Politica della qualità e della sicurezza delle informazioni

 

Introduzione

Omnia BPM Srl, data la natura delle proprie attività, considera la qualità e la sicurezza delle informazioni un fattore irrinunciabile per la protezione del proprio patrimonio informativo ed un fattore di valenza strategica facilmente trasformabile in vantaggio competitivo.

Per questo motivo, la Direzione di Omnia BPM Srl ha definito, divulgato e si impegna a mantenere attiva a tutti i livelli della propria organizzazione la presente politica per l’implementazione di un Sistema di Gestione Integrato della Qualità e della Sicurezza delle Informazioni.

Scopo e Obiettivi

Lo scopo della presente policy è di garantire la qualità dei propri prodotti e/o servizi in accordo con quanto previsto dalla norma ISO 9001:2015, nonchè la tutela e la protezione da tutte le minacce, interne o esterne, intenzionali o accidentali, delle informazioni nell’ambito delle proprie attività in accordo con le indicazioni fornite dallo standard ISO/IEC 27001:2022 e dalle linee guida contenute nello standard ISO/IEC 27001:2022.

In questo modo Omnia BPM Srl vuole garantire un adeguato livello di sicurezza dei dati e delle informazioni nell’ambito della progettazione, sviluppo ed erogazione dei servizi aziendali, attraverso l’identificazione, la valutazione ed il trattamento dei rischi ai quali i servizi stessi sono soggetti.

Il Sistema di Gestione Integrato Qualità e Sicurezza delle Informazioni definisce un insieme di misure organizzative, tecniche e procedurali a garanzia del soddisfacimento dei sottoelencati requisiti di sicurezza di base delle informazioni:

  • Riservatezza, ovvero la proprietà dell’informazione di essere nota solo a chi ne ha i privilegi;
  • Integrità, ovvero la proprietà dell’informazione di essere modificata solo ed esclusivamente da chi ne possiede i privilegi;
  • Disponibilità, ovvero la proprietà dell’informazione di essere accessibile e utilizzabile quando richiesto dai processi e dagli utenti che ne godono i privilegi.

Inoltre, con la presente Politica, Omnia BPM Srl intende formalizzare i seguenti obiettivi nell’ambito della qualità e sicurezza delle informazioni:

  • individuare e soddisfare i requisiti dei clienti, utenti e parti interessate;
  • attuare ogni azione necessaria per accrescere la soddisfazione del cliente;
  • determinare e selezionare opportunità di miglioramento;
  • sfruttare e rinforzare le opportunità identificate;
  • migliorare qualitativamente i servizi identificando e valutando i rischi connessi, nella consapevolezza che questo migliori l’efficacia ed efficienza dei servizi prestati;
  • pianificare i propri processi con approccio Risk-Based Thinking (RBT) al fine di attuare le azioni più idonee per valutare e trattare rischi associati ai processi;
  • comprendere le necessità dei clienti e pianificare le proprie attività per soddisfarle appieno;
  • identificare le diverse attività come processi da pianificare, controllare e migliorare costantemente e contemporaneamente attivare al meglio le risorse per la loro realizzazione;
  • promuovere a tutti i livelli un adeguato senso di proattività nella gestione dei propri rischi;
  • preservare al meglio l’immagine dell’azienda quale fornitore affidabile e competitivo;
  • proteggere il proprio patrimonio informativo;
  • evitare al meglio ritardi nella delivery;
  •  adottare le misure atte a garantire la fidelizzazione del personale e la sua professionalizzazione;
  • aumentare, nel proprio personale, il livello di sensibilità e la competenza sui temi della sicurezza;
  • rispondere pienamente alle indicazioni della normativa vigente e cogente;
  • mantenere il sistema di gestione adeguato, efficiente ed efficace al fine d’essere in grado di adattarsi rapidamente al cambiamento delle circostanze e/o dei vincoli esterni all’organizzazione;
  • rendere pubblica e accessibile la presente Politica;
  • adeguare la presente Politica alle evoluzioni normative di settore e alle esigenze derivanti dai requisiti definiti nel sistema gestione in un’ottica di miglioramento continuo.

Campo di applicazione

Questa politica si applica indistintamente a tutte le parti interessate, interne ed esterne all’organizzazione. La sua attuazione è obbligatoria a tutto il personale e deve essere inserita nella regolamentazione degli accordi con qualsiasi soggetto esterno che, a qualsiasi titolo, possa essere coinvolto con il trattamento di informazioni e l’uso del software di gestione, rientranti nel campo di applicazione del Sistema di Gestione Integrato Qualità e Sicurezza delle Informazioni (SGI).

