Informativa sulla Sicurezza

Il Comitato di Sicurezza e Conformità di Homedoctor ha la competenza di progettare, valutare e rivedere in modo permanente il Sistema di governance e sostenibilità e, specificamente, di approvare e aggiornare le politiche aziendali, le quali contengono le linee guida che regolano l'azione dell'organizzazione, nel senso stabilito dalla legge.

Nell'esercizio di queste responsabilità, al fine di stabilire i principi generali che devono regolare le azioni in materia di sicurezza aziendale in tutte le sue sfaccettature, il Comitato di Sicurezza e Conformità approva la presente Politica di sicurezza aziendale (la «Politica»). Tutto ciò in conformità con la normativa sulla Sicurezza delle Informazioni basata sul RD 311.2022 che regola l'ENS e la normativa volontaria ISO 27001.

D'altra parte, e a causa della nostra attività, in Homedoctor siamo consapevoli che i dati personali sono un bene di elevato valore per la nostra organizzazione e richiedono, pertanto, una protezione e una gestione adeguate al fine di rispettare la legislazione vigente relativa alla protezione dei dati personali (RGPD e LOPDGDD) e l'impegno di Homedoctor con i nostri clienti, il che ci rende particolarmente sensibili al trattamento dei dati personali a cui abbiamo accesso nell'esercizio della nostra attività.

1. Finalità

La finalità di questa Politica è stabilire i principi di base di azione che devono regolare l'Organizzazione in materia di sicurezza, per garantire l'effettiva protezione delle persone, degli attivi fisici (incluse infrastrutture critiche), delle informazioni e della conoscenza e dei sistemi di controllo e comunicazione, nonché della privacy dei dati trattati, vegliando in ogni momento affinché le azioni in materia di sicurezza siano pienamente conformi alla legge e rispettino scrupolosamente quanto previsto nel Codice Etico e di Condotta.

Attraverso questa Politica, l'Organizzazione manifesta il suo impegno per l'eccellenza in materia di sicurezza, la quale riveste un ruolo di primo piano nella quotidianità dell'Organizzazione, affinché rimanga sicura, resiliente e affidabile in una comunità digitale in continua trasformazione, dove sorgono nuove minacce sempre più sofisticate, sia fisiche che di cybersicurezza o ibride, il che provoca un aumento del grado di esigenza dei regolatori, dei clienti e degli altri Gruppi di interesse con cui l'Organizzazione si relaziona, rispetto al rispetto degli standard di sicurezza sempre più elevati che permettano di costruire e consolidare relazioni durature di fiducia.

I sistemi devono essere protetti contro minacce in rapida evoluzione con potenziale impatto sulle informazioni e sui servizi. Per difendersi da queste minacce, è necessaria una strategia che si adatti ai cambiamenti delle condizioni ambientali per garantire la continua erogazione dei servizi.

Ciò implica che i diversi dipartimenti devono applicare le misure minime di sicurezza richieste dallo Schema Nazionale di Sicurezza secondo la categoria determinata in accordo a quanto indicato nel processo interno di valutazione dei sistemi, una sistematica allineata a quanto indicato nella guida CCN-STIC 803 “Valutazione dei Sistemi”, nonché realizzare un monitoraggio continuo dei livelli di erogazione dei servizi, seguire e analizzare le vulnerabilità segnalate e preparare una risposta efficace agli incidenti per garantire la continuità dei servizi prestati.

I diversi dipartimenti dell'organizzazione devono assicurarsi che la sicurezza sia parte integrante di ogni fase del ciclo di vita del sistema, dalla sua concezione al suo ritiro dal servizio, passando per le decisioni di sviluppo o acquisizione e le attività di sfruttamento. I requisiti di sicurezza e le esigenze di finanziamento devono essere identificati e inclusi nella pianificazione, nella richiesta di offerte e nei capitolati d'oneri per i progetti TIC.

I dipartimenti devono essere preparati a prevenire, rilevare, reagire e recuperare dagli incidenti, in conformità con l'Articolo 8 dell'ENS.

Seguendo le linee guida del capitolo II, i principi di base a cui Homedoctor si attiene sono i seguenti:

  1. Sicurezza come processo integrale, costituito da tutti gli elementi correlati al sistema informativo, prestando particolare importanza alla consapevolezza di tutti i partecipanti.
  2. Gestione della sicurezza basata sui rischi, come descritto nella sezione 2.8 del presente documento.
  3. Prevenzione, rilevamento, risposta e conservazione. Sviluppato nelle sezioni 2.1, 2.2, 2.3 e 2.4 del presente documento.
  4. Esistenza di linee di difesa costituite da più strati di sicurezza organizzati in misure di natura organizzativa, fisica e logica.
  5. Sorveglianza continua e rivalutazione periodica, che consenta il rilevamento di comportamenti anomali e la loro risposta, nonché la misurazione della loro evoluzione mediante il rilevamento di vulnerabilità e delle carenze nella configurazione, verificando periodicamente la loro efficacia, potendo arrivare a un ripensamento del nostro design di sicurezza.
  6. Differenziazione delle responsabilità, come sviluppato nella sezione 2.6 del presente documento.

2. Requisiti minimi

A tal fine, applicheremo i seguenti requisiti minimi.

