SecurityPolicy.rev01

La riproduzione totale o parziale di questo documento senza autorizzazione è PROIBITA.


Indice

  1. Organizzazione e implementazione dei processi di sicurezza
  2. Quadro normativo
  3. Mission
  4. Funzioni di sicurezza
  5. Report
  6. Analisi di rischio e gestione (art. 14)
  7. Gestione del personale (art. 15)
  8. Professionalità (art. 16)
  9. Autorizzazione e controllo degli accessi (art. 17)
  10. Protezione degli impianti (art. 18)
  11. Acquisto di prodotti di sicurezza e contrattazione di servizi di sicurezza (art. 19)
  12. Privilegio Minimo (art. 20)
  13. Integrità e aggiornamento del sistema (art. 21)
  14. Protezione delle informazioni archiviate e in transito (art. 22)
  15. Prevenzione contro altri sistemi interconnessi di informazione (art. 23)
  16. Registrazione delle attività e rilevamento di codici dannosi (art. 24)
  17. Incidenti di sicurezza (art. 25)
  18. Continuità dell’attività (art. 26)
  19. Miglioramento continuo del processo di sicurezza (art. 27)
  20. Referenze documentali
  21. Change control

1. ORGANIZZAZIONE E IMPLEMENTAZIONE DEI PROCESSI DI SICUREZZA (ART.13)

La presente "Policy sulla sicurezza delle informazioni" è da considerarsi effettiva a partire dal 16 ottobre 2023, data in cui è stata adottata da parte di Insulcloud.

La Policy è rivista dal Responsabile della Sicurezza delle Informazioni a intervalli stabiliti, non superiori a un anno o ogni qual volta si verifichino cambiamenti significativi, al fine di garantire che la sua idoneità, adeguatezza ed efficacia siano mantenute.

La sicurezza dei sistemi informativi deve coinvolgere tutti i membri dell'organizzazione, grazie a una comunicazione efficace fra tutti.

Le modifiche alla politica di sicurezza delle informazioni saranno approvate dalla Direzione di Insulcloud. Ogni variazione dello stesso dovrà essere portata a conoscenza di tutta l'Azienda. Il management della società è consapevole del valore delle informazioni ed è profondamente impegnato nel rispettare la Policy descritta in questo documento.

2. QUADRO NORMATIVO

Il quadro normativo in materia di sicurezza informatica nel quale Insulcloud svolge la propria attività, sostanzialmente, è il seguente:

  • Legge organica 3/2018, del 5 dicembre, sulla protezione dei dati personali e la garanzia dei diritti digitali.
  • RD 311/2022 del 3 maggio che regola il sistema di sicurezza nazionale nel campo dell'amministrazione elettronica.
  • ENS, Articolo 12. Organizzazione e attuazione del processo di sicurezza.
  • REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati), applicabile al al trattamento completamente o parzialmente automatizzato dei dati personali nonché al trattamento non automatizzato dei dati personali contenuti o destinati ad essere inseriti in un file.
  • Guida alla Sicurezza ICT CCN-STIC 805 ENS. Politica di sicurezza delle informazioni.
  • Guida alla Sicurezza ICT CCN-STIC 801 ENS. Responsabilità e funzioni. Il contratto collettivo applicabile, corrispondente a “Società di consulenza e studi di mercato e di opinione pubblica”.
  • Legge 34/2002, dell'11 luglio, sui servizi della società dell'informazione e del commercio elettronico (LSSI-CE).

3. MISSION

Lo scopo della presente Security Policy delle informazioni è proteggere le informazioni dei servizi Insulcloud.

