Scopo e campo di applicazione
La direzione della società Ovunque s.r.l. si impegna a perseguire una politica che pone al centro delle attività il cliente diretto e indiretto, il rispetto dell'ambiente e il coinvolgimento del personale. Il personale viene stimolato attraverso attività di formazione e momenti di verifica del lavoro eseguito. La soddisfazione del cliente e delle altre parti interessate (clienti diretti e indiretti) viene perseguita attraverso l'analisi approfondita dei requisiti espressi ed impliciti al fine di individuare il servizio capace di soddisfare le proprie esigenze. L'obiettivo primario della società Ovunque S.r.l. è perseguire il miglioramento continuo e la soddisfazione del cliente, così come garantire la sicurezza nelle informazioni in rispetto alle leggi vigenti. Pertanto formalizza attraverso il presente documento, quanto già in modo implicito ed informale era patrimonio della direzione, rendendo pubblica la propria politica aziendale. Ovunque s.r.l. è un'azienda che opera nel campo dello sviluppo di moduli software ed intere applicazioni. Data la natura delle proprie attività, considera la qualità dei suoi servizi e la sicurezza delle informazioni un fattore cruciale per la protezione del proprio patrimonio informativo ed un fattore di valenza strategica sul mercato. Consapevole del fatto che i servizi offerti possono comportare l'affidamento di dati e informazioni critiche, insieme al SGQ (sistema di gestione per la qualità), applica il SGSI (sistema di gestione per la sicurezza delle informazioni) dentro un sistema di gestione integrato a tutte le attività e ai servizi offerti. Per questo motivo la Ovunque srl adotta le misure, sia tecniche che organizzative, necessarie a garantire al meglio l'integrità, la riservatezza e la disponibilità sia del patrimonio informativo interno che di quello affidatogli dai propri clienti. Su tali basi è implementato il SGI definito secondo in conformità alle prescrizioni della norma internazionale ISO/IEC 27001:2013. e la ISO 9001:2015IMPEGNO DELLA DIREZIONE
La direzione dell'Ovunque srl dimostra un impegno continuo nel miglioramento dei livelli di sicurezza delle informazioni e qualità con l'obbiettivo di ampliare i servizi offerti ai propri clienti così come la soddisfazione generale del cliente stesso dei servizi ricevuti dalla nostra azienda. La direzione è particolarmente coinvolta nel continuo miglioramento dei processi di produzione e dei livelli di sicurezza e dimostra in concreto questo impegno mettendo a disposizione risorse per raggiungere gli obiettivi prefissati. Le risorse sono intese sia come ore/uomo da dedicare al perfezionamento delle procedure definite, alla sorveglianza circa l'applicazione di quanto definito nelle procedure ed istruzioni operative; sia come risorse puramente economiche (a puro titolo di esempio per l'acquisto di apparecchiature, di software o per la formazione del personale).Obiettivi e principi
L'obiettivo del SGI di Ovunque srl è di garantire un adeguato livello di soddisfazione dei clienti e sicurezza dei dati e delle informazioni attraverso l'identificazione, la valutazione e il trattamento dei rischi ai quali i servizi stessi sono soggetti. Inoltre, definisce un insieme di misure organizzative, tecniche e procedurali atte a garantire tale obiettivo. I macro-obiettivi che Ovunque srl intende raggiungere con l'implementazione del SGI sono:Attenzione alle risorse umane
- Migliorare continuamente le competenze di ogni singolo collaboratore attraverso formazione e promuovendo l'autoformazione;
- Soddisfare le esigenze dei collaboratori applicando leggi, norme, buone pratiche da loro applicabili e rispettando la dignità e le pari opportunità;
- Condividere i successi e gli eventuali insuccessi che sono merito o demerito del gruppo e non di un singolo;
- Offrire un ambiente lavorativo adeguato per quanto si deve fare e consono per quanto si deve apparire.
Attenzione al cliente
- Soddisfare le esigenze del cliente, nel rispetto dell'etica professionale, offrendo il servizio in modo rapido, trasparente, flessibile e non offrendo un (generico) servizio;
- Fidelizzare il cliente anticipando i bisogni sia impliciti che inespressi;
- Offrire, far accettare e condividere servizi eticamente corretti e svolti nel rispetto di norme, leggi e buone prassi;
- Ricordare che il cliente “non ha sempre ragione” convincendolo, quando serve, a condividere il suddetto enunciato, in caso contrario è meglio perdere un cliente.
