POLITICA PER LA QUALITÀ E PER LA SICUREZZA DELLE INFORMAZIONI

L’obiettivo della ditta SYGEST S.r.l. è:

  • organizzare l’azienda attraverso un sistema di controlli volti al costante monitoraggio del rispetto degli standard di qualità definiti dalla SYGEST S.r.l. di tutti i suoi fornitori
  • dimostrare la propria capacità a fornire in modo coerente un prodotto che soddisfi i requisiti del cliente;
  • implementare, mantenere e continuamente migliorare un Sistema di Gestione per la Qualità e della Sicurezza delle Informazioni.
  • definire in modo attento le funzioni aziendali per garantire fluidità nell’organizzazione
  • assicurarsi la conformità alla Politica della Qualità e della Sicurezza delle informazioni definita;
  • ottenere la certificazione e la registrazione del proprio Sistema di Gestione della Qualità e della Sicurezza delle Informazioni da parte di un’organizzazione esterna;
  • cercare il miglioramento continuo a livello di processo attraverso l’applicazione del SGQSI
  • Standardizzare il più possibile la gestione aziendale in modo da diminuire al massimo la NC
  • diffondere il proprio impegno nei confronti della qualità fino al cliente
  • assicurare la protezione in termini di riservatezza, integrità e disponibilità di tutte le informazioni trattate dall’organizzazione sia in forma elettronica che cartacea.
  • implementare nell’organizzazione aziendale un Sistema di Gestione Sicura delle Informazioni conforme ai requisiti della norma ISO 27001 ed integrato al Sistema di Gestione per la Qualità sviluppato secondo lo standard UNI EN ISO 9001:2015, e si è impegnata a mettere in atto le necessarie misure atte a garantirne l’applicazione al fine di tutelare gli interessi aziendali e dei propri clienti e a rendere disponibili risorse per l’attivazione di un SGQSI basato, per la parte della sicurezza delle informazioni, sui seguenti principi:
  • La sicurezza informatica è un requisito fondamentale dell’Azienda (tenuto conto del trattamento della tipologia di dati derivante dalle commesse e dai servizi tipici della nostra azienda);
  • Ciascun membro dell’Azienda è pienamente e personalmente coinvolto nella politica di sicurezza promossa, definita e diffusa all’interno dell’organizzazione;
  • La politica di sicurezza è rivolta a tutti i dipendenti dell’Azienda, con qualsiasi contratto di lavoro, a tutti i collaboratori/consulenti e prestatori di servizi.
  • Le politiche di sicurezza e le procedure aziendali tengono conto dei requisiti di progetto, di servizio e di prodotto, derivanti degli impegni contrattuali sottoscritti con i clienti per la gestione di commesse / servizi e dei requisiti di sicurezza sottesi (obbligatori, opzionali od impliciti).
  • L’Azienda ha provveduto a definire le necessità informative dei suoi collaboratori, nello svolgimento dei progetti e dei servizi, nelle relazioni tra funzioni interne e terze parti esterne all’azienda adottando un sistema di classificazione delle informazioni e uno schema di autorizzazione del personale all’accesso dei dati congruente ai limiti di diffusione indicati/richiesti.
  • I diritti di accesso alle informazioni sono attribuiti nel rispetto di criteri di riservatezza aziendali e in base al principio della stretta necessità di utilizzazione collegate al ruolo e alle responsabilità assegnate e definite nella nostra organizzazione. Tali diritti sono limitati per livello e durata e rispettano il principio della restrizione dell’accesso ai dati “need to know” cioè secondo le necessità delle singole commesse.
  • L’Azienda si impegna ad attuare tutte le misure necessarie ad assicurare il corretto trattamento e l’integrità dei dati acquisiti e gestiti per conto dal cliente, e ad innalzare il grado di sicurezza dei sistemi informativi che si interfacciano con quelli del cliente;
  • La disponibilità dei nostri sistemi assume particolare rilevanza per garantire i livelli di servizio richiesti dai nostri clienti. Ciascun processo/attività che utilizza risorse informative deve assicurare la continuità e l’integrità del servizio. È pertanto responsabilità dell’Azienda predisporre procedure che disciplinano: disponibilità di personale e infrastrutture, l’operatività degli apparati ed il ripristino della corretta funzionalità delle risorse in caso di compromissione.
  • Nello specifico ai fini delle norme sul trattamento dei dati personali, l’Azienda, si rende responsabile del trattamento per quanto concerne le informazioni inerenti alle commesse di propria competenza.
  • In tale ottica l’azienda opera affinché:
  • la disponibilità delle informazioni sia garantita quando richiesta;
  • l’integrità delle informazioni sia mantenuta;
  • la riservatezza delle informazioni da noi trattate sia preservata;
  • gli obblighi di legge in materia di riservatezza delle informazioni siano pienamente soddisfatti attraverso la realizzazione di un piano, formalizzato nel documento programmatico della sicurezza, che prevede:
  • la definizione dell’organizzazione e delle responsabilità di trattamento
  • l’integrazione dei piani di formazione per i dipendenti in relazione alla gestione della sicurezza;
  • la creazione di un efficace sistema di segnalazione incidenti o debolezze relative alla sicurezza;
  • la pianificazione e la gestione delle attività a garanzia della continuità operativa nei casi di incidenti e di emergenza.