La Security Policy unitamente alle Norme di Sicurezza, sarà attuata mediante una comunicazione a tutti i dipendenti, affinché il documento possa essere analizzato, compreso e letto da tutti. La presente Policy si applica al sistema informativo di proprietà di Insulcloud per l'adeguata fornitura di servizi di assistenza tecnica, attraverso l'assegnazione di personale qualificato a organizzazioni pubbliche, effettuandone la gestione e il monitoraggio negli ambiti di:

  • consulenza in materia di ICT e sicurezza, insieme a audit tecnici e di conformità, il tutto in conformità con le disposizioni di RD 311/2022, ISO/IEC 27001 e l'attuale Dichiarazione di applicabilità.

4. FUNZIONI DI SICUREZZA

Insulcloud ha nominato un COMITATO per la Sicurezza con proprie Funzioni e Responsabilità. La costituzione di tale Comitato, nonché la designazione dei diversi ruoli, risultano dal Verbale di Costituzione del Comitato: Insulcloud del 06/11/2021 e dal Verbale Nomine Insulcloud del 06/11/2021 Il Comitato per la Sicurezza delle Informazioni dell’ENS è composto da:
  • Responsabile della Sicurezza (Security Manager)
  • Responsabile di Sistema (System Manager)
  • Responsabile dell'Informazione (Information Manager)
  • Responsabile del servizio (Responsible of the service)
  • Responsabile della gestione (Manager Responsible)

Questo Comitato di Sicurezza ha dei supplenti per ciascuno dei responsabili del Comitato di Sicurezza, cioè 5 supplenti.

È necessario identificare chiaramente le parti responsabili per garantire la compliance e fare in modo che siano conosciute e riconosciute nelle loro cariche da tutti i membri dell’azienda. Le responsabilità di ciascuna persona saranno dettagliate nella Security Policy aziendale.

Le nomine vengono stabilite dal Management aziendale e vengono riviste ogni 2 anni o quando una posizione diventa vacante. Le divergenze di criteri che potrebbero portare a un conflitto verranno trattate nell'ambito del comitato per la sicurezza e prevarranno in ogni caso i criteri della direzione esecutiva.

I diversi ruoli insieme alle rispettive funzioni e responsabilità:

Il Responsabile della Gestione (Head of Management) avrà le seguenti funzioni:

  • Determina gli obiettivi che intende raggiungere e si assume la responsabilità di garantire che vengano raggiunti
  • Comprende cosa fa ogni dipartimento e come si coordinano tra loro
  • Organizza funzioni e responsabilità e la Security Policy aziendale
  • Fornisce risorse, budget e personale adeguati per raggiungere gli obiettivi
Il Responsabile dell'Informazione (Information Manager) avrà le seguenti funzioni:
  • Accettare i rischi residui relativi alle informazioni, calcolati nell'analisi dei rischi.
  • Sebbene l'approvazione formale dei livelli spetti al Responsabile delle Informazioni, è possibile ottenere una proposta dal Responsabile della Sicurezza ed è opportuno sentire il parere del Responsabile del Sistema.
  • Determinare i requisiti delle informazioni elaborate.
  • Garantire la sicurezza delle informazioni nei suoi diversi aspetti: protezione fisica, protezione dei servizi e rispetto della privacy.
  • Essere a conoscenza dei cambiamenti normativi (leggi, regolamenti o pratiche settoriali) che interessano l’Azienda.
  • Adottare le misure tecniche e organizzative necessarie per garantire la sicurezza dei dati personali e prevenirne l'alterazione, la perdita, il trattamento o l'accesso non autorizzati, tenendo conto dello stato della tecnologia, della natura dei dati archiviati e dei rischi a a cui essi sono associati, siano essi derivanti dall’azione umana o dall’ambiente fisico o naturale

Il Responsabile del servizio (Responsible of the service) avrà le seguenti mansioni:

  • Determinare i requisiti di sicurezza dei servizi forniti ai clienti.
  • Rivedere e approvare i livelli di sicurezza dei servizi.
  • Includere specifiche di sicurezza nel ciclo di vita dei servizi e dei sistemi, accompagnate dalle relative procedure di controllo.
  • Valutare le conseguenze di un impatto negativo sulla sicurezza dei servizi. Questa procedura viene effettuata tenendo conto del suo impatto sulla capacità aziendale di raggiungere i suoi obiettivi, la protezione dei suoi beni, l'adempimento dei suoi obblighi di servizio, il rispetto della legalità e dei diritti dei Clienti.
  • Assumersi la proprietà dei rischi sui servizi.