  1. Organizzazione e implementazione del processo di sicurezza.
  2. Analisi e gestione dei rischi.
  3. Gestione del personale.
  4. Professionalità.
  5. Autorizzazione e controllo degli accessi.
  6. Protezione delle installazioni.
  7. Acquisizione di prodotti di sicurezza e contrattazione di servizi di sicurezza.
  8. Privilegio minimo.
  9. Integrità e aggiornamento del sistema.
  10. Protezione delle informazioni memorizzate e in transito.
  11. Prevenzione da altri sistemi informativi interconnessi.
  12. Registrazione dell'attività e rilevamento di codice dannoso.
  13. Incidenti di sicurezza.
  14. Continuità dell'attività.
  15. Miglioramento continuo del processo di sicurezza.

Questi requisiti minimi sono proporzionati ai rischi identificati nei nostri sistemi, in conformità con quanto disposto dall'articolo 28 e sono sviluppati nei documenti del sistema di gestione dell'ENS.

3. Ambito di applicazione

Questa Politica è applicabile a tutti i sistemi informativi dell'Organizzazione nella loro interezza.

La presente Politica è sviluppata e integrata dalle seguenti politiche specifiche, anch'esse approvate dal Comitato di Sicurezza e Compliance:

  • SIG.SI.PO-01 – Politica di Organizzazione Interna
  • SIG.SI.PO-02 – Politica delle misure di sicurezza nei progetti
  • SIG.SI.PO-03 – Politica degli Attivi Informativi e altri ad essa associati
  • SIG.SI.PO-04 – Politica di Controllo degli Accessi e dell'Identità
  • SIG.SI.PO-05 – Politica di Sicurezza nella Relazione con i Fornitori
  • SIG.SI.PO-06 – Politica di Sicurezza delle informazioni per l'uso dei servizi cloud
  • SIG.SI.PO-07 – Politica di Gestione degli Incidenti di Sicurezza
  • SIG.SI.PO-07-A1 – Allegato I – Politica di Gestione degli Incidenti di Sicurezza
  • SIG.SI.PO-08 – Politica per la Continuità del Business
  • SIG.SI.PO-09 – Politiche di Conformità
  • SIG.SI.PO-10 – Politica di Controlli sul Personale
  • SIG.SI.PO-11 – Politica di Telelavoro
  • SIG.SI.PO-12 – Politica di Controlli Fisici
  • SIG.SI.PO-13 – Politica di Dispositivi Mobili e BYOD
  • SIG.SI.PO-14 – Politica di Controlli Tecnologici
  • SIG.SI.PO-15 – Politica di Sicurezza delle Reti
  • SIG.SI.PO-16 – Politiche di Crittografia
  • SIG.SI.PO-17 – Politiche di Sviluppo Sicuro
  • SIG.SI.PO-18 – Politica di Gestione del Rischio
  • SIG.SI.PO-19 – Politica di Formazione
  • SIG.SI.PO-20 – Politica di prevenzione delle frodi, della corruzione e della concussione

4. Principi fondamentali di azione

Per concretizzare l'impegno indicato nella sezione 1 precedente, vengono stabiliti i seguenti principi fondamentali di azione che devono presiedere le attività dell'Organizzazione in materia di sicurezza aziendale:

  1. Definire una strategia di sicurezza integrale con un approccio sia preventivo che proattivo per garantire un livello di rischio ragionevole.
  2. Garantire l'adeguata protezione degli attivi (incluse infrastrutture critiche), per gestire proattivamente i rischi.
  3. Garantire la protezione dei professionisti dell'Organizzazione sia sul luogo di lavoro che durante i loro spostamenti per motivi professionali, nonché la protezione delle persone quando si trovano nelle strutture o in qualsiasi evento istituzionale dell'Organizzazione.
  4. Definire un modello di gestione della sicurezza con una chiara assegnazione di ruoli e responsabilità e meccanismi di coordinamento efficaci, che integri la sicurezza e la gestione proattiva dei rischi nei processi decisionali.
  5. Garantire l'adeguata protezione delle informazioni e delle conoscenze, nonché dei sistemi di controllo, informazione e comunicazione, per gestire proattivamente i rischi, in conformità con quanto disposto nella Politica di Gestione del Rischio.
  6. Preservare i principi di Riservatezza, Integrità, Disponibilità, Autenticità, Tracciabilità, nonché Conformità Regolamentare delle informazioni. A loro volta, questi principi si definiscono come segue:
    • Riservatezza:
      è la proprietà che consente di garantire che l'accesso alle informazioni possa essere esercitato solo dalle persone autorizzate a farlo.
    • Integrità:
      è la proprietà di salvaguardare l'accuratezza e la completezza degli attivi informativi.
    • Disponibilità:
      è la qualità che garantisce che le persone autorizzate possano accedere alle informazioni e elaborarle in qualsiasi momento sia necessario.
    • Autenticità:
      è la proprietà o caratteristica consistente nel fatto che un'entità è chi dice di essere o che garantisce la fonte da cui provengono i dati.
    • Tracciabilità:
      è la proprietà o caratteristica consistente nel fatto che le azioni di un'entità possono essere imputate esclusivamente a tale entità.
  7. Promuovere l'identificazione delle informazioni non pubbliche classificate (o suscettibili di essere classificate) come riservate o segrete, nonché delle informazioni considerate (o suscettibili di essere considerate) come segreto commerciale e definire i criteri per la loro adeguata protezione, assicurandone l'implementazione.
  8. Promuovere la lotta attiva contro la frode e contro gli attacchi al marchio, all'immagine e alla reputazione delle società dell'Organizzazione e dei suoi professionisti.
  9. Garantire il diritto alla protezione dei dati personali di tutte le persone fisiche che si relazionano con l'Organizzazione, in conformità con quanto disposto nel MANUALE DI SICUREZZA DELL'UTENTE.
  10. Adottare le misure necessarie per prevenire, neutralizzare, minimizzare o ripristinare il danno causato da minacce alla sicurezza, siano esse fisiche, di cybersicurezza o ibride, per il normale svolgimento delle attività, basandosi su criteri di proporzionalità ai potenziali rischi e alla criticità e al valore degli attivi e servizi interessati.
  11. Rispettare i principi fondamentali di azione stabiliti nella PSI.08 – Politica per la Continuità del Business.
  12. Promuovere una cultura inclusiva e una consapevolezza in materia di sicurezza all'interno dell'Organizzazione, mediante la realizzazione di azioni di divulgazione, consapevolezza e formazione adeguate, adattate a ciascun destinatario e con una periodicità sufficiente per garantire l'aggiornamento delle conoscenze in questo ambito.
  13. Promuovere l'adeguata formazione in materia di sicurezza di tutto il personale, sia interno che esterno, definendo requisiti e criteri nella contrattazione che tengano conto di tale formazione.
  14. Vigilare sul contesto attuale dell'organizzazione e dell'ambiente, nonché sull'evoluzione degli eventi che consentono di identificare le minacce alla sicurezza più rilevanti con l'obiettivo di anticiparne il potenziale impatto.
  15. Promuovere le migliori pratiche e l'innovazione nel campo della sicurezza.
  16. Collaborare con i Gruppi di interesse coinvolti (tra gli altri, la catena di fornitura e i clienti) sui rischi di sicurezza che interessano le società dell'Organizzazione per rafforzare la risposta coordinata a potenziali rischi e minacce in materia di sicurezza.
  17. Prestare tutta l'assistenza e la cooperazione che possano essere richieste dalle istituzioni e dagli organismi competenti in materia di sicurezza, inclusi tra gli altri regolatori, forze e corpi di sicurezza e agenzie governative, nazionali e internazionali, nei paesi in cui l'Organizzazione svolge la sua attività.
  18. Vigilare sul rispetto effettivo degli obblighi imposti dalla regolamentazione applicabile in ogni momento in materia di sicurezza, agendo sempre in conformità con la legislazione vigente e quanto stabilito nel Codice etico e di condotta.

5. OBIETTIVI GENERALI

La Politica di Sicurezza fornisce le basi per definire e delimitare gli obiettivi e le responsabilità per le diverse azioni tecniche, legali e organizzative che sono richieste per garantire la sicurezza delle informazioni e la privacy, rispettando il quadro legale applicabile e le politiche globali e specifiche della società, nonché le procedure definite.

Queste azioni dal punto di vista della sicurezza e della privacy sono selezionate e implementate basandosi sull'analisi dei rischi e sull'equilibrio tra rischio accettabile e costo delle misure.

L'obiettivo della Politica di Sicurezza è stabilire il quadro d'azione necessario per proteggere le risorse di informazione e i dati da minacce, interne o esterne, deliberate o accidentali.

Le informazioni e i dati possono esistere in una varietà di formati, con supporti sia elettronici che cartacei o altri mezzi, e includono talvolta dati critici sulle operazioni, strategie o attività di Homedoctor e dei suoi clienti e persino, se del caso, dati di carattere sensibile stabiliti dalla normativa sulla protezione dei dati personali. La perdita, la corruzione o la sottrazione di informazioni o dei sistemi che le gestiscono ha un impatto elevato sulla nostra Società.

Homedoctor è convinta che una gestione efficace della Sicurezza delle Informazioni e della Privacy sia un elemento abilitante affinché l'organizzazione comprenda pienamente e agisca in modo adeguato ai rischi a cui le informazioni sono esposte, nonché per poter rispondere e adattarsi in modo efficiente alle crescenti esigenze degli organismi di regolamentazione, delle leggi e, naturalmente, dei suoi clienti.

6. IMPEGNO DELL'ALTA DIREZIONE

Lo scopo del Sistema di Gestione della Sicurezza delle Informazioni è garantire che i rischi per la sicurezza delle informazioni e la privacy siano conosciuti, assunti, gestiti e minimizzati in modo documentato, sistematico, strutturato, ripetibile, gestibile e adattato ai cambiamenti che si verificano nei rischi, nell'ambiente e nelle tecnologie.

