Scopo e obiettivi
Con la politica della privacy la ISAAC – Italy – ETS intende proteggere le informazioni e i dati gestiti nell’ambito delle proprie attività da tutte le minacce interne o esterne, intenzionali o accidentali, secondo le disposizioni previste dal Regolamento (UE) 27/04/2016, n. 679 e dal Decreto Legislativo n. 196 del 30/06/2003.
Campo di applicazione
La politica della privacy si applica a tutti gli organi e i livelli dell’ente. La sua attuazione è obbligatoria per tutto il personale ed è inserita nella regolamentazione degli accordi con qualsiasi soggetto esterno coinvolto con il trattamento di informazioni che rientrano nel campo del SGP (Sistema Gestione Protezione).
La ISAAC – Italy – ETS consente la comunicazione e la diffusione delle informazioni verso l’esterno solo per il corretto svolgimento delle attività aziendali che avvengono nel rispetto delle regole e delle norme vigenti.
La nostra policy in tema di sicurezza delle informazioni
Il patrimonio informativo da tutelare è costituito dall’insieme delle informazioni trattate all’interno delle procedure aziendali, rispetto alle quali la ISAAC – Italy – ETS assicura l’accesso solo a chi è autorizzato, l’integrità e la protezione.
La mancanza di adeguati livelli di sicurezza può infatti comportare il danneggiamento dell’immagine dell’ente, la mancata soddisfazione degli associati, il rischio di incorrere in sanzioni legate alla violazione delle leggi vigenti nonché danni di natura economica e finanziaria.
La ISAAC – Italy – ETS ha istituito e mantiene aggiornato un registro delle attività di trattamento.
L’ente identifica, inoltre, tutte le esigenze di sicurezza tramite la valutazione di impatto sulla protezione dei dati che consente di acquisire consapevolezza sul livello di esposizione a minacce dei propri sistemi di gestione dei dati. La valutazione del rischio permette di valutare le potenziali conseguenze e i danni che possono derivare dalla mancata applicazione di misure di sicurezza al sistema informativo e quale sia la realistica probabilità di attuazione delle minacce identificate. I risultati di questa valutazione determinano le azioni necessarie per individuare le corrette e adeguate misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.
I principi generali della gestione della sicurezza delle informazioni si basano su alcuni punti fondamentali.
Esiste un catalogo costantemente aggiornato degli asset dell’associazione rilevanti ai fini della gestione delle informazioni e per ciascuno è individuato un responsabile.
Le informazioni sono classificate in base al loro livello di criticità, in modo da essere gestite con livelli di riservatezza e integrità coerenti e appropriati.
Per garantire la sicurezza delle informazioni, ogni accesso ai sistemi è sottoposto a una procedura d’identificazione e autenticazione. Le autorizzazioni di accesso alle informazioni sono differenziate in base al ruolo e agli incarichi ricoperti dai singoli individui, in modo che ogni utente possa accedere alle sole informazioni di cui necessita, e sono essere periodicamente sottoposte a revisione.
Sono definite delle procedure per l’utilizzo sicuro dei beni e delle informazioni dell’ente.
È incoraggiata la piena consapevolezza da parte del personale delle problematiche relative alla sicurezza delle informazioni.
Per poter gestire in modo tempestivo gli incidenti, tutti devono notificare qualsiasi problema relativo alla sicurezza.
È necessario prevenire l’accesso non autorizzato ai locali e alle apparecchiature dove sono gestite le informazioni.
È assicurata la conformità con i requisiti legali e con i principi legati alla sicurezza delle informazioni nei contratti con le terze parti.
È predisposto un piano di continuità che permette all’ente di affrontare efficacemente un evento imprevisto, garantendo il ripristino dei servizi critici in tempi e con modalità che limitino le conseguenze negative sulla missione dell’associazione. Gli aspetti di sicurezza sono inclusi in tutte le fasi di progettazione, sviluppo, esercizio, manutenzione, assistenza e dismissione dei sistemi e dei servizi informatici.
Sono garantiti il rispetto delle disposizioni di legge, di statuti, regolamenti o obblighi contrattuali e di ogni requisito inerente la sicurezza delle informazioni, riducendo al minimo il rischio di sanzioni legali o amministrative, di perdite rilevanti o danni alla reputazione.
Responsabilità di osservanza e attuazione
L’osservanza e l’attuazione della policy sono responsabilità di:
– tutto il personale che, a qualsiasi titolo, collabora con l’ente ed è in qualche modo coinvolto con il trattamento di dati e informazioni che rientrano nel campo di applicazione del SGP (il personale è responsabile della segnalazione di tutte le anomalie e violazioni di cui dovesse venire a conoscenza)
– tutti i soggetti esterni che intrattengono rapporti e collaborano con l’azienda e che devono garantire il rispetto dei requisiti contenuti in questa politica.
il Responsabile del SGP che deve:
– condurre l’analisi dei rischi con le opportune metodologie e adottare le misure per la gestione del rischio
– stabilire le norme necessarie alla conduzione sicura delle attività associative
– verificare le violazioni alla sicurezza e adottare le contromisure necessarie e controllare l’esposizione dell’associazione alle principali minacce e rischi
– organizzare la formazione e promuovere la consapevolezza del personale per tutto ciò che concerne la qualità, la sicurezza e la sicurezza delle informazioni
– verificare periodicamente l’efficacia e l’efficienza del SGP.
Il personale dell’azienda che, in modo intenzionale o riconducibile a negligenza, disattenda le regole di sicurezza stabilite e in tal modo provochi un danno, potrà essere perseguito nelle opportune sedi e nel pieno rispetto dei vincoli di legge e contrattuali.