Il Responsabile della gestione (Manager Responsible) avrà le seguenti mansioni:

  • Sviluppare, far funzionare e mantenere il Sistema durante tutto il suo ciclo di vita, le sue specifiche, l'installazione e la verifica del suo corretto funzionamento.
  • Definire la topologia e la policy di gestione del Sistema, stabilendo i criteri di utilizzo e i servizi ivi disponibili.
  • Definire la politica di connessione o disconnessione per nuovi computer e utenti nel sistema.
  • Attuare e controllare le specifiche misure di sicurezza del Sistema e garantire che queste siano adeguatamente integrate nel quadro generale di sicurezza.
  • Determinare la configurazione hardware e software autorizzata da utilizzare nel sistema.
  • Approvare qualsiasi modifica sostanziale alla configurazione di qualsiasi elemento del Sistema.
  • Effettuare il processo di analisi e gestione dei rischi nel Sistema.
  • Determinare la categoria del sistema e determinare le misure di sicurezza che devono essere applicate.
  • Preparare e approvare la documentazione di sicurezza del Sistema.
  • Indagare sugli incidenti di sicurezza che interessano il sistema e, ove applicabile, comunicarli al Responsabile della Sicurezza (Security Manager).
  • Stabilire piani di contingenza ed emergenza, svolgendo esercitazioni frequenti in modo che il personale ne acquisisca familiarità.

Il Responsabile della sicurezza (Security Manager), nominato dalla Direzione Aziendale, avrà le seguenti mansioni:

  • Prendere le decisioni che soddisfino i requisiti di sicurezza delle informazioni e dei servizi.
  • Lavorare per raggiungere la totale sicurezza dei dati aziendali, nonché la loro privacy.
  • Supervisionare, controllare e gestire l'accesso alle informazioni sull'azienda e sui suoi dipendenti.
  • Sviluppare una serie di misure in risposta agli incidenti legati alla sicurezza delle informazioni, compreso il ripristino di emergenza.
  • Garantire il rispetto delle normative relative alla sicurezza delle informazioni. Nel caso di servizi esternalizzati, la responsabilità ultima spetta sempre all’azienda che riceve i servizi, anche se la responsabilità immediata può corrispondere (tramite contratto) all’azienda che fornisce il servizio.
  • Mantenere la sicurezza delle informazioni gestite e dei servizi forniti dai sistemi informativi nella propria area di responsabilità, in conformità con quanto previsto dalla politica di Sicurezza delle Informazioni dell'organizzazione.
  • Promuovere la formazione e la sensibilizzazione sulla sicurezza delle informazioni.
  • Garantire il corretto utilizzo delle apparecchiature informatiche nell'ambito della loro responsabilità.
  • Supervisionare e coordinare la squadra incaricata di attuare le misure di risposta in caso di violazioni della sicurezza.
  • In quanto POC (Information Security Contact Person) sarà responsabile della sicurezza con i clienti a cui Insulcloud fornisce servizi.
  • Effettuare operazioni di sicurezza per combattere le frodi e il furto di informazioni.
  • Progettare il piano formativo, nell'ambito dell'ENS, per i dipendenti Insulcloud che erogano servizi nei progetti AA.PP.

