Politica per la sicurezza delle informazioni
rev. 0 del 24.09.2025
Info.tec S.r.l., di seguito anche l’Organizzazione, ritiene importante perseguire gli obiettivi del proprio Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), progettato e implementato conformemente alla norma ISO/IEC 27001:2022, al fine di garantire la sicurezza delle informazioni, la cybersecurity e la protezione della privacy delle parti interessate.
A tale scopo, la Direzione di Info.tec S.r.l. pubblica la presente Politica per la Sicurezza delle Informazioni (di seguito, per brevità, anche la Politica) per stabilire l’approccio seguito dall’Organizzazione per la gestione della sicurezza delle informazioni.
La sicurezza delle informazioni consiste nel garantire la protezione dei criteri di riservatezza, integrità e disponibilità delle informazioni trattate dall’Organizzazione nel contesto del proprio SGSI, tenendo conto di tutte le parti interessate, interne ed esterne, coinvolte.
OBIETTIVI DI SICUREZZA DELLE INFORMAZIONI:
Info.tec S.r.l. è costantemente impegnata a mantenere e migliorare il proprio SGSI, perseguendo i seguenti obiettivi:
- Garantire la gestione e la sicurezza delle informazioni di clienti, fornitori e delle parti interessate al SGSI affidate ai servizi dell’organizzazione, mantenendo la fiducia riposta e rispettando tutti gli obblighi contrattuali connessi.
- Mantenere la riservatezza, integrità, disponibilità delle informazioni e la resilienza dei sistemi IT, dell’infrastruttura e dei dati a supporto delle funzioni dell’Organizzazione, garantendo la continuità aziendale e la capacità di assistere i clienti anche in scenari complessi.
- Tenere sotto controllo e limitare il rischio di business, prevenendo e minimizzando l’impatto degli incidenti di sicurezza sulle informazioni (aziendali e personali) con riguardo alle parti interessate al SGSI.
- Garantire la conformità a tutti i requisiti di sistema, legali, statutari, normativi, cogenti e contrattuali relativi alla sicurezza delle informazioni, inclusa la protezione dei dati personali trattati.
- Coltivare una cultura della sicurezza delle informazioni, promuovendo e mantenendo un alto livello di consapevolezza tra tutto il personale impegnato nell’Organizzazione.
Al fine di perseguire gli obiettivi sopra indicati, l’Organizzazione si impegna a soddisfare tutti i requisiti applicabili alla sicurezza delle informazioni, siano essi volontari, contrattuali o cogenti, e si impegna, fra le altre, a:
- mantenere aggiornata e diffondere a tutti gli stakeholder interni ed esterni la propria “Politica per la sicurezza delle informazioni”, in conformità agli standard ISO/IEC 27001:2022, individuando nuove opportunità di business e garantendo la massima sicurezza ed efficacia dei processi aziendali;
- classificare tutte le informazioni, inclusi dati personali trattati dall’Organizzazione, in base al loro livello di criticità in modo da garantire riservatezza, integrità e disponibilità di dati e informazioni trattate;
- selezionare e verificare periodicamente i fornitori in grado di presentare adeguate garanzie in merito al proprio livello di conformità, con particolare riferimento alla capacità di proteggere le informazioni trattate;
- dimostrare la propria capacità di fornire con regolarità prodotti e servizi conformi, rispetto delle disposizioni di legge, statuti, regolamenti o obblighi contrattuali con le terze parti, inclusi i requisiti inerenti alla sicurezza delle informazioni;
- migliorare in modo continuo il proprio sistema di gestione adattandolo alle variazioni di contesto significative per gli obiettivi del sistema;
- garantire la conoscenza e scrupolosa applicazione delle prescrizioni normative e dei requisiti derivanti dalla normativa volontaria e dalle politiche e regolamenti interni nello svolgimento delle attività effettuate dall’organizzazione;
- manutenere e testare la propria procedura di continuità operativa e disaster recovery al fine di migliorare la propria resilienza e permettere all’Organizzazione di affrontare efficacemente ogni evento imprevisto, garantendo il ripristino dei servizi critici in tempi e con modalità che limitino le conseguenze negative sulle attività aziendali;
- promuovere la collaborazione interdisciplinare e adeguare le normative esistenti per affrontare efficacemente le nuove sfide poste dai cambiamenti climatici;
- diffondere i principi e i valori dichiarati nella presente Politica, rendendo attiva ed efficace la comunicazione da e verso le diverse parti interessate affinché la Politica sia conosciuta e partecipata.
