Politica per la qualità

Politica per la qualità di Modus Consulting

Il presente documento è parte integrante del Manuale del Sistema di Gestione della Sicurezza dei Dati-Qualità di Modus Consulting.

La Politica Aziendale impone che, in coerenza con la missione aziendale, la gestione di tutti i processi aziendali sia impostata con le regole proprie dell'applicazione del Sistema di gestione Integrato (SGSD) secondo le norme ISO 9001:2015 e ISO/IEC 27001:2022 con estensioni ISO/IEC 27017:2015 e 27018:2019

Scopo e Obiettivi

Modus Consulting ha definito, divulgato e si impegna a mantenere attiva a tutti i livelli della propria organizzazione la presente politica per la Gestione della Qualità e della Sicurezza delle Informazioni il cui scopo è di garantire la massima soddisfazione del cliente nella fruizione dei nostri servizi e la  tutela e la protezione da tutte le minacce, interne o esterne, intenzionali o accidentali, delle informazioni nell’ambito delle nostre attività in accordo con le indicazioni fornite dallo standard ISO/IEC 27001 e dalle linee guida contenute nello standard ISO/IEC 27002 nelle loro ultime versioni.

Campo di applicazione

La presente politica si applica indistintamente a tutti gli organi e i livelli dell’Azienda.

L’attuazione della presente politica è obbligatoria per tutto il personale e deve essere inserita nella regolamentazione degli accordi con qualsiasi soggetto esterno che, a qualsiasi titolo, possa essere coinvolto con il trattamento di informazioni che rientrano nel campo di applicazione del Sistema di Gestione Integrato (SGSD).

Politica specifica della qualità

La Qualità rappresenta per Modus Consulting l’obiettivo e lo strumento per:

  • il soddisfacimento del Cliente
  • l’eccellenza dei risultati
  • la corretta analisi del contesto in cui opera l’azienda
  • la corretta valutazione dei rischi e delle opportunità
  • il rispetto, la tutela e la promozione della Sicurezza, dell’Ambiente e della Privacy
  • la minimizzazione degli sprechi in tempo, costi e altre risorse.

Modus Consulting intende perseguire questi obiettivi attraverso:

  • organizzazione, tesa a prevenire le non conformità
  • servizio, inteso come risposta rapida e professionale alle richieste del Cliente e con equilibrio tra Qualità ed efficienza
  • impegno al miglioramento continuo dell’efficacia del Sistema di Gestione della Qualità aziendale.

Gli obiettivi che si pone in ambito qualità sono:

  • ZERO NON CONFORMITA’ – Mantenere il livello qualitativo elevato nell’erogazione dei servizi nel rispetto preciso e puntuale delle specifiche sottoscritte contrattualmente con la clientela
  • FORMAZIONE CONTINUA DEL PERSONALE – Avere personale operante in azienda adeguatamente formato rispetto alle attività operative che dovrà svolgere, rispetto alle cogenze legislative (sicurezza, privacy, ecc.) e rispetto ai sistemi di gestione implementati in azienda.
  • LUOGHI DI LAVORO, ATTREZZATURE, MEZZI ED INFRASTRUTTURE MANUTENUTE – Gli asset aziendali devono essere correttamente catalogati, verificate le manutenzioni periodiche ed effettuate a scadenza.
  • LIVELLI DI SERVIZIO RISPETTATI – I Livelli di servizio impostati nei contratti devono essere rispettati e, se possibile, migliorati attraverso l’adozione di best practices aziendali.

Politica specifica della sicurezza delle informazioni

Il patrimonio informativo da tutelare è costituito dall’insieme delle informazioni gestite

attraverso i servizi forniti e localizzate in tutte le sedi dell’azienda.

È necessario assicurare:

  • la riservatezza delle informazioni: ovvero le informazioni devono essere accessibili solo da chi è autorizzato.
  • l’integrità delle informazioni: ovvero proteggere la precisione e la completezza delle informazioni e dei metodi per la loro elaborazione.
  • la disponibilità delle informazioni: ovvero che gli utenti autorizzati possano effettivamente accedere alle informazioni e ai beni collegati nel momento in cui lo richiedono.

