NeuronUP

RIABILITAZIONE COGNITIVA PROFESSIONALE

Politica di sicurezza delle informazioni

1. Introduzione

NeuronUP dipende dai sistemi ICT (Tecnologie dell’Informazione e della Comunicazione) per raggiungere i propri obiettivi. Questi sistemi devono essere gestiti con diligenza, adottando le misure appropriate per proteggerli da danni accidentali o deliberati che possano influenzare la disponibilità, l’integrità o la riservatezza delle informazioni trattate o dei servizi erogati.
Il personale di NeuronUP deve assicurarsi che la sicurezza sia parte integrante di ogni fase del ciclo di vita del sistema, dalla concezione fino al suo ritiro dal servizio, comprese le decisioni di sviluppo o acquisizione e le attività operative.
I dipartimenti di NeuronUP, in conformità con le funzioni loro assegnate, devono essere pronti a prevenire, rilevare, reagire e riprendersi dagli incidenti, in conformità con la normativa vigente.
Per garantire il rispetto di questa politica, il Comitato per la Sicurezza delle Informazioni sviluppa e valuta regolarmente i sistemi e si assicura che tutto il personale di NeuronUP conosca e adempia ai propri compiti in conformità con la sicurezza delle informazioni.

2. Ambito di applicazione

Questa politica si applica a tutti i sistemi ICT di NeuronUP e a tutti i membri dell’organizzazione, senza eccezioni.

3. Obiettivo di questa politica

L’obiettivo di questa politica è fissare il quadro di riferimento per garantire la sicurezza delle informazioni e la continuità dei servizi.
Questa Politica è implementata attraverso documentazione e regolamenti di sicurezza a disposizione di tutti i membri dell’organizzazione che ne abbiano necessità, in particolare per coloro che utilizzano, operano o gestiscono i sistemi informativi e di comunicazione, tramite procedure, processi, istruzioni tecniche, ecc.
La normativa sulla sicurezza è disponibile per tutti i dipendenti dell’organizzazione nello spazio documentale generale all’interno di Google Workspace.

4. Quadro normativo

NeuronUP si impegna a rispettare tutte le leggi, i regolamenti e le normative applicabili in materia di Sicurezza delle Informazioni.

5. Organizzazione della sicurezza

La Direzione dell’azienda assume la responsabilità di promuovere e supportare l’implementazione di misure tecniche, organizzative e di controllo che garantiscano i livelli di qualità e sicurezza necessari per le operazioni aziendali, impegnandosi nel miglioramento continuo del Sistema di Gestione della Sicurezza delle Informazioni (SGSI).
La responsabilità di questo compito è delegata al Comitato di Gestione della Sicurezza delle Informazioni (CGSI) o Comitato per la Sicurezza.
La direzione di NeuronUP istituisce il Comitato per la Sicurezza come organo collegiale trasversale, composto da:

  • Responsabile della Sicurezza delle Informazioni dell’azienda e Presidente del Comitato
  • Amministratore di Sistema come Segretario del Comitato per la Sicurezza
  • Chief Technology Officer
    Le nomine verranno riviste ogni 2 anni o quando una posizione rimane vacante, su proposta del Comitato per la Sicurezza stesso.
    Le responsabilità di questi ruoli sono incluse nelle schede di posizione dei rispettivi titolari e la procedura per la loro nomina e/o rinnovo è approvata dalla direzione.

5.1. Funzioni del Comitato per la Sicurezza

La funzione principale del Comitato per la Sicurezza delle Informazioni è quella di stabilire la Politica di Sicurezza delle Informazioni e gli obiettivi del Sistema di Gestione della Sicurezza delle Informazioni (SGSI).
Il Comitato per la Sicurezza stabilirà i livelli di rischio considerati accettabili, determinando le azioni appropriate per ridurre quei rischi che superano tali soglie.
Sarà compito del Comitato per la Sicurezza la revisione annuale di questa Politica di Sicurezza delle Informazioni e la proposta di revisione o mantenimento della stessa, che sarà integrata tramite normative e raccomandazioni sulla sicurezza (politiche, protocolli, procedure, istruzioni tecniche, ecc.).

Punti di sicurezza da rivedere almeno annualmente:

  • Stato delle azioni da sviluppare dall’ultimo controllo
  • Cambiamenti rilevanti per il SGSI
  • Gestione del rischio, vulnerabilità e minacce
  • Tecnologie, prodotti e servizi per il miglioramento continuo

6. Gestione del rischio

Per armonizzare le analisi dei rischi, il Comitato per la Sicurezza stabilirà una valutazione di riferimento per i diversi tipi di informazioni gestite e per i diversi servizi erogati.
Il Comitato per la Sicurezza valuterà la disponibilità di risorse per soddisfare le esigenze di sicurezza dei diversi sistemi.
Tutti i sistemi soggetti a questa Politica devono effettuare un’analisi dei rischi, valutando le minacce e i rischi a cui sono esposti. Questa analisi sarà ripetuta:

  • Regolarmente, almeno una volta all’anno
  • Quando si verifica un grave incidente di sicurezza
  • Quando vengono segnalate vulnerabilità gravi
    Per garantire la disponibilità dei servizi critici in caso di incidenti, l’azienda dispone di una procedura di Piano di Recupero dei Disastri che coordina tutte le attività di recupero dei processi aziendali che possono essere colpiti.