Il DPD avrà le seguenti mansioni:

  • Informare e consigliare il titolare del trattamento o il responsabile del trattamento e i dipendenti responsabili del trattamento degli obblighi derivanti dal presente regolamento e da altre disposizioni dell'Unione o degli Stati membri sulla protezione dei dati.
  • Monitorare il rispetto del presente regolamento, delle altre disposizioni sulla protezione dei dati dell'Unione o degli Stati membri e delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresa l'assegnazione delle responsabilità, la sensibilizzazione e la
  • formazione del personale che partecipa alle operazioni di trattamento, e i corrispondenti audit.
  • Fornire consulenza, se richiesto, sulla valutazione d'impatto sulla protezione dei dati e monitorarne l'attuazione ai sensi dell'articolo 35.
  • Collaborare con l'autorità di vigilanza.
  • Fungere da punto di contatto dell'autorità di controllo per questioni relative al trattamento, compresa la consultazione preventiva di cui all'articolo 36, e svolgere consultazioni, se del caso, su qualsiasi altra questione.
  • Svolgere le sue funzioni prestando la dovuta attenzione ai rischi associati alle operazioni di trattamento, tenendo conto della natura, dell'ambito, del contesto e delle finalità del trattamento.

Inoltre, il Responsabile del sistema può accettare di sospendere il trattamento di determinate informazioni o la fornitura di un determinato servizio se viene informato di gravi carenze di sicurezza che potrebbero compromettere il soddisfacimento dei requisiti stabiliti. Questa decisione deve essere concordata con i responsabili delle informazioni interessate, del servizio interessato e della persona responsabile della sicurezza, prima di essere eseguita.

5. REPORT

Il gestore della sicurezza riporta al Responsabile della Sicurezza (Security Manager) o al Responsabile del Sistema (System Manager) a seconda delle loro funzioni aziendali:

  • Incidenti relativi alla sicurezza del sistema o ad azioni di configurazione, aggiornamento o correzione.
  • Il Responsabile del Sistema informa il Responsabile delle Informazioni degli incidenti funzionali relativi alle informazioni che lo riguardano.
  • Il Responsabile del Sistema informa il Responsabile del Servizio degli incidenti funzionali legati al servizio che lo riguarda.
  • Il Responsabile del Sistema riporta al Responsabile della Sicurezza le azioni di sicurezza, in particolare per quanto riguarda le decisioni sull'architettura del sistema

Riepilogo consolidato degli incidenti di sicurezza.

6. ANALISI DI RISCHIO E GESTIONE (ART.14)

Verrà effettuata un’analisi dei rischi, valutando le minacce e i rischi a cui sono esposti. Tale analisi costituirà la base per determinare le misure di sicurezza che dovranno essere adottate, oltre ai minimi stabiliti come previsto dagli articoli 7 e 14 della BOE, si ripeterà:

  • Regolarmente, almeno una volta all'anno.
  • Quando le informazioni gestite cambiano.
  • Quando cambiano i servizi forniti.
  • Quando si verifica un grave incidente di sicurezza.
  • Quando vengono segnalate vulnerabilità gravi.
  • Quando si verifica un incidente di sicurezza relativo alle normative LOPDGDD
  • Quando si verifica una violazione della sicurezza relativa alle informazioni elaborate da un utente secondo le normative LOPDGDD.

I criteri di valutazione del rischio saranno specificati nella metodologia di valutazione del rischio e degli incidenti di sicurezza che sarà sviluppata dall’azienda, sulla base di standard, buone pratiche riconosciute e norme legali.

Come minimo, devono essere affrontati tutti i rischi che potrebbero ostacolare seriamente la fornitura di servizi o l'adempimento della mission dell’azienda. Particolare priorità sarà data ai rischi che implicano una cessazione nella fornitura dei servizi, o che hanno un impatto su dette informazioni trattate durante il servizio.

I criteri di valutazione del rischio saranno specificati nella metodologia di valutazione del rischio che l'organizzazione svilupperà, sulla base di standard e buone pratiche riconosciuti.

Come minimo, devono essere affrontati tutti i rischi che potrebbero ostacolare seriamente la fornitura di servizi o l'adempimento della mission aziendale. Particolare priorità sarà data ai rischi che implicano la cessazione della fornitura dei servizi Insulcloud ai Clienti.