A tal fine, la direzione dichiara l'impegno di Homedoctor a:

  • Stabilire come obiettivo primordiale i servizi, con assoluto rispetto degli standard di qualità, preservando le informazioni, con particolare attenzione alla sensibilità dei dati personali trattati, con tutte le misure necessarie a sua disposizione.
  • Applicare il principio del miglioramento continuo a tutti i processi dell'organizzazione, con l'obiettivo aggiuntivo di ottenere il massimo grado di soddisfazione dei clienti.
  • Assicurare il rispetto dei requisiti legali e regolamentari applicabili (in particolare quelli relativi alla protezione dei dati personali), nonché quelli che l'organizzazione ha volontariamente assunto nello sviluppo della Responsabilità Sociale d'Impresa del Libro di Stile e nel Codice Etico.
  • Potenziare la partecipazione, la comunicazione, l'informazione e la formazione del team professionale affinché si senta partecipe del lavoro dell'organizzazione nel suo complesso.
  • Promuovere l'impegno di responsabilità tra i componenti del team in conformità con i requisiti di qualità, nonché quelli relativi alla privacy e alla sicurezza delle informazioni concordati sia internamente che con i clienti, mediante azioni di formazione e sensibilizzazione adeguate e regolari.
  • Assicurare la continuità del business sviluppando piani di continuità conformi a metodologie riconosciute.
  • Realizzare e revisionare periodicamente un'analisi dei rischi basata su metodi riconosciuti che ci consentano di stabilire il livello sia della privacy dei dati personali che della sicurezza generale delle informazioni e dei progetti e servizi in corso, e di minimizzare i rischi attraverso lo sviluppo di politiche specifiche, soluzioni tecniche e accordi contrattuali con organizzazioni specializzate.
  • Impegno a informare le parti interessate.
  • Selezione di fornitori e subappaltatori in base a criteri relativi alla privacy e alla sicurezza delle informazioni.
  • Per quanto riguarda specificamente la protezione dei dati personali, Homedoctor si impegna a rispettare i principi indicati nella legislazione di riferimento. Questi sono:
  • Principio di “liceità, trasparenza e correttezza”. I dati devono essere trattati in modo lecito, corretto e trasparente per l'interessato.
  • Principio di “finalità”. I dati devono essere trattati per una o più finalità determinate, esplicite e legittime e, d'altra parte, è vietato che i dati raccolti per finalità determinate, esplicite e legittime siano successivamente trattati in modo incompatibile con tali finalità.
  • Principio di “minimizzazione dei dati”. Applicare misure tecniche e organizzative per garantire che siano oggetto di trattamento solo i dati strettamente necessari per ciascuna delle finalità specifiche del trattamento, riducendo l'estensione del trattamento, limitando al necessario il periodo di conservazione e la loro accessibilità.
  • Principio di “esattezza”. Adottare misure ragionevoli affinché i dati siano aggiornati, siano cancellati o modificati senza indugio quando inesatti rispetto alle finalità per cui sono trattati.
  • Principio di “limitazione del periodo di conservazione”. La conservazione dei dati deve essere limitata nel tempo al raggiungimento delle finalità del trattamento.
  • Principio di “sicurezza”. Effettuare un'analisi dei rischi volta a determinare le misure tecniche e organizzative necessarie per garantire l'integrità, la disponibilità, l'autenticità, la tracciabilità e la riservatezza dei dati personali che trattano.
  • Principio di “responsabilità attiva” o “responsabilità dimostrata”. Mantenere la due diligence in modo permanente per proteggere e garantire i diritti e le libertà delle persone fisiche i cui dati sono trattati sulla base di un'analisi dei rischi che il trattamento rappresenta per tali diritti e libertà, in modo da poter garantire e dimostrare che il trattamento è conforme alle previsioni del GDPR e della LOPDGD.
  • Dirigere, supportare e supervisionare il sistema di gestione della sicurezza delle informazioni, come stabilito nel RD 311.2022 e successive modifiche, nonché nella ISO 27001, e cercare di raggiungere i suoi obiettivi.

La direzione di Homedoctor si impegna a sostenere e promuovere i principi stabiliti in questa Politica, per cui chiede al personale di Homedoctor di assumere e attenersi alle previsioni del sistema di gestione documentato per l'ENS.

7. SVILUPPO DELL'INFORMATIVA SULLA SICUREZZA

Questa Informativa sulla Sicurezza integra le politiche di sicurezza di Homedoctor in diverse materie e sarà sviluppata tramite normative di sicurezza che affronteranno aspetti specifici. Le normative di sicurezza saranno a disposizione di tutti i membri dell'organizzazione che ne abbiano bisogno, in particolare per coloro che utilizzano, operano o amministrano i sistemi di informazione e comunicazione.

La documentazione relativa alla Sicurezza delle Informazioni sarà classificata su tre livelli, in modo che ogni documento di un livello si basi su quelli di livello superiore:

  • Primo livello: Informativa sulla sicurezza.
  • Secondo livello: Normative e procedure di sicurezza.
  • Terzo livello: Rapporti, registri e prove elettroniche.

7.1. INFORMATIVA

7.1.1. Prevenzione

I dipartimenti devono evitare, o almeno prevenire il più possibile, che le informazioni o i servizi vengano danneggiati da incidenti di sicurezza. A tal fine, i dipartimenti devono implementare le misure di sicurezza minime determinate dall'ENS, nonché qualsiasi controllo aggiuntivo identificato attraverso una valutazione delle minacce e dei rischi. Questi controlli, e i ruoli e le responsabilità di sicurezza di tutto il personale, devono essere chiaramente definiti e documentati.

