplici attività relative alla sicurezza delle informazioni che interessano trasversalmente tutte le unità organizzative dell'agenzia si istituisce l'organismo di gestione del SGSI, composto dal Direttore, da tutti i Dirigenti di Area e dai dirigenti degli Sportelli unici agricoli. L'Organismo, che dovrà riunirsi periodicamente e comunque almeno una volta l'anno: stila gli obiettivi di controllo applicati al SGSI; stabilisce e monitora gli indicatori di performance per la valutazione dell'efficacia del SGSI; riesamina il SGSI al fine di verificare la sua adeguatezza ed efficacia, nonché le possibilità di miglioramento e implementazione; definisce i criteri per l'accettazione dei rischi e i livelli di rischio accettabili; valuta le azioni per trattare i rischi e le opportunità collegabili al SGSI; supporta fattivamente la Direzione nella stesura del Riesame della Direzione; definisce le priorità nel trattamento dei rischi; monitora l'applicazione del piano di trattamento dei rischi; armonizza le differenti azioni in ambito di sicurezza; Ogni dirigente, per l'ambito di cui è responsabile: promuove la cultura della sicurezza delle informazioni nei confronti dei propri collaboratori; vigila sul rispetto delle norme e delle procedure stabilite a tale fine; è l'owner dei rischi relativi alla sicurezza delle informazioni ed approva - per la sua competenza - il proprio piano di trattamento dei rischi; assicura l'integrazione dei requisiti del SGSI nei propri processi interni; comunica alla Direzione obiettivi e priorità di sicurezza per la propria Area; promuove il miglioramento continuo del SGSI attraverso azioni di controllo e correttive; 5.3 Specializzazioni La norma ISO 27001 prevede l'individuazione dei risk owner, i quali consistono nelle persone o entità che hanno la responsabilità e l'autorità per gestire i rischi. Questi soggetti sono identificati nei documenti relativi all'analisi del rischio ai quali si fa riferimento. 5.3.1 Dirigente Area servizi information technology Al Dirigente dell Area servizi IT, in capo al quale è stata posta la Funzione operativa Sistema di gestione della sicurezza delle informazioni, è attribuita la responsabilità di coordinare le azioni relative alla gestione del SGSI in attuazione degli obiettivi e piani definiti dall'organismo di 12 / 16

gestione del SGSI. Tra i compiti del Dirigente dell Area servizi IT vi sono quelli relativi all adozione della documentazione del SGSI, ad eccezione di quanto di competenza della Direzione. 5.3.2 Funzione operativa Sistema di gestione della sicurezza delle informazioni La Funzione operativa Sistema di gestione della sicurezza delle informazioni, a cui appartiene anche il Responsabile della sicurezza delle informazioni, deve coordinare ed armonizzare le attività necessarie per il mantenimento della certificazione del Sistema di gestione della sicurezza delle informazioni alla norma ISO 27001:2013, collaborare con l'organismo di certificazione durante gli audit periodici di rinnovo e sorveglianza, suggerire miglioramenti pratici per ridurre il rischio collegato alla sicurezza dei dati. 5.3.3 Dirigente Area amministrazione e contabilità Al Dirigente dell'area amministrazione e contabilità è attribuita la responsabilità di coordinare la gestione del rischio per la sicurezza delle informazioni collegato alla gestione del personale, comunicando alla Funzione operativa Sistema di gestione della sicurezza delle informazioni eventuali rilevanze di sicurezza che abbiano impatto sulle procedure interne. 5.3.4 Settore affari istituzionali Al Settore affari istituzionali presente in Direzione è attribuita la responsabilità della gestione del rischio per la sicurezza delle informazioni collegato alla gestione dei supporti cartacei presenti in Agenzia, comunicando alla Funzione operativa Sistema di gestione della sicurezza delle informazioni eventuali rilevanze di sicurezza che abbiano impatto sulle procedure interne. 5.4 Ruolo del Responsabile della sicurezza delle informazioni È la figura di riferimento per il mantenimento e l'implementazione di un elevato livello di sicurezza delle informazioni, in particolare attraverso la verifica della corretta implementazione della politica e delle procedure relative alla sicurezza dei dati e la prevenzione di possibili incidenti al sistema informatico/informativo dell'agenzia. Tale responsabilità normalmente è in capo al Dirigente dell'area servizi IT ma può essere delegata ad altra persona ritenuta idonea attraverso opportuna formalizzazione e comunicazione. 5.5 Dirigenti di settore e Dirigenti degli Sportelli unici agricoli Ogni Area può essere suddivisa in Settori, a capo dei quali sono posti dei Dirigenti di Settore. In questa sotto-area svolgono funzioni di coordinamento e di controllo ai fini del raggiungimento degli obiettivi assegnati. Ogni Sportello unico agricolo è presidiato da un Dirigente SUA che coordina l'attività della sede periferica dell'agenzia. Questi Dirigenti, per quanto di loro competenza e secondo le indicazioni del Dirigente d Area e del Direttore, dovranno provvedere a: 13 / 16