Il proprietario di un rischio deve essere informato dei rischi che gravano sulla sua proprietà e del rischio residuo a cui è soggetto. Quando un sistema informativo entra in funzione, i rischi residui devono essere stati formalmente accettati dal relativo proprietario.

7. GESTIONE DEL PERSONALE (ART.15)

Il personale, proprio o di terzi, correlato ai sistemi informativi soggetti alle disposizioni del presente Regio Decreto 311/2022, deve essere formato e informato sui propri compiti, obblighi e responsabilità in termini di sicurezza.

Le loro azioni devono essere supervisionate per verificare che le procedure stabilite siano eseguite. Nello svolgimento dei loro compiti applicheranno gli standard di sicurezza e le procedure operative approvate.

Il significato e la portata dell'utilizzo in sicurezza del sistema saranno specificati e riflessi nel documento sulle Norme di Sicurezza che sarà approvato dalla direzione di Insulcloud. Sarà diffuso a tutta l’Azienda, dal momento che la sua diffusione è obbligatoria per ogni annessione in Insulcloud.

8. PROFESSIONALITÀ (ART. 16)

La sicurezza dei sistemi informativi sarà curata, esaminata e verificata da personale qualificato, dedicato e istruito in tutte le fasi del loro ciclo di esistenza: pianificazione, progettazione, acquisizione, implementazione, utilizzo, manutenzione, gestione degli incidenti e smantellamento.

Gli enti che rientrano nell'ambito di applicazione del presente regio decreto richiederanno, in modo obiettivo e non discriminatorio, che le aziende che forniscono loro servizi di sicurezza dispongano di professionisti qualificati con adeguati livelli di gestione e anzianità nei servizi forniti.

Insulcloud determinerà i requisiti di formazione ed esperienza necessari affinché il personale possa svolgere il proprio lavoro.

9. AUTORIZZAZIONE E CONTROLLO DEGLI ACCESSI (ART. 17)

L'accesso controllato ai sistemi informativi compresi nell'ambito di applicazione del presente regio decreto deve essere limitato agli utenti, ai processi, ai dispositivi o ad altri sistemi informativi debitamente autorizzati ed esclusivamente alle funzioni consentite.

I privilegi di accesso di una risorsa (persona) al sistema informativo Insulcloud sono limitati (per impostazione predefinita) al minimo necessario per lo sviluppo delle sue funzioni.

Il sistema informativo di Insulcloud rimarrà sempre configurato in modo tale da evitare che una risorsa (persona) acceda accidentalmente a risorse con diritti diversi da quelli autorizzati.

10. PROTEZIONE DEGLI IMPIANTI (ART. 18)

I sistemi di informazione e le relative infrastrutture di comunicazione devono rimanere in aree controllate e disporre di meccanismi di accesso adeguati e proporzionali basati sull'analisi dei rischi, fatte salve le disposizioni della legge 8/2011, del 28 aprile, che stabilisce misure per la protezione delle infrastrutture critiche e nel regio decreto 704/2011, del 20 maggio, che approva il regolamento per la protezione delle infrastrutture critiche.

11. ACQUISTO DI PRODOTTI DI SICUREZZA E CONTRATTAZIONE DI SERVIZI DI SICUREZZA (ART. 19)

Nell'acquisizione di prodotti di sicurezza o nella contrattazione di servizi di sicurezza delle tecnologie dell'informazione e della comunicazione che verranno utilizzati nei sistemi informativi nell'ambito di applicazione del presente regio decreto, questi saranno utilizzati in modo proporzionato alla categoria del sistema e del livello di sicurezza determinato, quelli che hanno certificata la funzionalità di sicurezza relativa all'oggetto della loro acquisizione.

