Politica del sistema di gestione integrato

La missione aziendale di SIA è quella di fornire ai propri clienti delle soluzioni IT e per la firma digitale e collaborare al loro sviluppo. La direzione dell'azienda ha creato e implementato un Sistema di Gestione Integrato (SGI), che viene sottoposto a un processo di continuo miglioramento, in conformità con il Sistema di gestione della sicurezza delle informazioni (ISO/IEC 27001), il sistema di gestione ambientale (ISO/IEC 14001), il sistema di gestione della qualità (ISO/IEC 9001), il sistema di gestione per la continuità operativa (ISO/IEC 22301), il sistema di gestione per le tecnologie IT (ISO/IEC 20000) e la normativa applicabile al "Esquema Nacional de Seguridad e alla protezione dei dati personali, così come la normativa in materia elDAS applicabile in tutte le entità che forniscono servizi fiduciari in ambito firma digitale (Trusted Service Provider), come nel caso del SIACERT.

La presente Politica funge da quadro di azione unico il cui obiettivo è far coincidere i singoli requisiti del SGI con l'impegno della Direzione relativamente alla messa a disposizione delle risorse necessarie per la loro implementazione e il loro miglioramento continuo.

La Direzione di SIA nomina il Comitato del sistema integrato di gestione che rappresenta l'organismo responsabile per la sua revisione, osservanza e divulgazione. Nel documento “Ruoli, responsabilità e autorità” sono definiti il quadro organizzativo, la struttura, i membri, i ruoli, le responsabilità e le autorità pertinenti per garantire la conformità, l'adeguatezza e il corretto funzionamento del SGI, nel rispetto della presente politica, oltre alla procedura per le loro nomine e il rinnovo degli incarichi.

La presente politica verrà comunicata e divulgata e dovrà essere osservata da tutto il personale dell'organizzazione e dalle terze parti interessate, (clienti, appaltatori, fornitori,...) che forniscano servizi in condivisione con SIA o che abbiano accesso a informazioni interne dell'azienda, che saranno tenuti al rispetto dei suoi contenuti per quanto riguarda il rispettivo ambito di responsabilità.

La mancata osservanza della stessa, potrà avere come conseguenza l'applicazione delle misure disciplinari del caso e di eventuali sanzioni di carattere legale.

Questa politica si articola e integra in un insieme di norme, linee guida e procedure che affrontano degli aspetti specifici. La presenta documentazione, così come il resto dei documenti che compongono il SGI (procedure, registrazioni, report, attestazioni e prove, programmi,...) vengono mantenuti aggiornati alle versioni più recenti approvate, tramite un sistema di gestione documentale che sfrutta l'intranet aziendale, accessibile a tutti i dipendenti e alle parti coinvolte in base alla classificazione utilizzata e alle esigenze a livello di conoscenza dei singoli gruppi o individui. Le linee guida per la strutturazione, gestione e per l'accesso a questa documentazione sono contenute nel documento "Controllo e gestione documentale SGI".

La Direzione di SIA si assume come impegno, il raggiungimento dei seguenti obiettivi strategici:

1. Implementare un sistema di gestione documentata e misurabile, atto a garantire il miglioramento continuo dei processi, delle procedure, dei prodotti e dei servizi, per offrire delle prestazioni in grado di soddisfare i requisiti dei singoli clienti.
2. Definire le funzioni e le responsabilità necessarie per il corretto funzionamento del SGI, in base alle procedure corrispondenti, a seconda dei casi. Elaborare un sistema di gestione del personale, creando dei programmi di formazione e sensibilizzazione atti a garantire il livello di formazione, le competenze e una conoscenza del SGI adeguate, in base alle mansioni svolte.
3. Osservare la legislazione vigente in materia, in modo particolare quella legata alle forniture di servizi alla cittadinanza da parte degli Enti pubblici e al trattamento dei dati di tipo personale che riguardano l'azienda. All'interno del sistema di gestione documentale gestito via intranet si manterrà la versione aggiornata del relativo documento di sicurezza, contenente gli archivi e trattamenti in questione, i relativi responsabili e le misure di sicurezza applicabili che dovranno essere adottate e verificate periodicamente, a seconda della natura, della finalità e del tipo di trattamento dei dati personali.
4. Analizzare e gestire i rischi a cui è esposta l'azienda, utilizzando metodologie riconosciute internazionalmente.
5. Instaurare un meccanismo di misurazione e verifica continue per preservare dei livelli adeguati di integrità, riservatezza, disponibilità, tracciabilità e autenticazione delle relative informazioni proprietarie e dei fornitori o clienti, oltre a quella dei sistemi e del personale che le gestiscono.
6. Prevenire gli incidenti e pianificare delle reazioni efficaci insieme a un'analisi degli stessi, in caso di evento, oltre a vigilare per garantire la continuità delle attività operative aziendali critiche nel caso di incidenti.
7. Focalizzare sul cliente tutte le attività dell'azienda e dei suoi fornitori, soddisfacendo i requisiti, espliciti e impliciti, dei termini e delle condizioni concordate.
8. Soddisfare i livelli di servizio richiesti relativamente ai servizi IT forniti dall'azienda ai propri clienti ed esigere lo stesso ai propri fornitori, per poter certificare e garantire la qualità, la soddisfazione e la cooperazione in maniera reciproca.
9. Contribuire alla prevenzione dell'inquinamento e istituire una gestione corretta dei rifiuti ambientali, generati sia internamente che tramite i nostri fornitori.
10. Garantire la continuità operativa in caso di incidenti catastrofici.
11. Offrire il servizio di firma digitale conformemente agli standard ETSI e alle normative legali applicabili per i TSP.

La politica entrerà in vigore a partire dalla data di approvazione da parte della direzione di SIA, annullando contestualmente la versione anteriore, e verrà verificata annualmente.