 

Gli obiettivi del sistema di gestione della sicurezza delle informazioni sono:

  • svolgere una adeguata analisi dei rischi, determinando il valore delle risorse informative coinvolte e valutando il rischio conseguente alla perdita di disponibilità, integrità e riservatezza, attraverso l’esame delle vulnerabilità e delle minacce associate;
  • assicurare un accettabile livello di rischio attraverso la progettazione, l’implementazione e il mantenimento di adeguate contromisure ed individuando, caso per caso, ulteriori opzioni di trattamento del rischio quali l’accettazione, il trasferimento a terze parti o evitare le situazioni di rischio non gestibili dall’organizzazione;
  • tutelare gli interessi aziendali e dei propri clienti;
  • dimostrare a clienti, partners e dipendenti il proprio impegno a favore della sicurezza delle informazioni;
  • individuare aree di criticità attraverso l’analisi dei rischi, ed il monitoraggio dei servizi e dei sistemi informativi aziendali.
  • garantire che il patrimonio di informazioni sia conservato all’interno del sistema di gestione aziendale;
  • orientare verso il miglioramento continuo i processi di implementazione delle politiche di sicurezza;
  • stabilire la cultura della sicurezza all’interno dell’organizzazione attraverso azioni formative ed informative;
  • disporre di un elemento qualificante per promuovere l’immagine dell’azienda presso gli interlocutori interni ed esterni, clienti azionisti e partners strategici.
  • Al fine di promuovere a favorire l’implementazione degli obiettivi di politica viene costituito un “Comitato interfunzionale” per il coordinamento e la gestione delle attività necessarie a garantire la sicurezza delle informazioni composto dal CEO, RTEC, RCED ed il consulente esterno. Le finalità del “Comitato” sono la promozione della sicurezza, l’individuazione e la definizione degli obiettivi, l’impegno e la disponibilità delle risorse necessarie alle azioni di tutela.

L’azienda si è dotata di un sistema di indicatori per monitorare l’attuazione degli obiettivi del SGQSI, dei controlli ISO 27001 e dei livelli di servizio.

Per conseguire questi obiettivi è politica dell’Azienda seguire i seguenti concetti generali:

  • Rispetto delle leggi in vigore e della normativa contrattuale;
  • Rispetto della norma di Assicurazione Qualità prescelta: UNI EN ISO 9001:2015;
  • Rispetto della norma UNI CEI ISO/IEC 27001:2017;
  • Ottenimento del livello di Qualità stabilito al minimo costo;
  • Garantire al cliente un tempo di ripristino del servizio sempre più rapido;
  • Garantire al cliente l’assenza di interruzioni del servizio;
  • Responsabilizzazione individuale alla qualità e alla sicurezza dei dati e delle informazioni;
  • Garanzia del mantenimento del livello di sicurezza necessario sulle informazioni e sui dati del cliente
  • Responsabilizzazione dei capi in merito alla qualità del lavoro effettuato dai propri collaboratori;
  • Miglioramento continuo della qualità;
  • Addestramento strutturato alle discipline della qualità e della sicurezza delle informazioni di tutte le funzioni a tutti i livelli;
  • Misura dell’adeguatezza, del rispetto e dell’efficacia del SGQSI tramite AUDIT;
  • Disponibilità e visibilità delle registrazioni dati che costituisce la prova obiettiva della qualità del prodotto;

 

L’applicazione di questa politica prevede che il Sistema di Gestione per la Qualità e della Sicurezza delle Informazioni generale dell’Azienda sia documentato da una documentazione capace di integrare e coordinare tutte le attività afferenti la Qualità svolte da tutte le funzioni a tutti i livelli necessarie per conseguire gli obiettivi stabiliti.

Questa documentazione deve essere raccolta nel Manuale Assicurazione Qualità e della Sicurezza delle Informazioni da tenere sempre aggiornato in modo da rappresentare le intenzioni dell’Azienda in merito alla gestione totale della Qualità e da servire come base per la Valutazione e Certificazione dell’Azienda da parte dei Committenti e degli Enti Nazionali / Internazionali preposti a ciò. La Politica per la Qualità e per la Sicurezza delle Informazioni deve essere compresa a tutti i livelli della struttura organizzativa aziendale.

Viene pertanto distribuita a tutti i possessori del Manuale Assicurazione Qualità e della Sicurezza delle Informazioni e a tutto il personale.

Viene inoltre inserita nei corsi di addestramento del personale, in particolare per quello di nuova assunzione.

 

Artemio Bisaschi – CEO di Sygest S.r.l.