L'Organismo di Certificazione del Sistema Nazionale di Valutazione e Certificazione della Sicurezza Informatica del Centro Crittologico Nazionale (di seguito, CCN), istituito ai sensi delle disposizioni dell'articolo 2.2.c) del Regio Decreto 421/2004, del 12 marzo, che regola il Sistema Crittologico Nazionale Il Centro, tenendo conto dei criteri e delle metodologie di valutazione nazionali e internazionali riconosciute da questo organismo e in funzione della destinazione d'uso dello specifico prodotto o servizio nell'ambito delle sue competenze, determinerà i seguenti aspetti:

  • I requisiti di sicurezza e garanzia funzionale della certificazione.
  • Altre certificazioni di sicurezza aggiuntive richieste dalle normative.
  • Eccezionalmente i criteri da seguire nei casi in cui non siano presenti prodotti o servizi certificati.

Per l'appalto dei servizi di sicurezza si applicheranno le disposizioni dei commi precedenti e le disposizioni dell'articolo 16.

12. PRIVILEGIO MINIMO (ART. 20)

I sistemi informativi devono essere progettati e configurati garantendo i privilegi minimi necessari per il loro corretto funzionamento, il che implica incorporare i seguenti aspetti:

  • Il sistema fornirà le funzionalità essenziali affinché l'organizzazione possa raggiungere la propria competenza o gli obiettivi contrattuali.
  • Le funzioni di gestione, amministrazione e registrazione delle attività saranno il minimo necessario e sarà garantito che siano svolte solo da persone autorizzate, provenienti da luoghi o attrezzature anch'esse autorizzate.
  • Le funzioni non necessarie o inadeguate allo scopo previsto verranno eliminate o disattivate controllando le impostazioni. L’utilizzo ordinario del sistema deve essere semplice e sicuro, affinché l'uso non sicuro richieda un atto consapevole da parte dell'utilizzatore.
  • Verranno applicate guide di configurazione della sicurezza per le diverse tecnologie, adattate alla categorizzazione del sistema, al fine di eliminare o disabilitare funzioni non necessarie o inappropriate.

13. INTEGRITÀ E AGGIORNAMENTO DEL SISTEMA (ART. 21)

L'inclusione di qualsiasi elemento fisico o logico nel catalogo aggiornato degli asset di sistema o la sua modifica, richiederà l'autorizzazione formale del Responsabile della Sicurezza Insulcloud.

La valutazione e il monitoraggio permanenti consentiranno di adattare lo stato di sicurezza dei sistemi in base alle carenze di configurazione, alle vulnerabilità identificate e agli aggiornamenti che li riguardano, nonché al rilevamento tempestivo di qualsiasi incidente che si verifichi su di essi. La responsabilità sarà a carico del responsabile della sicurezza di Insulcloud.

14. PROTEZIONE DELLE INFORMAZIONI ARCHIVIATE E IN TRANSITO (ART. 22)

Nell'organizzazione e nell'attuazione delle procedure di sicurezza, particolare attenzione sarà prestata alle informazioni archiviate o in transito attraverso apparecchiature o dispositivi portatili o mobili, dispositivi periferici, supporti di informazione e comunicazioni su reti aperte, che devono essere analizzate soprattutto per ottenere un'adeguata protezione.

Verranno applicate procedure che garantiscano il recupero e la conservazione a lungo termine dei documenti informatici prodotti dai sistemi informativi compresi nell'ambito di applicazione del presente decreto regio, quando richiesto.

Tutte le informazioni su supporto non elettronico che sono state causa diretta o conseguenza delle informazioni elettroniche di cui al presente decreto regio devono essere protette con lo stesso grado di sicurezza di questo. A tal fine verranno applicate le misure corrispondenti alla tipologia del sostegno, in conformità con la normativa applicabile.

