Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Sistemi operativi

Modello documenti del Sistema Qualità

Company Management System
Il Sistema di Governo della Sicurezza delle
Informazioni di SIA
Scopo del documento:
Fornire una descrizione generale di presentazione del Sistema di Governo delle
Informazioni di SIA.
Redatto da:
Giuseppe Alfonsetti - RGO
Verificato da:
Alessandra Carazzina - RGO
David Neumarker – RGO
Roberto Poli – RGO
Approvato da:
Raffaele Pace - RGO
Codice documento:
1-CMS-2010-005-03
Classificazione:
Pubblico
Dominio di applicazione:
SIA
Il Sistema di Governo della Sicurezza delle Informazioni di SIA
1-CMS-2010-005-03
SOMMARIO
IL SISTEMA DI GOVERNO DELLA SICUREZZA DELLE INFORMAZIONI DI SIA ....................... 3
1.1 Descrizione generale ................................................................................................... 3
1.2 Ruoli ed Incarichi di Sicurezza..................................................................................... 4
1.3 Politica della Sicurezza, Linee Guida di Sicurezza e Continuità Operativa
e procedure .................................................................................................................. 4
1.4 Analisi e Gestione dei Rischi di Sicurezza delle Informazioni ..................................... 5
1.5 Analisi dei Rischi di Sicurezza fisica ............................................................................ 5
1.6 Awareness di Sicurezza ............................................................................................... 6
1.7 Incidenti di sicurezza ................................................................................................... 6
1.8 Indicatori di sicurezza ................................................................................................. 6
1.9 Compliance di Sicurezza .............................................................................................. 6
1.10
Presidi e Controlli di Sicurezza ................................................................................ 6
INFORMAZIONI GENERALI ..................................................................................................... 7
Storia delle modifiche apportate ........................................................................................ 7
Definizioni ........................................................................................................................... 7
Riferimenti .......................................................................................................................... 7
LEGENDA ................................................................................................................................. 8
Il contenuto del presente documento è di proprietà di SIA S.p.A.
Classificazione: Interna
Tutti i diritti riservati.
Pagina 2 di 8
Il Sistema di Governo della Sicurezza delle Informazioni di SIA
IL SISTEMA DI GOVERNO
INFORMAZIONI DI SIA
1.1
DELLA
SICUREZZA
1-CMS-2010-005-03
DELLE
Descrizione generale
L’obiettivo del Sistema di Governo della Sicurezza delle Informazioni (SGSI) di SIA è garantire un
livello di protezione delle informazioni trattate dai servizi e dai processi aziendali adeguato alla
criticità delle stesse.
In particolare, il SGSI definisce un insieme di misure organizzative, tecniche e procedurali a
garanzia del soddisfacimento dei requisiti di sicurezza di base, ossia:

Riservatezza, ovvero la proprietà dell’informazione di essere nota solo a chi ne ha i
privilegi;

Integrità, ovvero la proprietà dell’informazione di essere modificata solo ed
esclusivamente da chi ne possiede i privilegi;

Disponibilità, ovvero la proprietà dell’informazione di essere accessibile e utilizzabile
quando richiesto dai processi e dagli utenti che ne godono i privilegi;

Conformità, ovvero la proprietà dell’informazione di essere trattata in modo conforme
alle leggi e alle normative di settore in tema di sicurezza.
SIA ha sviluppato il proprio SGSI in quanto considera la sua attuazione fondamentale nelle
relazioni con i propri stakeholder, quali clienti, fornitori, partner, società del gruppo, e per
rispondere in maniera appropriata alle esigenze dei requisiti normativi e di mercato.
Per quanto concerne il proprio SGSI, SIA:

Definisce la Politica della Sicurezza;

emana le norme di sicurezza necessarie, affinché l’organizzazione aziendale possa
condurre in modo sicuro le proprie attività;

integra le regole e le soluzioni di sicurezza nel processo di progettazione ed erogazione
dei servizi aziendali;

attua l’analisi dei rischi di sicurezza dei processi e delle infrastrutture volte all’erogazione
dei servizi di business aziendali e l’analisi dei rischi inerenti la sicurezza fisica e la
sicurezza sul lavoro;

monitora i rischi di sicurezza individuati attraverso il Piano di Trattamento dei Rischi di
Sicurezza e compliance di Sicurezza;

collabora con il Sistema di Governo della Business Continuity per il raggiungimento degli
obiettivi di continuità operativa;

promuove la cultura relativa alla sicurezza;

garantisce l’attuazione degli adempimenti alle leggi e normative di sicurezza (Privacy [4],
PCI-DSS [6], ecc.);

definisce i ruoli e gli incarichi di sicurezza;

gestisce un Comitato per l’indirizzo e il coordinamento delle tematiche di sicurezza;

controlla i propri sistemi tramite specifici piani di Vulnerability Assessment;

esegue il monitoraggio e i controlli interni in ambito sicurezza;
Il contenuto del presente documento è di proprietà di SIA S.p.A.
Classificazione: Interna
Tutti i diritti riservati.
Pagina 3 di 8
Il Sistema di Governo della Sicurezza delle Informazioni di SIA

1-CMS-2010-005-03
opera e amministra gli aspetti operativi di sicurezza in una logica di split knowledge e
dual control.
SIA per lo sviluppo del proprio SGSI ha scelto di adottare lo standard ISO/IEC 27001 [1][2].
SIA ha ottenuto la certificazione ISO/IEC 27001 con la società DNV.
1.2
Ruoli ed Incarichi di Sicurezza
SIA, così come previsto dalla Politica della Sicurezza, ha definito nella propria organizzazione un
insieme di funzioni e ruoli organizzativi per presidiare e gestire le tematiche di Sicurezza delle
Informazioni.
Ha individuato una funzione di Information Security all’interno della Direzione Risk Governance.
Tale direzione è separata dalle strutture IT e di business, risponde direttamente
all’Amministratore Delegato e, in un’ottica di gestione e controllo dei rischi, presidia in maniera
integrata 4 ambiti (Risk Management, Compliance, Business Continuity, Information Security)
operando in contatto con le altre strutture aziendali per indirizzarne le relative tematiche.
Per quanto riguarda le tematiche di Physical Security, la responsabilità è assegnata all’interno
della struttura IT ed opera in continuo raccordo con la funzione di Information Security.
Nell’ambito del proprio Sistema di Governo della Sicurezza delle Informazioni SIA ha individuato
inoltre una serie di incarichi e relazioni operative.
In riferimento agli incarichi in materia di Sicurezza è previsto:

Comitato di Risk Governance, composto dalle principali funzioni apicali e direttive di SIA
e il cui scopo è quello di valutare i rischi relativi alle quattro aree di cui consta, tra cui le
tematiche di sicurezza;

Referente di Divisione/Direzione che opera come punto di riferimento per la propria
struttura e contribuisce a realizzare e gestire le tematiche di Sicurezza delle
Informazioni.
Il SGSI prevede anche relazioni operative come i “Security Meetings” focalizzati sui temi di
maggiore rilievo e che vedono il coinvolgimento dei responsabili delle strutture tecniche e
operative interessate oltre che azioni svolte con gli “amministratori di sistema”, ruoli che sono
stati individuati in Azienda a seguito delle disposizioni Privacy [4].
1.3
Politica della Sicurezza, Linee Guida di Sicurezza e Continuità
Operativa e procedure
SIA ha definito un impianto documentale relativo ai temi di sicurezza che si articola in Politica
della Sicurezza, Linee Guida di Sicurezza e di Continuità Operativa e Procedure.
La formalizzazione dei requisiti di Sicurezza e l’articolazione della relativa documentazione su più
livelli consente ed assicura la definizione e l’indicazione dei presidi e controlli in relazione alle
singole attività lavorative.
La Politica della Sicurezza è approvata dall’Amministratore Delegato e testimonia il committment
dei vertici aziendali sulle tematiche di Sicurezza delle Informazioni. Essa contiene inoltre la
finalità del Sistema di Governo della Sicurezza delle Informazioni e la definizione del Sistema di
Governo secondo quanto previsto dalle regole, best practice e dagli standard internazionali [1]
che SIA ha scelto come riferimento.
Il contenuto del presente documento è di proprietà di SIA S.p.A.
Classificazione: Interna
Tutti i diritti riservati.
Pagina 4 di 8
Il Sistema di Governo della Sicurezza delle Informazioni di SIA
1-CMS-2010-005-03
Le Linee Guida di Sicurezza e Continuità Operativa di SIA individuano e normano controlli di
sicurezza in ambito organizzativo, tecnico ed operativo. Le linee guida coprono i seguenti ambiti:

OS - Organizational Security - 9 linee guida

SD - Information System Development - 3 linee guida

SM - Information System Management - 8 linee guida

AC - Access Control - 8 linee guida

IC - Information Classification - 6 linee guida

IM - Security Incident Management - 2 linee guida

PS - Physical Security - 4 linee guida

SU - Supplier management - 3 linee guida

BC - Business Continuity - 2 linee guida

SC - Security Compliance - 4 linee guida
Le procedure declinano le tematiche di Sicurezza a livello operativo.
1.4
Analisi e Gestione dei Rischi di Sicurezza delle Informazioni
Il SGSI di SIA si fonda sull’Analisi dei Rischi di Sicurezza.
L’analisi dei Rischi di Sicurezza delle informazioni è svolta in maniera sinergica e integrata con
l’Enterprise Risk Management, presidiato dalla Direzione Risk Governance, a tutela della Società
dai rischi esterni e interni. Nel dettaglio i Rischi di Sicurezza delle informazioni sono inseriti nei
Rischi Operativi così come definiti a livello aziendale.
L’Analisi e Gestione dei Rischi di Sicurezza delle Informazioni è il processo attraverso il quale
l’Azienda individua ed adotta la tipologia ed il livello di contromisure di sicurezza da applicare
basandosi sulla rischiosità e sulla adeguatezza rispetto al valore delle Informazioni da
proteggere. Come previsto dalla ISO/IEC 27001 [1], standard che SIA ha assunto come
riferimento in tema di Sicurezza delle Informazioni, il suddetto processo è allineato al paradigma
ciclico PDCA (Plan; Do; Check; Act) o ruota di Deming. Questo assicura che tutte le attività del
SGSI sono eseguite nel tempo in un ottica di miglioramento continuo.
Il processo si fonda su una metodologia che assicura e garantisce la identificazione, valutazione
e trattamento dei Rischi di Sicurezza delle Informazioni. In maniera conforme a quanto previsto
dalla ISO/IEC 27001, l’insieme dei controlli di sicurezza applicabili ed applicati costituisce il
documento SoA (Statement of Applicability). Le azioni di trattamento dei rischi di Sicurezza delle
Informazioni sono raccolte e monitorate nel PTRs-cs (Piano di Trattamento dei Rischi di
Sicurezza e di Compliance di Sicurezza).
1.5
Analisi dei Rischi di Sicurezza fisica
In ottica integrata con il sistema di governo della Business Continuity aziendale, SIA ha
effettuato e mantiene aggiornato l’analisi dei rischi relativa per le proprie sedi e siti elaborativi
(principale e disaster recovery) per quanto concerne la sicurezza fisica, le connessioni tra i siti,
gli impianti elettrici e meccanici in relazione a:
-
norme tecniche di tipo impiantistico (CEI 64-8:2007);
-
Best Practices applicabili [1][3];
-
Rischi derivanti dalla zona geografica.
Coerentemente alla legge 81/08 [5], SIA periodicamente esegue l’analisi dei rischi sulla sicurezza
Il contenuto del presente documento è di proprietà di SIA S.p.A.
Classificazione: Interna
Tutti i diritti riservati.
Pagina 5 di 8
Il Sistema di Governo della Sicurezza delle Informazioni di SIA
1-CMS-2010-005-03
sul lavoro. Il processo è volto alla valutazione globale e documentata di tutti i rischi per la salute
e sicurezza dei lavoratori presenti nell'ambito dell'organizzazione, al fine di individuare le misure
adeguate di prevenzione e di protezione e ad elaborare il programma delle misure atte a
garantire il miglioramento nel tempo dei livelli di salute e sicurezza.
1.6
Awareness di Sicurezza
La cultura della sicurezza delle Informazioni è considerata da SIA un valore chiave per l’Azienda
e viene sponsorizzata attraverso un processo continuo di educazione e di informazione.
SIA realizza il proprio programma di awareness attraverso formazione multimediale, test ed
esercitazioni pratiche, partecipazione a corsi specifici, insieme ad ogni altra iniziativa che possa
essere utile a diffondere la conoscenza e la sensibilità sulla sicurezza in azienda.
La formazione sulle tematiche di Sicurezza viene erogata a tutta l’Azienda in funzione delle
competenze e dei ruoli aziendali.
1.7
Incidenti di sicurezza
