Sistema Sicurezza Informazioni

Premessa

HMS Consulting S.r.l. progetta ed eroga servizi di consulenza direzionale per le aziende del Servizio Sanitario Nazionale secondo il modello di riferimento della norma internazionale ISO/IEC 27001:2022, rispetto al quale la Direzione emana la seguente Politica aziendale per il Sistema di Sicurezza delle informazioni, corredata dagli obiettivi di gestione dei processi.


Politica per la Gestione della Sicurezza delle Informazioni

HMS Consulting S.r.l. ha come obiettivo primario la protezione dei dati, della struttura tecnologica, fisica, logica ed organizzativa, tale condizione potrà essere raggiunta, attraverso il rispetto dei seguenti principi:

a)       Riservatezza: assicurare che l’informazione sia accessibile solamente a coloro debitamente autorizzati ai processi;

b)       Integrità: salvaguardare la consistenza dell’informazione da modifiche non autorizzate;

c)       Disponibilità: assicurare che gli utenti autorizzati abbiano accesso alle informazioni e agli elementi architetturali associati quando ne fanno richiesta;

d)       Controllo: assicurare che la gestione dei dati avvenga sempre attraverso processi e strumenti sicuri e testati;

Nell’ambito della gestione dei servizi offerti, HMS Consulting attraverso la propria infrastruttura tecnologica, assicura:

a)       il rispetto delle normative vigenti e degli standard internazionali di sicurezza;

b)       la garanzia di aver selezionato partners affidabili in grado di garantire la massima aderenza agli standard internazionali di sicurezza al trattamento del proprio patrimonio informativo;

c)       la completa osservanza dei Livelli di Servizio stabiliti con i clienti;

d)       la soddisfazione del cliente ed elevati standard qualitativi;

Per questo motivo HMS Consulting S.r.l. ha sviluppato un sistema di gestione delle informazioni che rispetta i requisiti previsti dalla Norma ISO/IEC 27001:2022 e relative estensioni 27017, 27018 e dalle leggi vigenti al fine di gestire la sicurezza delle informazioni nell’ambito della propria attività e i requisiti previsti dalla normativa UNI EN ISO 9001:2015;

La politica per la sicurezza delle informazioni di HMS Consulting S.r.l. si applica a tutto il personale interno ed alle terze parti (es: fornitori di servizi, collaboratori, addetti alle manutenzioni) che collaborano con la nostra organizzazione alla gestione delle informazioni ed a tutti i processi e alle risorse coinvolte nei processi di progettazione, realizzazione, avviamento ed erogazione continuativa nell’ambito dei servizi.

L'azienda definisce, e con cadenza almeno annuale verifica, il contesto in cui opera, gli attori coinvolti, le opportunità e i possibili rischi impattanti sul proprio Sistema di Gestione per la Sicurezza delle Informazioni.

La politica della sicurezza delle informazioni di HMS Consulting S.r.l. rappresenta l’impegno dell’organizzazione nei confronti di clienti e terze parti a garantire la sicurezza delle informazioni, degli strumenti fisici, logici e organizzativi atti al trattamento delle informazioni in tutte le attività.

La politica della sicurezza delle informazioni di HMSC Consulting S.r.l. si ispira ai seguenti principi:

a) garantire il controllo degli accessi alle informazioni aziendali ed ai dati trattati;

b) stabilire la classificazione (e il trattamento) delle informazioni;

c) garantire la sicurezza fisica dei luoghi di lavoro e delle attrezzature in essi contenuti;

d) adottare politiche di gestione atte a massimizzare la sicurezza delle informazioni trattate quali ad esempio:

  • corretto uso degli asset aziendali;
  • favorire e stimolare buone pratiche inerenti la riservatezza delle informazioni (scrivania ordinata e modalità di archiviazione anonima delle informazioni su PC);
  • adeguato trasferimento delle informazioni;
  • uso regolamentato dei dispositivi mobili e telelavoro;
  • limitazioni all'installazione e all'utilizzo di software;
  • navigazione sicura verso i siti consentiti;

e) stabilire ed effettuare backup sulla base di regole indicate dalla direzione secondo logiche di pianificazione temporale (intervalli regolari);

f) stabilire procedure per il trasferimento di informazioni in modo protetto;

g) prevedere protezioni dai malware;

h) individuare, monitorare e gestire le vulnerabilità tecniche riscontrate;

i) prevedere, se necessario, controlli crittografici;

j) garantire la sicurezza delle comunicazioni;

k) rispettare le normative vigenti in ambito Privacy e protezione dei dati personali;

l) Intrattenere rapporti con i fornitori in ottica ISO/IEC 27001 e ISO 9001;

m) rispettare i requisiti di sicurezza dei servizi cloud commercializzati ai clienti in ottica ISO 27017;

n) rispettare la legislazione sulla protezione delle PII contenute nei servizi cloud commercializzati in ottica ISO 27018;


Montevarchi, 19/02/2024
Certificato ISO 27001 N_63956_240705_CQ.pdf
Legal and Privacy Policy Cookie policy