Per garantire la conformità alla politica, i dipartimenti devono:

  • Autorizzare i sistemi prima di metterli in funzione.
  • Valutare regolarmente la sicurezza, incluse le valutazioni delle modifiche di configurazione eseguite di routine.
  • Richiedere una revisione periodica da parte di terzi al fine di ottenere una valutazione indipendente.

7.1.2. Rilevamento

Dato che i servizi possono degradarsi rapidamente a causa di incidenti, che vanno da un semplice rallentamento alla loro interruzione, i servizi devono monitorare l'operazione in modo continuo per rilevare anomalie nei livelli di erogazione dei servizi e agire di conseguenza come stabilito all'Articolo 9 dell'ENS.

Il monitoraggio è particolarmente rilevante quando si stabiliscono linee di difesa in conformità con l'Articolo 8 dell'ENS. Verranno stabiliti meccanismi di rilevamento, analisi e reporting che raggiungano i responsabili regolarmente e quando si verifica una deviazione significativa dai parametri preimpostati come normali.

7.1.3. Risposta

I dipartimenti devono:

  • Stabilire meccanismi per rispondere efficacemente agli incidenti di sicurezza.
  • Designare un punto di contatto per le comunicazioni relative agli incidenti rilevati in altri dipartimenti o in altri organismi.
  • Stabilire protocolli per lo scambio di informazioni relative all'incidente. Ciò include le comunicazioni, in entrambe le direzioni, con i Team di Risposta alle Emergenze (CERT).

7.1.4. Recupero

Per garantire la disponibilità dei servizi critici, i dipartimenti devono sviluppare piani di continuità dei sistemi come parte del loro piano generale di continuità aziendale e delle attività di recupero.

8. ORGANIZZAZIONE DELLA SICUREZZA

Questa politica si applica a tutti i sistemi di Homedoctor e a tutti i membri dell'organizzazione, senza eccezioni.

Homedoctor si impegna a fornire i propri servizi in modo gestito e in conformità con i requisiti stabiliti nel proprio Sistema Integrato di Gestione, in modo da garantire un servizio ininterrotto conforme ai requisiti di disponibilità, sicurezza e qualità nei confronti dei clienti.

A causa della nostra attività, in Homedoctor sappiamo che le informazioni sono un bene di alto valore per la nostra organizzazione e soprattutto per i nostri clienti e richiedono, pertanto, una protezione e gestione adeguate al fine di garantire la continuità della nostra linea di business e minimizzare i possibili danni causati da guasti nella Sicurezza delle Informazioni.

A tal fine, l'organizzazione:

  • Proteggerà adeguatamente la riservatezza, la disponibilità, l'integrità, l'autenticità e la tracciabilità dei suoi asset informativi introducendo una serie di controlli per gestire i rischi di sicurezza pertinenti.
  • Darà priorità alla protezione e alla salvaguardia dei suoi clienti e dei dati dei clienti come priorità aziendale.
  • Stabilirà, implementerà, monitorerà, manterrà e migliorerà continuamente la sua gestione della sicurezza delle informazioni come parte del suo approccio più ampio alla gestione aziendale, e manterrà la Certificazione Accreditata secondo gli standard appropriati.
  • Gestirà qualsiasi violazione della sicurezza delle informazioni in modo tempestivo e responsabile, e investirà in strategie appropriate di rilevamento, risposta e rimedio.
  • Ad intervalli pianificati, testerà i suoi controlli di sicurezza delle informazioni e le sue risposte a scenari che potrebbero causare una minaccia alle sue operazioni.
  • Fornirà risorse adeguate all'organizzazione per stabilire, mantenere e migliorare l'ambiente di sicurezza, come appropriato per il panorama dei rischi in evoluzione.
  • Investirà nelle competenze del personale per svolgere i propri compiti e fornirà al personale una formazione e una consapevolezza adeguate e pertinenti al loro ruolo e alle informazioni a cui hanno accesso.
  • Garantirà che i nostri fornitori e le organizzazioni partner facciano lo stesso, e che stabiliscano e facciano rispettare gli standard di sicurezza a coloro a cui trasmettiamo qualsiasi informazione.

8.1. Comitato di Sicurezza

I membri del Comitato di Sicurezza saranno designati in un atto costitutivo, dove sarà indicata la persona designata e la carica che dovrà ricoprire.

Il Segretario del Comitato di Sicurezza sarà il RESPONSABILE DELLA SICUREZZA e avrà le seguenti funzioni:

  • Convoca le riunioni del Comitato di Sicurezza.
  • Prepara gli argomenti da trattare nelle riunioni del Comitato, fornendo informazioni puntuali per il processo decisionale.
  • Redige il verbale delle riunioni.
  • È responsabile dell'esecuzione diretta o delegata delle decisioni del Comitato.
  • Il Comitato di Sicurezza riferirà al Direttore Generale.
  • Il Comitato di Sicurezza avrà le seguenti funzioni:
  • Affrontare le preoccupazioni dell'Alta Direzione e dei diversi dipartimenti.
  • Informare regolarmente l'Alta Direzione sullo stato della sicurezza delle informazioni.
  • Promuovere il miglioramento continuo del sistema di gestione della sicurezza delle informazioni.
  • Elaborare la strategia di evoluzione dell'Organizzazione per quanto riguarda la sicurezza delle informazioni.
  • Coordinare gli sforzi delle diverse aree in materia di sicurezza delle informazioni, per assicurare che gli sforzi siano coerenti, allineati alla strategia decisa in materia, e evitare duplicazioni.
  • Elaborare (e rivedere regolarmente) l'Informativa sulla Sicurezza affinché sia approvata dalla Direzione.
  • Approvare le normative sulla sicurezza delle informazioni.
  • Coordinare tutte le funzioni di sicurezza dell'organizzazione.
  • Vigilare sul rispetto della normativa legale e settoriale applicabile.
  • Vigilare sull'allineamento delle attività di sicurezza agli obiettivi dell'organizzazione.
  • Coordinare i Piani di Continuità delle diverse aree, per assicurare un'azione senza interruzioni nel caso in cui debbano essere attivati.
  • Coordinare e approvare, se del caso, le proposte di progetti ricevute dai diversi ambiti di sicurezza, incaricandosi di gestire un controllo e una presentazione regolare dell'avanzamento dei progetti e l'annuncio delle possibili deviazioni.
  • Ricevere le preoccupazioni in materia di sicurezza dalla Direzione dell'entità e trasmetterle ai responsabili dipartimentali pertinenti, raccogliendo da essi le corrispondenti risposte e soluzioni che, una volta coordinate, dovranno essere comunicate alla Direzione.
  • Raccogliere dai responsabili della sicurezza dipartimentali rapporti regolari sullo stato della sicurezza dell'organizzazione e sui possibili incidenti. Questi rapporti vengono consolidati e riassunti per la loro comunicazione alla Direzione dell'entità.
  • Coordinare e rispondere alle preoccupazioni trasmesse tramite i responsabili della sicurezza dipartimentali.
  • Definire, all'interno della Politica di Sicurezza Aziendale, l'assegnazione dei ruoli e i criteri per raggiungere le garanzie pertinenti in relazione alla segregazione delle funzioni.
  • Elaborare e approvare i requisiti di formazione e qualificazione di amministratori, operatori e utenti dal punto di vista della sicurezza delle informazioni.
  • Monitorare i principali rischi residui assunti dall'Organizzazione e raccomandare possibili azioni a riguardo.
  • Monitorare le prestazioni dei processi di gestione degli incidenti di sicurezza e raccomandare possibili azioni a riguardo. In particolare, vigilare sul coordinamento delle diverse aree di sicurezza nella gestione degli incidenti di sicurezza delle informazioni.
  • Promuovere la realizzazione di audit periodici che consentano di verificare il rispetto degli obblighi dell'organismo in materia di sicurezza.
  • Approvare piani di miglioramento della sicurezza delle informazioni dell'Organizzazione. In particolare, vigilerà sul coordinamento dei diversi piani che possono essere realizzati in diverse aree.
  • Dare priorità alle azioni in materia di sicurezza quando le risorse sono limitate.
  • Vigilare affinché la sicurezza delle informazioni sia presa in considerazione in tutti i progetti dalla loro specifica iniziale fino alla loro messa in funzione. In particolare dovrà vigilare sulla creazione e utilizzo di servizi orizzontali che riducano le duplicazioni e supportino un funzionamento omogeneo di tutti i sistemi ICT.
  • Risolvere i conflitti di responsabilità che possano sorgere tra i diversi responsabili e/o tra diverse aree dell'Organizzazione.

8.2.  Ruoli: Funzioni e responsabilità

Di seguito sono dettagliate le funzioni dei responsabili dell'organizzazione:

8.2.1. Responsabile delle Informazioni

Le sue funzioni saranno le seguenti:

  • Responsabilità ultima dell'uso che si fa di una certa informazione e, pertanto, della sua protezione.
  • Responsabile ultimo di qualsiasi errore o negligenza che comporti un incidente di riservatezza o di integrità (in materia di protezione dei dati) e di disponibilità (in materia di sicurezza delle informazioni).
  • Stabilire i requisiti di sicurezza delle informazioni.
  • Determinare e approvare i livelli di sicurezza delle informazioni.
  • Approvare la categorizzazione del sistema rispetto alle informazioni.
  • Quelli che verranno indicati nei documenti rientranti nell'ambito dell'ENS.

8.2.2. Responsabile del Servizio

Le sue funzioni saranno le seguenti:

  • Stabilire i requisiti del servizio in materia di sicurezza.
  • Determinare i livelli di sicurezza dei servizi.
  • Approvare la categorizzazione del sistema rispetto ai servizi.
  • Quelli che verranno indicati nei documenti rientranti nell'ambito dell'ENS.

8.2.3. Responsabile della Sicurezza

Le sue funzioni saranno le seguenti:

  • Mantenere la sicurezza delle informazioni gestite e dei servizi forniti dai sistemi informativi nel suo ambito di responsabilità, in conformità con quanto stabilito nella Politica di Sicurezza delle Informazioni dell'organizzazione.
  • Promuovere la formazione e la consapevolezza in materia di sicurezza delle informazioni all'interno del suo ambito di responsabilità.
  • Approvare la dichiarazione di applicabilità.
  • Canalizzare e supervisionare, sia il rispetto dei requisiti di sicurezza del servizio prestato o della soluzione fornita, sia le comunicazioni relative alla sicurezza delle informazioni e la gestione degli incidenti per l'ambito di tale servizio (POC).
  • Quelli che verranno indicati nei documenti rientranti nell'ambito dell'ENS.