SIA gestisce gli incidenti di sicurezza all’interno del più ampio sistema di gestione degli incidenti
a livello aziendale, al fine di evidenziare i possibili rischi di sicurezza sui servizi di business e
governare l’eventuale piano di azione delle relative azioni correttive.
1.8
Indicatori di sicurezza
Al fine di un continuo monitoraggio del proprio sistema di misure e controlli di sicurezza e della
valutazione della loro efficacia, SIA si è dotata di un sistema di indicatori di sicurezza (di
processo e tecnici). Gli indicatori di sicurezza di SIA sono suddivisi in indicatori di sicurezza di
tipo organizzativo, comportamentale, operativo e tecnico.
1.9
Compliance di Sicurezza
In ottica integrata con il sistema di Governo della Compliance, il sistema di Governo di sicurezza
delle Informazioni tiene conto dei requisiti rivenienti dalle leggi e dalle normative di settore (ad
esempio Privacy [4], PCI-DSS [6]) per la protezione ed il trattamento delle informazioni.
1.10
Presidi e Controlli di Sicurezza
SIA supporta la progettazione, lo sviluppo e l’erogazione dei propri servizi attraverso
l’individuazione dei requisiti di sicurezza, l’amministrazione delle profilature e delle quantità di
sicurezza, il monitoraggio degli eventi di sicurezza, l’effettuazione di test tecnici, e, più in
generale, attraverso l’indirizzamento della sicurezza ICT.
Per farlo si dota di presidi tecnici ed organizzativi e prevede punti di controllo all’interno dei
processi aziendali.
Il contenuto del presente documento è di proprietà di SIA S.p.A.
Classificazione: Interna
Tutti i diritti riservati.
Pagina 6 di 8
Il Sistema di Governo della Sicurezza delle Informazioni di SIA
1-CMS-2010-005-03
INFORMAZIONI GENERALI
Storia delle modifiche apportate
Rispetto alla versione precedente, le modifiche hanno riguardato tutti i paragrafi nell’ottica di
attualizzare i contenuti rispetto al modello operativo integrato di Risk Governance.
Definizioni
Acronimo/Termine Testo esplicativo della definizione
PDCA
Paradigma ciclico (Plan; Do; Check; Act) o ruota di Deming
PTRscs
Piano di Trattamento dei Rischi di Sicurezza e Compliance di Sicurezza
SGSI
Sistema di Governo della Sicurezza delle Informazioni
SoA
Statement of Applicability
Riferimenti
[1] ISO/IEC 27001:2013 – Information technology. Security techniques. Information security
management systems. Requirements
[2] ISO/IEC 27002:2013 – Information technology. Security techniques. Code of practice for
information security techniques
[3] ISO 22301:2012 Societal security -- Business continuity management systems --Requirements
[4] Decreto Legislativo 196/2003 - Codice in materia di protezione dei dati personali
[5] Decreto Legislativo 81/2008 - Testo unico sulla sicurezza sul lavoro
[6] Payment Card Industry – Data Security Standard version 2.0
[7] 1-CMS-2013-039 – SIA – Processi e sistemi di gestione
Il contenuto del presente documento è di proprietà di SIA S.p.A.
Classificazione: Interna
Tutti i diritti riservati.
Pagina 7 di 8
Il Sistema di Governo della Sicurezza delle Informazioni di SIA
1-CMS-2010-005-03
LEGENDA
Stato del documento
Le firme al presente documento, in copertina o effettuate elettronicamente tramite il sistema documentale, fanno riferimento allo
standard interno di SIA per la gestione della documentazione: hanno lo scopo di permetterne il controllo di configurazione e di
indicarne lo stato di lavorazione.
Si segnala che la firma di approvazione autorizza la circolazione del documento limitatamente alla lista di distribuzione e non implica
in alcun modo che il documento sia stato revisionato e/o accettato da eventuali Enti esterni.
In particolare, il documento è da intendersi REDATTO se provvisto della/e firma/e di chi lo ha redatto; VERIFICATO se ha superato
con esito positivo la verifica interna e quindi provvisto della/e firma/e di verifica Il documento è da intendersi APPROVATO se
provvisto della/e firma/e di approvazione.
Un documento sprovvisto di firme è in uno stato indefinito, e non può essere messo in circolazione.
Classificazione
La classificazione di un documento può essere:

PUBBLICA, se il documento può circolare senza restrizioni;

INTERNA, se il documento può circolare solo all’interno di SIA;

RISERVATA, se il documento è distribuibile ad un numero limitato di destinatari;

STRETTAMENTE RISERVATA, se il documento è distribuibile ad un numero limitato di destinatari e ogni copia è controllata.
Dominio di applicazione
Società del gruppo alle quali si applica il documento:
GRUPPO SIA se il documento è valido per tutte le società controllate del gruppo
SIA SPA, se il documento è valido per la sola SIA
…lista dei nomi delle societa’ del Gruppo…, se il documento è valido per più società del gruppo
Il contenuto del presente documento è di proprietà di SIA S.p.A.
Classificazione: Interna
Tutti i diritti riservati.
Pagina 8 di 8
Documenti correlati
Politica per la Qualità e Sicurezza delle Informazioni
Politica per la Qualità e Sicurezza delle Informazioni
Giorgio Medina
Giorgio Medina
COME CERTIFICARE LA SICUREZZA DI UN SOFTWARE
COME CERTIFICARE LA SICUREZZA DI UN SOFTWARE
Corso “Gestire la sicurezza della rete informatica
Corso “Gestire la sicurezza della rete informatica
programma dettagliato - ODCEC di Cuneo
programma dettagliato - ODCEC di Cuneo
Aggiungi informazioni - Dipartimento di Matematica e Informatica
Aggiungi informazioni - Dipartimento di Matematica e Informatica
locandina
locandina
Sicurezza informatica: intesa tra Poste italiane e Icann
Sicurezza informatica: intesa tra Poste italiane e Icann
Tematiche di ricerca
Tematiche di ricerca
Lettera presentazione candidatura a Consiglio Direttivo AIIC
Lettera presentazione candidatura a Consiglio Direttivo AIIC
Nasce AETP: la prima Accademia per la formazione professionale di
Nasce AETP: la prima Accademia per la formazione professionale di
Nasce AETP: la prima Accademia per la formazione professionale di
Nasce AETP: la prima Accademia per la formazione professionale di
Scarica