Attenzione al fornitore
- Definire ed applicare criteri di selezione e qualifica dei fornitori basati sulla loro comprovata capacità di fornire prodotti e servizi adeguati;
- Attivare delle attività di collaborazione con i Fornitori al fine di migliorare i servizi e i prodotti acquisiti che hanno una ricaduta strategica sui servizi erogati.
Attenzione all’azienda
- Garantire la gestione pianificata delle risorse rinanziarie aziendali generando ricchezza e benessere sia al sistema ezienda interno che esterno attraverso incentivi, premi e programmi di sviluppo.
- Effettuare controlli sistematici sull’andamento economico aziendale sulla base di budget preventivi e consuntivi.
- Mantenere la conformità alle norme europee, nazionali e locali, in riferimento alla qualità del servizio ed alla tutela dell'ambiente
- Comunicare l'importanza dei processi basati sui rischi analizzati.
Attenzione al sistema di gestione della sicurezza delle informazioni:
- il soddisfacimento dei requisiti di riservatezza, integrità e disponibilità delle informazioni relativa al business, ai clienti, ai fornitori e al personale interno.
- Garantire all'organizzazione la piena conoscenza delle informazioni gestite e la valutazione della loro criticità, al fine di agevolare l'implementazione degli adeguati livelli di protezione.
- Garantire una chiara allocazione delle autorità e responsabilità per la sicurezza delle informazioni.
- Garantire che il Personale interno abbia un elevato grado di consapevolezza e competenza sul tema della sicurezza delle informazioni.
- Garantire l'accesso sicuro alle informazioni, in modo da prevenire trattamenti non autorizzati o realizzati senza i diritti necessari.
- Garantire che l'organizzazione e le terze parti collaborino al trattamento delle informazioni adottando procedure volte al rispetto di adeguati livelli di sicurezza.
- Garantire che l'organizzazione e le terze parti che collaborano al trattamento delle informazioni, abbiano piena consapevolezza delle problematiche relative alla sicurezza.
- Garantire che le anomalie e gli incidenti aventi ripercussioni sul sistema informativo e sui livelli di sicurezza aziendale siano tempestivamente riconosciuti e correttamente gestiti attraverso efficienti sistemi di prevenzione, comunicazione e reazione al fine di minimizzare l’impatto sul business.
- Garantire che l'accesso alle sedi ed ai singoli locali aziendali avvenga esclusivamente da personale autorizzato, a garanzia della sicurezza delle aree e degli asset presenti.
- Garantire la conformità con i requisiti di legge ed il rispetto degli impegni di sicurezza stabiliti nei contratti con le terze parti.
- Garantire la rilevazione di eventi anomali, incidenti e vulnerabilità dei sistemi informativi al fine di rispettare la sicurezza e la disponibilità dei servizi e delle informazioni.
- Garantire la continuità del business aziendale attraverso l'applicazione di procedure di sicurezza stabilite.
- Garantire la conformità alla Norma ISO/IEC 27001:2013, e il suo miglioramento continuo.
- Assicurare il rispetto di tutte le normative Italiane cogenti, legali applicabili.
responsabilità e riesame della politica di sicurezza del sistema integrato
Per monitorare tali aspetti la direzione stabilisce degli obiettivi nel breve e nel medio termine che vengono resi noti e condivisi a tutti i livelli dell'organizzazione (vedi documento “Indicatori”). La presente politica viene riesaminata almeno una volta l'anno in concomitanza del riesame della direzione. La Direzione coordina ed è responsabile del rispetto dei principi e della corretta implementazione del SGI, in coerenza con l’evoluzione del contesto aziendale e di mercato, valutando eventuali azioni da intraprendere a fronte di eventi come:- evoluzioni significative del business.
- Cambiamenti significativi del contesto in cui opera l'azienda.
- Cambiamenti significativi rispetto alle aspettative ed esigenze delle parti interessate alle attività dell'azienda.
- Nuove minacce rispetto a quelle considerate nell'attività di analisi del rischio.
- Significativi incidenti di sicurezza.
- Evoluzione del contesto normativo o legislativo in materia di trattamento sicuro delle informazioni.
Per realizzare la suddetta politica, la Direzione dell’Azienda ha deciso di:
- Ogni dipendente della società Ovunque S.r.l. per le proprie mansioni dovrà partecipare alla mission aziendale.
- La società Ovunque S.r.l. ha deciso l’istituzione e il mantenimento di un sistema di gestione conforme agli standard internazionali ISO 9001:2015 e ISO/IEC 27001:2013, che permetta di garantire efficienza interna, conformità e monitoraggio della sicurezza dei servizi forniti ai Clienti e una migliore predisposizione a soddisfare il rispetto dell’Ambiente.