15. PREVENZIONE CONTRO ALTRI SISTEMI INTERCONNESSI DI INFORMAZIONE (ART. 23)

Il perimetro del sistema informativo sarà protetto, soprattutto se connesso a reti pubbliche, come definito nella legge 9/2014, del 9 maggio, Telecomunicazioni generali, rafforzando i compiti di prevenzione, rilevamento e risposta agli incidenti di sicurezza.

16. REGISTRAZIONE DELLE ATTIVITÀ E RILEVAMENTO DI CODICI DANNEGGIATI (ART. 24)

Al fine di soddisfare lo scopo del presente decreto reale, con tutte le garanzie del diritto all'onore, dell'intimità personale e familiare e dell'immagine di sé delle persone interessate, e in conformità con le norme sulla protezione dei dati personali, delle funzioni pubbliche o lavoro, e da altre disposizioni applicabili, le attività degli utenti verranno registrate, conservando le informazioni strettamente necessarie per monitorare, analizzare, indagare e documentare attività improprie o non autorizzate, consentendo in ogni momento l'identificazione della persona che agisce.

Al fine di preservare la sicurezza dei sistemi informativi, garantendo in conformità con le disposizioni del Regolamento generale sulla protezione dei dati e il rispetto dei principi di limitazione delle finalità, minimizzazione dei dati e limitazione del periodo di conservazione ivi. premesso, i soggetti di cui all'articolo 2 possono, nei limiti strettamente necessari e proporzionati, analizzare le comunicazioni in entrata o in uscita, ed esclusivamente per finalità di sicurezza informatica, in modo che sia possibile impedire l'accesso non autorizzato alle reti e sistemi informativi, fermare gli attacchi di tipo Denial of Service, prevenire la distribuzione malevola di codici dannosi nonché altri danni alle reti e ai sistemi informativi sopra menzionati.

Per correggere o, eventualmente, responsabilizzare, ogni utente che accede al sistema informativo deve essere identificato in modo univoco, in modo che si sappia, in ogni momento, chi riceve i diritti di accesso, di che tipo sono e chi ha svolto una determinata attività.

17. INCIDENTI DI SICUREZZA (ART. 25)

L'entità proprietaria dei sistemi informativi nell'ambito del presente regio decreto disporrà di procedure di gestione degli incidenti di sicurezza in conformità con le disposizioni dell'articolo 33, della corrispondente Istruzione tecnica di sicurezza e, nel caso di un operatore di servizi essenziali o di un fornitore di servizi digitali, in conformità con le disposizioni dell'allegato al regio decreto 43/2021, del 26 gennaio, che sviluppa il regio decreto legge 12/2018, del 7 settembre, sulla sicurezza delle reti e dei sistemi informativi.

Allo stesso modo, ci saranno meccanismi di rilevamento, criteri di classificazione, procedure di analisi e risoluzione, nonché canali di comunicazione alle parti interessate e una registrazione delle azioni. Questo registro verrà utilizzato per il miglioramento continuo della sicurezza del sistema.

18. CONTINUITÀ DELL’ATTIVITÀ (ART. 26)

I sistemi disporranno di copie di backup e saranno istituiti i meccanismi necessari per garantire la continuità delle operazioni in caso di perdita dei mezzi abituali.

19. MIGLIORAMENTO CONTINUO DEL PROCESSO DI SICUREZZA (ART. 27)

Il processo di sicurezza globale implementato deve essere continuamente aggiornato e migliorato. A tal fine verranno applicati i criteri ed i metodi riconosciuti nella prassi nazionale ed internazionale relativa alla gestione della sicurezza informatica.

20. REFERENZE DOCUMENTALI

  • IC_Policy Inventory_v1
  • IC_Security Regulations_v1
  • IC_Privacy Policy_v1

21. CHANGE CONTROL

VERSION DATE AUTHOR DESCRIPTION
01 10/16/2023 Nacho Gaitero ISO 27001 update - ENS
00 06/26/2023 Miguel Uña Vázquez Initial version of the procedure

Certificati di sicurezza