La mancanza di adeguati livelli di sicurezza può comportare il danneggiamento dell’immagine aziendale, la mancata soddisfazione del cliente, il rischio di incorrere in sanzioni legate alla violazione delle normative vigenti nonché danni di natura economica e finanziaria.

Un adeguato livello di sicurezza è altresì basilare per la condivisione delle informazioni.

L’azienda identifica tutte le esigenze di sicurezza tramite l’analisi dei rischi che incombono sui propri asset aziendali che consente di acquisire idonea consapevolezza sul livello di esposizione a minacce. La valutazione del rischio permette di valutare le potenziali conseguenze e i danni che possono derivare dalla mancata applicazione di misure di sicurezza al sistema informativo e quale sia la realistica probabilità di attuazione delle minacce identificate.

I risultati di questa valutazione determinano le azioni necessarie per gestire i rischi individuati e le misure di sicurezza più idonee.

I Nostri principi della gestione della sicurezza delle informazioni abbracciano i seguenti aspetti:

Inventario degli asset sempre aggiornato

 Garantire un catalogo costantemente aggiornato degli asset aziendali rilevanti ai fini della gestione delle informazioni e per ciascuno deve essere individuato un responsabile. Le informazioni devono essere classificate in base al loro livello di criticità, in modo da essere gestite con livelli di riservatezza ed integrità coerenti ed appropriati.

Valutazione dei rischi dell’informazione sempre aggiornata

 La valutazione dei rischi delle informazioni viene aggiornata almeno una volta all’anno in occasione del riesame della direzione o nel caso si presentino eventi avversi o nel caso vi sia un adeguamento dell’inventario degli asset

Accesso sicuro ai sistemi

-Per garantire la sicurezza delle informazioni, ogni accesso ai sistemi deve essere sottoposto a una procedura d’identificazione e autenticazione. Le autorizzazioni di accesso alle informazioni devono essere differenziate in base al ruolo ed agli incarichi ricoperti dai singoli individui, in modo che ogni utente possa accedere alle sole informazioni di cui necessita, e devono essere periodicamente sottoposte a revisione.

Utilizzo sicuro dei beni aziendali

 Devono essere definite delle procedure per l’utilizzo sicuro dei beni aziendali e delle informazioni e dei loro sistemi di gestione.

Formazione continua del personale

 - Deve essere incoraggiata la piena consapevolezza delle problematiche relative alla sicurezza delle informazioni in tutto il personale (dipendenti e collaboratori) a partire dal momento della selezione e per tutta la durata del rapporto di lavoro.

Gestione tempestiva degli eventi avversi

 Per poter gestire in modo tempestivo gli incidenti, tutti devono notificare qualsiasi problema relativo alla sicurezza. Ogni incidente deve essere gestito come indicato nelle procedure.

Protezione fisica adeguata delle sedi aziendali

 È necessario prevenire l’accesso non autorizzato alle sedi e ai singoli locali aziendali dove sono gestite le informazioni e deve essere garantita la sicurezza delle apparecchiature.

Gestione della compliance contrattuale delle terze parti

 Deve essere assicurata la conformità con i requisiti legali e con i principi legati alla sicurezza delle informazioni nei contratti con le terze parti.

Simulazione del piano di continuità aziendale

 Deve essere predisposto un piano di continuità che permetta all’azienda di affrontare efficacemente un evento imprevisto, garantendo il ripristino dei servizi critici in tempi e con modalità che limitino le conseguenze negative sulla missione aziendale.

Sicurezza informatica by design

 Gli aspetti di sicurezza devono essere inclusi in tutte le fasi di progettazione, sviluppo, esercizio, manutenzione, assistenza e dismissione dei sistemi e dei servizi informatici.

Aggiornamento legislativo continuo

 Devono essere garantiti il rispetto delle disposizioni di legge, di statuti, regolamenti o obblighi contrattuali e di ogni requisito inerente la sicurezza delle informazioni, riducendo al minimo il rischio di sanzioni legali o amministrative, di perdite rilevanti o danni alla reputazione.