Il Responsabile della Sicurezza sarà il segretario del Comitato di Sicurezza con le funzioni indicate nella sezione 3.5.1 della presente politica.

In conformità con il principio di “segregazione delle funzioni e dei compiti” sancito dall'art. 10 dell'ENS, il Responsabile della Sicurezza sarà una figura distinta dal Responsabile del Sistema.

8.2.4. Responsabile del Sistema

Le sue funzioni saranno le seguenti:

  • Sviluppare, operare e mantenere il sistema informativo durante tutto il suo ciclo di vita, incluse le sue specifiche, l'installazione e la verifica del suo corretto funzionamento.
  • Definire la topologia e la gestione del sistema informativo, stabilendo i criteri di utilizzo e i servizi disponibili in esso.
  • Assicurarsi che le misure di sicurezza siano adeguatamente integrate nel quadro generale di sicurezza.
  • Potere di proporre la sospensione del trattamento di una certa informazione o la prestazione di un determinato servizio se rileva gravi carenze di sicurezza che potrebbero influire sulla soddisfazione dei requisiti stabiliti.
  • Quelli che verranno indicati nei documenti rientranti nell'ambito dell'ENS.

8.2.5. Responsabile della Privacy

Le sue funzioni saranno le seguenti:

  • Coordinare tutti gli aspetti relativi all'adeguamento delle azioni di Homedoctor in materia di protezione dei dati personali.
  • Coordinare, insieme al Responsabile della Sicurezza, il rispetto dell'ENS per quanto riguarda la protezione dei dati personali.

8.3. Procedure di designazione

Il Responsabile della Sicurezza sarà nominato dal Comitato di Sicurezza. La nomina sarà rivista ogni 2 anni o quando il posto sarà vacante.

Allo stesso modo, gli altri incarichi indicati nella sezione precedente saranno designati dal Comitato di Sicurezza mediante verbale di riunione.

9. REVISIONE DELL'INFORMATIVA SULLA SICUREZZA

Sarà compito del Comitato di Sicurezza la revisione annuale di questa Informativa sulla Sicurezza e la proposta di revisione o mantenimento della stessa. L'Informativa sarà approvata dall'Alta Direzione e diffusa affinché ne siano a conoscenza tutte le parti interessate.

10. DATI PERSONALI

Homedoctor, nella prestazione del suo servizio, tratta dati personali particolarmente sensibili, sia perché fanno parte della storia clinica, sia per la speciale categoria degli stessi.

La documentazione relativa, a cui avranno accesso solo le persone autorizzate, raccoglie i registri di attività di trattamento dei dati interessati e i responsabili corrispondenti. Tutti i sistemi informativi di Homedoctor si adegueranno ai livelli di sicurezza richiesti dalla normativa per la natura e la finalità dei dati personali.

11. GESTIONE DEI RISCHI

Tutti i sistemi soggetti a questa Informativa dovranno effettuare un'analisi dei rischi, valutando le minacce e i rischi a cui sono esposti. Questa analisi sarà ripetuta:

  • Regolarmente, almeno una volta all'anno
  • Quando cambiano le informazioni gestite
  • Quando cambiano i servizi forniti
  • Quando si verifica un grave incidente di sicurezza
  • Quando vengono segnalate vulnerabilità gravi

Per l'armonizzazione delle analisi dei rischi, il Comitato di Sicurezza stabilirà una valutazione di riferimento per i diversi tipi di informazioni gestite e i diversi servizi prestati. Il Comitato di Sicurezza dinamizzerà la disponibilità di risorse per soddisfare le esigenze di sicurezza dei diversi sistemi, promuovendo investimenti di carattere orizzontale.

12. OBBLIGHI DEL PERSONALE

Tutti i membri di Homedoctor hanno l'obbligo di conoscere e rispettare questa Informativa sulla Sicurezza e la Normativa sulla Sicurezza, essendo responsabilità del Comitato di Sicurezza disporre i mezzi necessari affinché l'informazione giunga agli interessati.

Tutti i membri di Homedoctor parteciperanno a una sessione di sensibilizzazione in materia di sicurezza delle informazioni almeno una volta all'anno. Sarà istituito un programma di sensibilizzazione continua per tutti i membri di Homedoctor, in particolare i nuovi assunti.

Le persone con responsabilità nell'uso, nell'operazione o nell'amministrazione dei sistemi riceveranno formazione per la gestione sicura dei sistemi nella misura in cui ne abbiano bisogno per svolgere il proprio lavoro. La formazione sarà obbligatoria prima di assumere una responsabilità, sia che si tratti del loro primo incarico o di un cambiamento di ruolo o di responsabilità all'interno dello stesso.

13. TERZE PARTI

Quando Homedoctor fornisce servizi ad altre organizzazioni pubbliche o private o gestisce informazioni di altre organizzazioni pubbliche o private, queste saranno rese partecipi di questa Informativa sulla Sicurezza, verranno stabiliti canali per il reporting e il coordinamento dei rispettivi Comitati di Sicurezza e verranno stabilite procedure di azione per la reazione agli incidenti di sicurezza.