7. Obblighi del personale

Tutti i membri di NeuronUP sono tenuti a conoscere e rispettare questa Politica di Sicurezza delle Informazioni e le normative di sicurezza, ed è responsabilità del Comitato per la Sicurezza fornire i mezzi necessari affinché le informazioni raggiungano i soggetti interessati.
Il mancato rispetto di questa Politica di Sicurezza e delle norme che la sviluppano può comportare sanzioni disciplinari in conformità con lo Statuto dei Lavoratori e il contratto collettivo applicabile.
Le linee guida specifiche per i lavoratori sono sviluppate nella Politica sulla Privacy e Sicurezza dei Lavoratori.

7.1. Sensibilizzazione e formazione

Tutti i membri di NeuronUP parteciperanno a una sessione di sensibilizzazione sulla sicurezza ICT almeno una volta all’anno. Sarà stabilito un programma di sensibilizzazione continua per coinvolgere tutti i membri di NeuronUP, in particolare quelli di nuova assunzione.
Le persone responsabili dell’uso, del funzionamento o della gestione dei sistemi riceveranno formazione per la gestione sicura dei sistemi nella misura in cui ne abbiano bisogno per svolgere il proprio lavoro. La formazione sarà obbligatoria prima di assumere la responsabilità, sia che si tratti della loro prima assegnazione o di un cambio di posizione o di responsabilità all’interno della stessa mansione.

7.2. Linee guida di base del SGSI

Le linee guida di base per il trattamento sicuro delle informazioni e la strutturazione della documentazione di sicurezza del sistema, la sua gestione e accesso, sono sviluppate nei manuali, nelle politiche, nelle normative e nelle procedure del SGSI.
Le linee guida di base per il trattamento sicuro delle informazioni sono le seguenti:

  • Le informazioni devono essere classificate nelle seguenti categorie: Pubblico, Uso Interno, Riservato o Confidenziale.
  • I supporti che memorizzano informazioni riservate o confidenziali devono essere conservati in un luogo sicuro.
  • L’accesso ai sistemi informativi sarà consentito in base alla necessità di conoscere.
  • I controlli di accesso fisico agli edifici limitano l’accesso al solo personale autorizzato.
  • Tutti i dipendenti devono registrare i loro ingressi e uscite dagli edifici aziendali tramite il sistema di controllo orario.
  • Le persone esterne all’azienda devono registrarsi nei casi stabiliti da NeuronUP.
  • Si seguirà la Politica di gestione delle password indicata da NeuronUP.
  • I computer sono configurati per bloccarsi automaticamente con uno screensaver protetto da password dopo un periodo di inattività. Tuttavia, è compito dell’utente bloccarlo manualmente ogni volta che lascia la postazione di lavoro.
  • Ogni volta che un dipendente lascia l’azienda, i suoi diritti di accesso verranno disattivati.
  • Gli utenti disporranno di un’e-mail aziendale per lo svolgimento del loro lavoro.
  • I contratti con terzi includeranno le clausole di sicurezza appropriate.
  • Gli utenti non devono mai disattivare i programmi antivirus o qualsiasi altro strumento o controllo installato con l’obiettivo di migliorare la sicurezza.
  • Gli utenti non devono aspettarsi privacy quando accedono ai sistemi informativi dell’azienda, poiché questa (nel rispetto del quadro legale stabilito e al fine di gestire i sistemi e far rispettare la sicurezza) può esaminare qualsiasi informazione memorizzata nei suoi sistemi.
  • Qualsiasi domanda in materia di sicurezza può essere indirizzata a [email protected].
  • In caso di rilevamento di una situazione che comprometta la sicurezza delle informazioni di NeuronUP, qualsiasi utente (dipendente o esterno) deve segnalarlo al responsabile del dipartimento e/o al responsabile della sicurezza.

8. Dati personali

NeuronUP tratta dati personali e, pertanto, ha una Politica di Protezione dei Dati Personali che rispetta i livelli di sicurezza richiesti dalla normativa vigente.
Il Documento di Sicurezza è soggetto a revisione e aggiornamento periodici, dimostrando così la proattività richiesta e garantendo la sicurezza dei dati personali trattati.

9. Terzi

Quando NeuronUP fornisce servizi ad altre organizzazioni o gestisce informazioni di terzi, sarà informata di questa Politica di Sicurezza delle Informazioni, verranno stabiliti canali per segnalare e coordinare i rispettivi Comitati per la Sicurezza e verranno stabilite procedure per reagire agli incidenti di sicurezza.
Quando NeuronUP utilizza servizi di terzi o trasferisce informazioni a terzi, saranno informati di questa Politica di Sicurezza e delle normative di sicurezza applicabili a tali servizi o informazioni. Il terzo sarà soggetto agli obblighi stabiliti da tali regolamenti e potrà sviluppare proprie procedure operative per soddisfarli. Verranno stabilite procedure specifiche per la segnalazione e la risoluzione degli incidenti. Si garantirà che il personale del terzo sia adeguatamente sensibilizzato alle questioni di sicurezza, almeno al livello stabilito in questa Politica.
Quando un qualsiasi aspetto della Politica non può essere rispettato da un terzo come richiesto nei paragrafi precedenti, sarà necessario un rapporto del Responsabile della Sicurezza che dettagli i rischi sostenuti e come affrontarli. L’approvazione di questo rapporto da parte dei responsabili delle informazioni e dei servizi interessati sarà necessaria prima di procedere oltre.