PRINCIPI GUIDA DELLE ATTIVITÀ
L’Organizzazione applica la presente Politica per la Sicurezza delle Informazioni facendo propri principi quali:
- Equità, lealtà, correttezza e trasparenza: principi che devono sempre accompagnare l’azione di chi presta la propria attività a favore e per conto dell’Organizzazione;
- Responsabilità: tutti i dipendenti e collaboratori si impegnano a conoscere e rispettare la presente Politica e tutte le ulteriori politiche e procedura di sicurezza delle informazioni necessarie a raggiungere gli obiettivi;
- Conformità: impegno a rispettare tutte le leggi, regolamenti e standard pertinenti alla sicurezza delle informazioni.
IMPEGNO DELLA DIREZIONE
La Direzione dell’Organizzazione si impegna a:
- mettere a disposizione delle diverse aree dell’Organizzazione tutte le risorse necessarie a garantire una corretta gestione della sicurezza delle informazioni nel rispetto di quanto disciplinato dal SGSI;
- rafforzare la cultura di sicurezza delle informazioni nel contesto dell’Organizzazione attraverso:
- l’erogazione di formazione mirata a irrobustire le competenze e a favorire la piena consapevolezza delle problematiche relative alla sicurezza delle informazioni da parte del personale;
- il mantenimento di contatti con i gruppi specialistici di riferimento per migliorare la cultura e la consapevolezza della sicurezza delle informazioni;
La Direzione è impegnata ad attuare, sostenere e verificare periodicamente la presente Politica, divulgandola a tutte le parti interessate interne ed esterne all’Organizzazione.
Impegno per il Miglioramento Continuo
L’Organizzazione è dedicata al miglioramento continuo delle pratiche di sicurezza delle informazioni attraverso:
- svolgimento di audit interni per identificare aree di miglioramento e valutazione delle performance;
- revisione e aggiornamento periodico delle politiche di sicurezza delle informazioni;
- verifica periodica dell’efficacia e dell’efficienza del sistema di gestione in modo da favorire un processo di miglioramento continuo al fine di garantire idoneità, adeguatezza ed efficacia del SGSI, anche in risposta ai cambiamenti che potrebbero riguardare l’Organizzazione (variazioni di business, condizioni legali applicabili, esigenze delle parti interessate, etc.).
La gestione della sicurezza delle informazioni è assegnata a ruoli definiti all’interno dell’Organizzazione al fine di definire e segregare i compiti necessari per coordinare e supportare il SGSI.
L’Organizzazione non ammette esenzioni all’applicazione delle politiche di sicurezza delle informazioni ed eventuali eccezioni possono essere discusse e valutare solo dalla Direzione e in presenza di casi di forza maggiore.
La presente Politica è destinata a tutti i dipendenti e collaboratori dell’Organizzazione e sarà applicata anche alle parti interessate coinvolte nel trattamento delle informazioni alle quali si richiede di implementare parte delle politiche definite, laddove applicabili. Tutti i destinatari sono responsabili dell’attuazione della presente Politica, con il supporto della Direzione.
La Politica per la Sicurezza delle Informazioni è parte integrante del Sistema di Gestione della Sicurezza delle Informazioni e sarà soggetta a revisione annuale per garantirne l’efficacia e l’adeguatezza rispetto ai cambiamenti nel contesto aziendale e nel panorama normativo.
Redattore: Responsabile del Sistema di Gestione delle Informazioni.
Firmatario: Amministratore unico e Legale Rappresentante.