Penetration test periodici

Devono eseguiti penetration test periodici nelle infrastrutture e negli applicativi per valutare la resilienza dei sistemi ad attacchi esterni ed evincere eventuali vulnerabilità e consentirne il successivo fixing.

Responsabilità di osservanza e attuazione

L’osservanza e l’attuazione delle policy sono responsabilità di:

  • Tutto il personale che, a qualsiasi titolo, collabora con l’azienda ed è in qualche modo coinvolto con il trattamento di dati ed informazioni che rientrano nel campo di applicazione del Sistema di Gestione. Tutto il personale è altresì responsabile della segnalazione di tutte le anomalie e violazioni di cui dovesse venire a conoscenza.
  • Tutti i soggetti esterni che intrattengono rapporti e collaborano con l’azienda. Devono garantire il rispetto dei requisiti contenuti nella presente policy.

Il Responsabile del Sistema di Gestione che, nell’ambito del Sistema di Gestione e attraverso norme e procedure appropriate, deve:

  • condurre l’analisi dei rischi con le opportune metodologie e adottare tutte le misure per la gestione del rischio
  • stabilire tutte le norme necessarie alla conduzione sicura di tutte le attività aziendali
  • verificare le violazioni alla sicurezza e adottare le contromisure necessarie e controllare l’esposizione dell’azienda alle principali minacce e rischi
  • organizzare la formazione e promuovere la consapevolezza del personale per tutto ciò che concerne la sicurezza delle informazioni.
  • verificare periodicamente l’efficacia e l’efficienza del Sistema di Gestione.

Chiunque, dipendenti, consulenti e/o collaboratori esterni dell’Azienda, in modo intenzionale o riconducibile a negligenza, disattenda le regole di sicurezza stabilite e in tal modo provochi un danno all’azienda, potrà essere perseguito nelle opportune sedi e nel pieno rispetto dei vincoli di legge e contrattuali.

Riesame

La Direzione verificherà periodicamente e regolarmente o in concomitanza di cambiamenti significativi l’efficacia e l’efficienza del Sistema di Gestione, in modo da assicurare un supporto adeguato all’introduzione di tutte le migliorie necessarie e in modo da favorire l’attivazione di un processo continuo, con cui viene mantenuto il controllo e l’adeguamento della policy in risposta ai cambiamenti dell’ambiente aziendale, del business, delle condizioni legali.

Il Responsabile del Sistema di Gestione ha la responsabilità del riesame della politica.

Il riesame dovrà verificare lo stato delle azioni preventive e correttive e l’aderenza alla politica.

Dovrà tenere conto di tutti i cambiamenti che possono influenzare l’approccio della azienda alla gestione della qualità e della sicurezza delle informazioni, includendo i cambiamenti organizzativi, l’ambiente tecnico, la disponibilità di risorse, le condizioni legali, regolamentari o contrattuali e dei risultati dei precedenti riesami.

Il risultato del riesame dovrà includere tutte le decisioni e le azioni relative al miglioramento dell’approccio aziendale alla gestione della qualità e della sicurezza delle informazioni.

Impegno della direzione

La direzione sostiene attivamente la sicurezza delle informazioni in azienda tramite un chiaro indirizzo, un impegno evidente, degli incarichi espliciti e il riconoscimento delle responsabilità relative alla sicurezza delle informazioni.

L’impegno della direzione si attua tramite una struttura i cui compiti sono:

  • garantire che siano identificati tutti gli obiettivi relativi alla sicurezza delle informazioni e che questi incontrino i requisiti aziendali;
  • stabilire i ruoli aziendali e le responsabilità per lo sviluppo e il mantenimento del SGSD;
  • fornire risorse sufficienti alla pianificazione, implementazione, organizzazione, controllo, revisione, gestione e miglioramento continuo del SGSD;
  • controllare che il SGSD sia integrato in tutti i processi aziendali e che procedure e controlli siano sviluppati efficacemente;
  • approvare e sostenere tutte le iniziative volte al miglioramento della qualità e sicurezza delle informazioni;
  • attivare programmi per la diffusione della consapevolezza e della cultura della qualità e della sicurezza delle informazioni.