Quando Homedoctor utilizza servizi di terzi o cede informazioni a terzi, questi ultimi saranno resi partecipi di questa Informativa sulla Sicurezza e della Normativa sulla Sicurezza che riguarda tali servizi o informazioni. La suddetta terza parte sarà soggetta agli obblighi stabiliti in tale normativa, potendo sviluppare le proprie procedure operative per soddisfarla. Verranno stabiliti procedure specifiche per il reporting e la risoluzione degli incidenti. Sarà garantito che il personale di terzi sia adeguatamente consapevole in materia di sicurezza, almeno allo stesso livello di quello stabilito in questa Informativa.

Quando un aspetto dell'Informativa non può essere soddisfatto da una terza parte come richiesto nei paragrafi precedenti, sarà richiesto un rapporto del Responsabile della Sicurezza che precisi i rischi in cui si incorre e il modo di gestirli. Sarà richiesta l'approvazione di questo rapporto da parte dei responsabili delle informazioni e dei servizi interessati prima di procedere.

14. LEGISLAZIONE APPLICABILE

Di seguito sono elencate le leggi considerate applicabili al SGSI, insieme a una definizione dell'area responsabile di valutarne l'impatto sull'organizzazione.

Legge / RegolamentoResponsabilità
Legge 39/2015, del 1º ottobre, sul Procedimento Amministrativo Comune delle Pubbliche AmministrazioniResponsabile della Sicurezza
Legge 40/2015, del 1º ottobre, stabilisce e disciplina le basi del regime giuridico delle Pubbliche Amministrazioni, i principi del sistema di responsabilità delle Pubbliche Amministrazioni e del potere sanzionatorio, nonché l'organizzazione e il funzionamento dell'Amministrazione Generale dello Stato e del suo settore pubblico istituzionale per lo svolgimento delle sue attivitàResponsabile della Sicurezza
Regio Decreto 311/2022, del 3 maggio, che disciplina lo Schema Nazionale di Sicurezza.Responsabile della Sicurezza
Legge Organica 1/2015, del 30 marzo, che modifica la Legge Organica 10/1995, del 23 novembre, del Codice PenaleResponsabile della Sicurezza
Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali datiResponsabile della Sicurezza
Legge Organica 3/2018, del 5 dicembre, sulla Protezione dei Dati Personali e garanzia dei diritti digitaliResponsabile della Sicurezza
Legge 34/2002 sui Servizi della Società dell'Informazione (LSSI)Responsabile della Sicurezza
Legge 22/11, dell'11/11/1987, sulla Proprietà Intellettuale Responsabile della Sicurezza
Risoluzione del 13 ottobre 2016, della Segreteria di Stato per le Pubbliche Amministrazioni, con cui si approva l'Istruzione Tecnica di Sicurezza in conformità con lo Schema Nazionale di SicurezzaResponsabile della Sicurezza
Risoluzione del 13 aprile 2018, della Segreteria di Stato per la Funzione Pubblica, con cui si approva l'Istruzione Tecnica di Sicurezza per la Notifica degli Incidenti di SicurezzaResponsabile della Sicurezza
Risoluzione del 13 ottobre 2016, della Segreteria di Stato per le Pubbliche Amministrazioni, con cui si approva l'Istruzione Tecnica di Sicurezza in conformità con lo Schema Nazionale di SicurezzaResponsabile della Sicurezza

15. PROGRAMMA STRATEGICO DI SICUREZZA

Il Comitato di Sicurezza e Conformità identificherà, implementerà e valuterà le azioni necessarie per l'elaborazione di un Piano Strategico di Sicurezza (il “Piano”), in conformità con i principi e le linee guida definiti in questa Politica e svilupperà le norme, le metodologie e le procedure interne per assicurare l'adeguata implementazione del Piano da parte dell'Organizzazione.

Il Comitato di Sicurezza e Conformità vigilerà affinché in ogni momento sia garantito un livello di maturità dell'organizzazione in materia di sicurezza conforme ai più alti standard esistenti in ogni momento, tenendo conto del territorio e delle attività svolte dalla corrispondente società.

Da parte sua, il Comitato di Sicurezza e Conformità vigilerà, inoltre, sulla adeguata coordinazione delle pratiche e della gestione dei rischi nell'ambito della sicurezza dell'Organizzazione, nonché sul mantenimento di un adeguato livello di maturità.

16. SUPERVISIONE E CONTROLLO

Spetta al Comitato di Sicurezza e Compliance supervisionare il rispetto di quanto disposto nella presente Politica.

Quanto precede si intenderà, in ogni caso, senza pregiudizio delle responsabilità che spettano ad altri organi, aree, funzioni e direzioni dell'Organizzazione e, se del caso, agli organi di amministrazione e di direzione dell'Organizzazione.

Per verificare il rispetto di questa Politica si realizzeranno valutazioni e audit periodici con auditor interni o esterni.

Questa Politica è stata inizialmente approvata dal Comitato di Sicurezza e Conformità Normativa il 25 novembre 2024.


Versione 2 di Nov. 2024.

Utilizziamo i cookie per migliorare la tua esperienza di navigazione e offrirti contenuti personalizzati.
Se continui a navigare, accetti la nostra Informativa sulla Privacy e la nostra Informativa sui Cookie.