Premessa
HMS Consulting S.r.l. progetta ed eroga servizi di consulenza direzionale per le aziende del Servizio Sanitario Nazionale secondo il modello di riferimento della norma internazionale ISO/IEC 27001:2022, rispetto al quale la Direzione emana la seguente Politica aziendale per il Sistema di Sicurezza delle informazioni, corredata dagli obiettivi di gestione dei processi.
HMS Consulting S.r.l. ha come obiettivo primario la protezione dei dati, della struttura tecnologica, fisica, logica ed organizzativa, tale condizione potrà essere raggiunta, attraverso il rispetto dei seguenti principi:
a) Riservatezza: assicurare che l’informazione sia accessibile solamente a coloro debitamente autorizzati ai processi;
b) Integrità: salvaguardare la consistenza dell’informazione da modifiche non autorizzate;
c) Disponibilità: assicurare che gli utenti autorizzati abbiano accesso alle informazioni e agli elementi architetturali associati quando ne fanno richiesta;
d) Controllo:
assicurare che la gestione dei dati avvenga sempre attraverso processi e
strumenti sicuri e testati;
Nell’ambito
della gestione dei servizi offerti, HMS Consulting attraverso la propria
infrastruttura tecnologica, assicura:
a) il rispetto delle normative vigenti e degli standard internazionali di sicurezza;
b) la garanzia di aver selezionato partners affidabili in grado di garantire la massima aderenza agli standard internazionali di sicurezza al trattamento del proprio patrimonio informativo;
c) la completa osservanza dei Livelli di Servizio stabiliti con i clienti;
d) la soddisfazione del cliente ed elevati standard qualitativi;
Per questo motivo HMS Consulting S.r.l. ha sviluppato un sistema di gestione delle informazioni che rispetta i requisiti previsti dalla Norma ISO/IEC 27001:2022 e relative estensioni 27017, 27018 e dalle leggi vigenti al fine di gestire la sicurezza delle informazioni nell’ambito della propria attività e i requisiti previsti dalla normativa UNI EN ISO 9001:2015;
La politica per la sicurezza delle informazioni di HMS Consulting S.r.l. si applica a tutto il personale interno ed alle terze parti (es: fornitori di servizi, collaboratori, addetti alle manutenzioni) che collaborano con la nostra organizzazione alla gestione delle informazioni ed a tutti i processi e alle risorse coinvolte nei processi di progettazione, realizzazione, avviamento ed erogazione continuativa nell’ambito dei servizi.
L'azienda definisce, e con cadenza almeno annuale verifica, il contesto in cui opera, gli attori coinvolti, le opportunità e i possibili rischi impattanti sul proprio Sistema di Gestione per la Sicurezza delle Informazioni.
La politica della sicurezza delle informazioni di HMS Consulting S.r.l. rappresenta l’impegno dell’organizzazione nei confronti di clienti e terze parti a garantire la sicurezza delle informazioni, degli strumenti fisici, logici e organizzativi atti al trattamento delle informazioni in tutte le attività.
La politica della sicurezza delle informazioni di HMSC Consulting S.r.l. si ispira ai seguenti principi:
a) garantire il controllo degli accessi alle informazioni aziendali ed ai dati trattati;
b) stabilire la classificazione (e il trattamento) delle informazioni;
c) garantire la sicurezza fisica dei luoghi di lavoro e delle attrezzature in essi contenuti;
d) adottare politiche di gestione atte a massimizzare la sicurezza delle informazioni trattate quali ad esempio:
e) stabilire ed effettuare backup sulla base di regole indicate dalla direzione secondo logiche di pianificazione temporale (intervalli regolari);
f) stabilire procedure per il trasferimento di informazioni in modo protetto;
g) prevedere protezioni dai malware;
h) individuare, monitorare e gestire le vulnerabilità tecniche riscontrate;
i) prevedere, se necessario, controlli crittografici;
j) garantire la sicurezza delle comunicazioni;
k) rispettare le normative vigenti in ambito Privacy e protezione dei dati personali;
l) Intrattenere rapporti con i fornitori in ottica ISO/IEC 27001 e ISO 9001;
m) rispettare i requisiti di sicurezza dei servizi cloud commercializzati ai clienti in ottica ISO 27017;
n) rispettare la legislazione sulla protezione delle PII contenute nei servizi cloud commercializzati in ottica ISO 27018;Montevarchi, 19/02/2024