Politica della Qualità
1. Premessa
Ticyweb SA è un’azienda che ha come scopo sociale la fornitura di un bouquet di servizi informatici diversi quali, hosting ed housing, realizzazione siti internet, servizi di back up, progettazione di software taylor made, vendita, installazione, configurazione e manutenzione di reti ed attrezzature informatiche, ecc.
È presente sul mercato dal 2000 e si è sviluppata consolidando nel tempo la sua presenza presso una clientela stabile e fidelizzata.
La Direzione ha deciso di portare l’azienda alla certificazione del proprio sistema di gestione per la qualità (secondo le norme UNI EN ISO 9001) e per la sicurezza dei dati e delle informazioni (norma UNI EN ISO 27001) per assicurare, i propri clienti e sé stessa, circa la identificazione di tutti i processi gestionali ed il sicuro controllo degli stessi.
La Direzione ha stabilito una politica per la qualità e la sicurezza delle informazioni e dei dati, che ha diffuso a tutti i collaboratori ai quali ne ha richiesto la condivisione.
La Direzione si impegna:
- al rispetto della normativa cogente e contrattuale applicabile alle sue attività;
- alla definizione di obbiettivi di miglioramento degli indicatori dei processi che ha individuato;
- alla ricerca della soddisfazione dei clienti anche attraverso l’individuazione di prodotti e servizi innovativi da proporre;
- assicurare la formazione e l’aggiornamento tecnico dei propri collaboratori per mantenerli aggiornati in relazione alle nuove tecnologie ed alle possibili situazioni di pericolo;
- selezionare i propri collaboratori esterni in base a criteri di competenza, affidabilità e capacità di continuità di servizio.
In particolare, per la sicurezza dei dati e delle informazioni, la Direzione ha definito quanto descritto ai paragrafi tenendo presente anche il principio di proporzionalità e di costi-benefici.
2. Generalità
Uno degli obbiettivi di Ticyweb è la protezione dei dati e delle informazioni.
Questo significa progettare, attuare e mantenere un sistema di gestione sicura delle informazioni, nell’ambito del campo di applicazione definito per l’ISMS, attraverso il rispetto delle seguenti proprietà:
- Riservatezza: l’informazione deve essere accessibile solamente ai soggetti e/o ai processi debitamente autorizzati rispettando il principio del minimo privilegio (“necessità di sapere”) in base alle mansioni ricoperte (“necessità di operare”)
- Integrità: le informazioni devono essere precise e complete e devono essere protette da modifiche e cancellazioni non autorizzate quindi devono essere esatte, aggiornate e leggibili;
- Disponibilità: i dati e le informazioni devono essere disponibili gli utenti autorizzati che possono avere accesso alle informazioni e agli elementi architetturali associati quando ne fanno richiesta nei tempi accettabili per le parti;
- Controllo: si intende come la capacità di assicurare che la gestione dei dati avvenga sempre attraverso processi e strumenti sicuri e testati;
Autenticità: la garanzia della provenienza affidabile dell’informazione.
Il raggiungimento degli obbiettivi generali e delle proprietà sopra indicate richiede la disponibilità di risorse e competenze che sono possedute dal personale che opera in azienda e che sono proprie dei partner selezionati da Ticyweb e sottoposti a valutazioni periodiche.
Preferibilmente Ticyweb SA collabora con Società che hanno ottenuto, anch’esse, certificazioni di qualità e/o di sicurezza dei dati e delle informazioni.
3. Obbiettivi specifici per la sicurezza delle informazioni e dei dati
Per la sicurezza delle informazioni l’Azienda vuole:
- Garantire la competenza e la consapevolezza del personale in merito ai rischi ed agli effetti potenziali indotti da comportamenti non in linea con le politiche e le procedure aziendali;
- Garantire la completa conoscenza delle informazioni gestite e comprensione del livello di criticità, al fine di
agevolare l’implementazione degli adeguati livelli di protezione; - Garantire l’accesso sicuro alle informazioni, in modo da prevenire trattamenti non autorizzati o realizzati
senza i necessari diritti o autorizzazioni; - Garantire che l’organizzazione e le terze parti collaborino al trattamento delle informazioni adottando procedure volte al rispetto di adeguati livelli di sicurezza in tutto il loro ciclo di vita compresi i momenti di scambio delle informazioni stesse;
- Garantire che le anomalie e gli incidenti dannosi (o potenzialmente tali) per il sistema informativo e per i livelli di sicurezza aziendale siano tempestivamente riconosciuti e correttamente gestiti attraverso efficienti sistemi di prevenzione, comunicazione e reazione al fine di minimizzare l’impatto sul business;
- Garantire che l’accesso alle sedi ed ai singoli locali aziendali sia consentito esclusivamente al personale autorizzato, a garanzia della sicurezza delle aree e degli asset presenti;
- Garantire la valutazione degli impatti dei cambiamenti sull’organizzazione o sul sistema di sicurezza delle informazione e dei dati per evitare, o ridurre al minimo economicamente conveniente, disservizi interni o peggio, verso i clienti e costi non necessari;
- Garantire la business continuity aziendale e il disater recovery, attraverso l’applicazione di procedure di
sicurezza stabilite; - Garantire il continuo confronto con enti esterni qualificati e la formazione del suo personale per la prevenzione di potenziali eventi dannosi.
4. Responsabilità di applicazione dei sistema di gestione per la qualità e per la sicurezza delle informazioni e dei dati
Le responsabilità per la gestione delle attività inerenti la qualità e la sicurezza delle informazioni e dei dati sono divise tra i vari enti aziendali.
5. Direzione (CDA)
È responsabile della definizione delle politiche e degli indirizzi strategici, della ricerca e messa a disposizione delle risorse, in termini di personale, finanza e mezzi tecnici, ritenuti necessari per il raggiungimento degli obbiettivi concordati ed assegnati.
È responsabile delle attività di controllo generale delle attività e delle decisioni in merito a gravi incidenti di sicurezza informatica in caso di gravi problemi per l’attività aziendale derivanti da incidenti e malfunzionamenti.
5.1. Responsabili degli enti operativi
Hanno, ciascuno per la sua parte, la responsabilità dello svolgimento corretto (secondo le direttive aziendali e le norme cogenti e/o contrattuali) delle attività loro assegnate e del controllo dell’operato dei loro collaboratori.
Hanno la responsabilità di segnalare eventuali problemi, reali o potenziali, alla Direzione affinché possano essere presi opportuni provvedimenti.
5. 2. Operatori in generale
Tutti gli operatori hanno la responsabilità di conoscere, comprendere ed applicare le politiche stabilite dalla Direzione, le procedure operative e le disposizioni interne dell’azienda operando con l’attenzione del buon padre di famiglia.
Hanno la responsabilità di segnalare eventuali problemi, reali o potenziali, ai propri responsabili affinché possano essere presi opportuni provvedimenti.
Data di emissione:10/07/2023
il CDA