informare i propri collaboratori circa le clausole di riservatezza contenute nel contratto di lavoro; gestire le risorse umane assegnate alla struttura assicurando idonea formazione al personale in materia di sicurezza delle informazioni; assicurarsi che i propri collaboratori prendano visione delle procedure relative al SGSI, consultabili presso il sito intranet dell Agenzia, e della loro corretta applicazione; assicurarsi che i dati nel sistema informatico siano corretti ed integri e definire i livelli di riservatezza degli stessi; comunicare alla Funzione operativa Sistema di gestione della sicurezza delle informazioni eventuali rilevanze di sicurezza che abbiano impatto sulle procedure interne. 5.6 Responsabilità del gruppo di lavoro ISO 27001:2013 È stato istituito un gruppo di lavoro ISO 27001:2013 composto dal Responsabile della sicurezza delle informazioni e da soggetti individuati dai Dirigenti in rappresentanza delle varie strutture della Sede centrale dell'agenzia e degli Sportelli unici agricoli. Ai componenti del gruppo di lavoro ISO 27001:2013 è chiesto di: essere punti di contatto per la diffusione delle buone pratiche e procedure nel loro ambito di lavoro; proporsi come concentratori locali di conoscenza, in ambito sicurezza delle informazioni, per i colleghi; essere referenti per eventuali incident di sicurezza ed eventi sospetti; suggerire miglioramenti e modifiche alle procedure e individuare malfunzionamenti del SGSI. Le nomine devono essere formalizzate e comunicate agli interessati. Le convocazioni del gruppo sono effettuate da personale dell'area servizi IT attraverso una apposita email di gruppo iso@avepa.it, anche in seguito a specifica richiesta di un componente del gruppo. Le riunioni plenarie del gruppo devono essere verbalizzate, anche attraverso strumenti informali quali la condivisione tramite email di gruppo del verbale. 5.7 Responsabilità degli utenti Gli utenti, cioè il personale dell'avepa che quotidianamente accede al sistema informatico e gli utenti esterni che si collegano ai sistemi dell'agenzia, sono tenuti: a consultare la sezione dedicata al SGSI nella intranet aziendale; al rispetto, nello svolgimento delle proprie attività, delle misure di sicurezza dei dati individuate dall'agenzia, nonché dell applicazione delle procedure e delle norme del SGSI; a segnalare al proprio Dirigente, al Dirigente dell Area servizi IT o al Responsabile della sicurezza informatica ogni violazione delle misure di sicurezza di cui vengano a conoscenza. 14 / 16

5.8 Business continuity team Al fine di garantire la continuità operativa in caso di evento dannoso che comprometta l'operatività dell'agenzia è stato costituito un Business continuity team, le cui competenze sono elencate nel documento relativo alla continuità operativa al quale si rimanda. 5.9 Area controllo interno L'Agenzia si è dotata di un servizio interno di controllo, denominato Unità complessa controllo interno, la quale si trova in una posizione indipendente rispetto alle altre strutture dell'agenzia perché è tenuta a riferire l'esito dei controlli da essa svolti direttamente alla Direzione. Secondo quanto previsto dalla norma ISO 27001:2013, l'unità complessa controllo interno deve condurre ad intervalli regolari degli audit interni relativamente al Sistema di gestione della sicurezza delle informazioni, al fine di verificare se questo sia: conforme ai requisiti della norma ISO 27001:2013 e alle leggi e regolamenti in materia di sicurezza dei dati; conforme ai requisiti identificati per la sicurezza delle informazioni; efficacemente realizzato, mantenuto e aggiornato; efficace nel conseguire gli obiettivi. L'art. 9.2 della norma ISO 27001:2013, stabilisce inoltre che, l'organizzazione deve: pianificare, stabilire, attuare e mantenere uno o più programmi di audit, comprensivi di frequenze, metodi, responsabilità, requisiti di pianificazione e reporting. I programmi di audit devono prendere in considerazione l'importanza dei processi coinvolti e i risultati di audit precedenti; definire i criteri di audit e il campo di applicazione per ciascun audit; selezionare gli auditor e condurre gli audit in modo da assicurare l'obiettività e l'imparzialità del processo di audit; assicurare che i risultati degli audit siano riportati ai pertinenti responsabili; conservare informazioni documentate quale evidenza dell'attuazione del programma di audit e dei risultati di audit. La realizzazione degli audit viene pianificata all'interno del Piano annuale di audit, redatto e aggiornato secondo quanto riportato nel Manuale di audit dell'unità complessa controllo interno. Il Piano annuale di audit viene approvato annualmente dal Direttore e successivamente adottato con decreto del Dirigente dell'unità complessa controllo interno. E' prevista l'attuazione di almeno un intervento di audit sul Sistema di Gestione della Sicurezza delle Informazioni nell'arco dell'anno. Le attività di audit seguono quanto prescrive il Manuale delle attività di audit relativamente alla conduzione degli interventi di audit ed in particolare per gli interventi di audit IT, esplicitata in una sezione dedicata. L'attività si svolge conformemente ai criteri accettati a livello internazionale e viene registrata in documenti di lavoro. 15 / 16

6 REVISIONI Il presente documento è soggetto a revisione in occasione di significative modifiche organizzative e tecnologiche rilevanti per la gestione delle informazioni. Il capitolo relativo a ruoli e responsabilità deve essere esaminato annualmente al fine di adattarlo ad eventuali cambiamenti avvenuti nell'organizzazione dell'agenzia. 16 / 16

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back