1. SCOPO

Lo scopo del presente documento è quello di descrivere i principi generali di sicurezza delle informazioni
definiti da CONTEC S.p.A. al fine di sviluppare un efficiente e sicuro Sistema di Gestione della Sicurezza delle
Informazioni.

2. DESCRIZIONE

La politica per la sicurezza delle informazioni di CONTEC S.p.A. si applica a tutto il personale interno ed alle
terze parti che collaborano alla gestione delle informazioni ed a tutti i processi e risorse coinvolte nella
progettazione, realizzazione, avviamento ed erogazione continuativa nell’ambito dei servizi.
Per CONTEC S.p.A. la sicurezza delle informazioni ha come obiettivo primario la protezione dei dati e delle
informazioni, della struttura tecnologica, fisica, logica ed organizzativa, responsabile della loro gestione.
Questo significa ottenere e mantenere un sistema di gestione sicura delle informazioni, nell’ambito del
campo di applicazione definito per l’ISMS ( Information Security Management System), attraverso il rispetto
delle seguenti proprietà:

  1. Riservatezza: assicurare che l’informazione sia accessibile solamente ai soggetti e/o ai processi
    debitamente autorizzati;
  2. Integrità: salvaguardare la consistenza dell’informazione da modifiche non autorizzate;
  3. Disponibilità: assicurare che gli utenti autorizzati abbiano accesso alle informazioni e agli elementi
    architetturali associati quando ne fanno richiesta;
  4. Controllo: assicurare che la gestione dei dati avvenga sempre attraverso processi e strumenti sicuri e
    testati;
  5. Autenticità: garantire una provenienza affidabile dell’informazione.
  6. Privacy: garantire la protezione ed il controllo dei dati personali.

3. POLITICA PER LA SICUREZZA DELLE INFORMAZIONI

La politica della sicurezza di CONTEC S.p.A. rappresenta l’impegno dell’organizzazione nei confronti di
clienti e terze parti a garantire la sicurezza delle informazioni, degli strumenti fisici, logici e organizzativi atti
al trattamento delle informazioni in tutte le attività. La politica della sicurezza delle informazioni di CONTEC
S.p.A. si ispira ai seguenti principi:

  1. Garantire all’organizzazione la piena conoscenza delle informazioni gestite e la valutazione della loro
    criticità, al fine di agevolare l’implementazione degli adeguati livelli di protezione.
  2. Garantire l’accesso sicuro alle informazioni, in modo da prevenire trattamenti non autorizzati o realizzati
    senza i diritti necessari.
  3. Garantire che l’organizzazione e le terze parti collaborino al trattamento delle informazioni adottando
    procedure volte al rispetto di adeguati livelli di sicurezza.
  4. Garantire che l’organizzazione e le terze parti che collaborano al trattamento delle informazioni, abbiano piena consapevolezza delle problematiche relative alla sicurezza.
  5. Garantire che le anomalie e gli incidenti aventi ripercussioni sul sistema informativo e sui livelli di
    sicurezza aziendale siano tempestivamente riconosciuti e correttamente gestiti
    attraverso efficienti sistemi di prevenzione, comunicazione e reazione al fine di minimizzare l’impatto sul
    business. 
  6. Garantire che l’accesso alle sedi ed ai singoli locali aziendali avvenga esclusivamente da personale
    autorizzato.
  7. Garantire la conformità con i requisiti di legge ed il rispetto degli impegni di sicurezza stabiliti nei
    contratti con le terze parti.
  8. Garantire la rilevazione di eventi anomali, incidenti e vulnerabilità dei sistemi informativi al fine di
    rispettare la sicurezza e la disponibilità dei servizi e delle informazioni.
  9. Garantire la business continuity aziendale e il disater recovery, attraverso l’applicazione di procedure di
    sicurezza stabilite.

4. RESPONSABILITÀ DELLA POLITICA DI SICUREZZA DELLE INFORMAZIONI

La Direzione è responsabile del sistema di gestione sicura delle informazioni, in coerenza con l’evoluzione
del contesto aziendale e di mercato, valutando eventuali azioni da intraprendere a fronte di eventi come:

  1. evoluzioni significative del business;
  2. nuove minacce rispetto a quelle considerate nell’attività di analisi del rischio;
  3. significativi incidenti di sicurezza;
  4. evoluzione del contesto normativo o legislativo in materia di trattamento sicuro delle informazioni.