Principi di Sicurezza delle Informazioni

Il gruppo Net Insurance per l’“Erogazione dei servizi assicurativi, riassicurazione e fondi pensione (escluse le assicurazioni sociali obbligatorie) ……”, nell’ottica di preservare la confidenzialità, l’integrità e la disponibilità delle informazioni trattate anche in quanto Patrimonio del suo stesso Business e nella garanzia di qualità dei Servizi Erogati per i suoi Clienti, ha adottato e certificato ISO/IEC 27001:2013 un sistema di gestione per la sicurezza delle informazioni – SGSI, per il quale l’Alta Direzione ha dettato seguenti principi a cui è ispirato:

• Net Insurance riconosce nel patrimonio informativo a sua disposizione un asset fondamentale, al fine del corretto perseguimento dei propri obiettivi istituzionali e pertanto si impegna ad adottare gli elementi di sicurezza necessari a garantirne un opportuno livello di protezione
• coerentemente a tale impegno, Net Insurance ritiene che, per alcuni ambiti specifici, la corretta protezione di tale patrimonio debba basarsi sull’adozione di un sistema di gestione della sicurezza delle informazioni, che possa garantire un approccio strutturato, completo e continuativo alle tematiche di sicurezza e che costituisca lo strumento che, partendo dagli obiettivi aziendali di sicurezza e dalle risorse che è necessario proteggere, permetta di individuare e valutare i rischi di sicurezza e di contrapporre loro le opportune misure a protezione
• la corretta definizione di tale sistema è strutturata secondo un approccio Risk Based, atto a utilizzare un approccio sistematico, strutturato e proattivo per la gestione dei rischi in ambito sicurezza delle informazioni
• Net Insurance riconosce che l’istituzione, l’attuazione, il monitoraggio, il riesame, il mantenimento ed il miglioramento riguarda tutti i soggetti interni ed esterni che accedono alle informazioni da proteggere, ognuno secondo quanto di sua competenza. Al fine di definire opportuni presidi di sicurezza, Net Insurance assegnerà alcune delle responsabilità correlate a specifiche funzioni e soggetti aziendali
• Net Insurance ha designato il Comitato SGSI, dei quali fanno parte anche il CISO e il DPO che hanno l’obbligo di sorvegliare la corretta applicazione delle norme di sicurezza delle informazioni e dei dati personali trattati
• Net Insurance si impegna, anche per conto dei suoi soggetti apicali competenti, a fornire le necessarie risorse affinché il SGSI adottato possa correttamente ed efficacemente garantire la protezione delle informazioni appartenenti all’ambito definito.

Tali principi sono ulteriormente declinati negli obiettivi di sicurezza, che derivano da obblighi cogenti, da normative o da decisioni autonome dell’azienda legate anche ad esigenze di servizio e di ruolo istituzionale. Tali obiettivi identificano gli indirizzi che l’azienda decide di adottare a supporto e tutela della propria missione, affinché questa sia efficacemente espletata anche attraverso:

• I presenti principi del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), che sono condivisi con Addetti Collaboratori, Fornitori e Partner, periodicamente rivisti ed aggiornati,
• campagne di formazione a tutti i livelli per il continuo miglioramento della consapevolezza,
• la redazione di politiche, procedure e linee guida, periodicamente riviste per la corretta definizione e svolgimento dei processi e per la gestione organizzata e puntuale del sistema, con Audit pianificati e con Riesami periodici del Management nell’ambito di certificazione SGSI;
• la gestione delle attività anche con l’obiettivo di prevenire Incident per la sicurezza delle informazioni, Data Breach per quanto riguarda i dati delle persone fisiche, Non Conformità rispetto alle procedure e ai contratti e alle aspettative dei Clienti.

L’analisi dei Rischi, del Contesto e delle Parti risulta un’attività fondamentale posta alle basi del sistema di gestione per la sicurezza delle informazioni. L’Alta Direzione si fa promotrice della volontà di mantenere la certificazione ISO/IEC 27001:2013 dell’organizzazione, e ritiene fondamentale che le proprie risorse ne condividano spirito e obiettivi, perché è consapevole che un risultato può essere raggiunto da una squadra solo se condiviso da tutti coloro che la compongono.