Omnia BPM Srl consente la comunicazione e la diffusione delle informazioni verso l’esterno solo per il corretto svolgimento delle attività aziendali che devono avvenire nel rispetto delle regole e delle norme cogenti, nonché delle regole e dei livelli di sicurezza imposti dalla direzione aziendale, nell’ambito della riduzione dei rischi.

Contenuto della Politica

Il SGI si applica a tutte le attività di analisi, progettazione, sviluppo e manutenzione, ai servizi e ai dati ad esse collegate: tutte le informazioni che vengono create o utilizzate da Omnia BPM Srl sono da salvaguardare e debbono essere protette, secondo la classificazione attribuita, dalla loro creazione, durante il loro utilizzo, fino alla loro eliminazione. Le informazioni debbono essere gestite in modo sicuro, accurato e affidabile e debbono essere prontamente disponibili per gli usi consentiti. È qui da intendersi con “utilizzo dell’informazione” qualsiasi forma di trattamento che si avvalga di supporti elettronici, cartacei o consenta, in una qualsiasi forma, la comunicazione verbale.

Relativamente all’ambito della progettazione e sviluppo, tale sistema prevede – in conformità alla norma ISO/IEC 27001:2022 – che il Responsabile della Qualità e della Sicurezza della Informazioni svolga periodicamente un’analisi dei rischi che tenga in considerazione gli obiettivi strategici espressi nella presente Politica, degli incidenti eventualmente occorsi e dei cambiamenti strategici, di business e tecnologici avvenuti.

L’analisi dei rischi ha lo scopo di valutare il rischio associato ad ogni asset da proteggere rispetto alle minacce individuate. La Direzione condivide con il Responsabile della Qualità e della Sicurezza delle Informazioni la metodologia da impiegare per la valutazione del rischio, approvando il relativo documento; nella relazione della metodologia, la Direzione partecipa anche alla definizione delle scale di valore da impiegare per valorizzare i parametri che concorrono alla valutazione del rischio.

In seguito alla elaborazione dell’analisi dei rischi, la Direzione valuta i risultati ottenuti accettando la soglia di rischio accettabile, il trattamento di mitigazione dei rischi oltre tale soglia e il rischio residuo in seguito al trattamento.

Tale analisi sarà ponderata anche rispetto al valore di business dei singoli beni da proteggere e dovrà identificare chiaramente le azioni da intraprendere, classificate secondo una scala di priorità che rispetti gli obiettivi aziendali, il budget a disposizione e la necessità di mantenere la conformità alle norme e alle leggi vigenti. Detta analisi dovrà essere effettuata anche a fronte di eventi che possano modificare il profilo di rischio complessivo del sistema.

Responsabilità

Tutto il personale che, a qualsiasi titolo, collabora con l’azienda è responsabile dell’osservanza di questa politica e della segnalazione di anomalie, anche non formalmente codificate, di cui dovesse venire a conoscenza.

Responsabile della Qualità e della Sicurezza delle Informazioni: si occupa della progettazione del Sistema di Gestione integrato per la Qualità e per la Sicurezza delle informazioni e, in particolare di:

  • emanare tutte le procedure necessarie, ivi inclusa la tipologia di classificazione dei documenti, affinché l’organizzazione aziendale possa condurre, in modo sicuro, le proprie attività;
  • adottare criteri e metodologie per l’analisi e la gestione del rischio;
  • suggerire le misure di sicurezza organizzative, procedurali e tecnologiche a tutela della sicurezza e continuità delle attività di Omnia BPM Srl;
  • pianificare un percorso formativo, specifico e periodico in materia di qualità e sicurezza delle informazioni per il personale;
  • controllare periodicamente l’esposizione dei servizi aziendali alle principali minacce;
  • verificare gli incidenti di sicurezza e adottare le opportune contromisure;
  • promuovere la cultura relativa alla qualità e alla sicurezza delle informazioni.

Tutti i soggetti esterni, che intrattengono rapporti con Omnia BPM Srl, devono garantire il rispetto dei requisiti di sicurezza delle informazioni esplicitati nella presente Politica, anche attraverso la sottoscrizione di un “Patto per la Riservatezza” all’atto del conferimento del conferimento d’incarico (quando questo tipo di vincolo non sia espressamente citato negli accordi).

Riesame

Omnia BPM Srl verificherà periodicamente l’efficacia e l’efficienza del Sistema di Gestione Integrato Qualità e Sicurezza delle Informazioni, garantendo l’adeguato supporto per l’adozione delle necessarie migliorie al fine di consentire l’attivazione di un processo continuo che controlli il variare delle condizioni o degli obiettivi di business aziendali al fine di garantire il suo corretto adeguamento.