Menù Chi Siamo
Il SGSI
- Dettagli
- Visite: 18540
Lo Standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza delle Informazioni. In quest’ottica la BU ICT del San Raffaele S.p.A. si è impegnata attivamente nell’introduzione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) secondo lo standard internazionale ISO/IEC 27001:2005
Obiettivo principale del SGSI è l’erogazione di servizi in grado di soddisfare i bisogni degli utenti proteggendo gli asset informativi e migliorandone i processi di sicurezza attraverso un continuo monitoraggio della compliance alle procedure di Sicurezza.
Il SGSI è progettato al fine di pianificare, mettere in opera, utilizzare, monitorare e migliorare (Plan-Do-Check-Act) un sistema documentato per la gestione della sicurezza delle informazioni, all’interno di un contesto di rischi relativi alla BU ICT del San Raffaele S.p.A.
Il SGSI del San Raffaele S.p.A. è strutturato in quattro macro-aree documentali:
- Documenti direttivi
- Documenti operativi
- Documenti di gestione del Rischio
- Documenti di registrazione
La documentazione direttiva del SGSI è rappresentata da:
- Politica per la Sicurezza delle Informazioni
- Campo di Applicazione del SGSI
La Politica per la Sicurezza delle Informazioni definisce gli indirizzi ed il supporto offerto dalla Direzione per la sicurezza delle informazioni in conformità ai requisiti del business ed al cogente pertinente:
- Responsabilità degli amministratori (231/01)
- Tutela della Privacy (196/03)
- Nomina degli Amministratori di Sistema (provvedimento del garante del 27 novembre 2008)
- Sicurezza negli ambienti di lavoro 626/94 – (TU 81/2008)
- Protezione del diritto d’autore e di altri diritti connessi al suo esercizio (Legge 633/41 e Decreto Legislativo n. 518 del 29/12/1992)
Il Campo di Applicazione del SGSI fornisce una macro descrizione dei processi, dei dati, delle informazioni e delle infrastrutture che devono soddisfare i requisiti della Normativa ISO/IEC 27001:2005 in quanto soggetti a certificazione.
La documentazione operativa comprende le Procedure Operative interne alla BU ICT. Obiettivo delle procedure operative è fornire agli utenti della BU ICT del San Raffaele S.p.A. uno strumento che permetta loro di svolgere quelle che sono le attività considerate critiche per il business del San Raffaele S.p.A., in modo organizzato e soprattutto in modo da garantire l’efficacia e l’efficienza dei processi indicati.
La documentazione di Gestione del Rischio costituisce un’area molto importante del SGSI. Tale documentazione descrive nel dettaglio, i vari passi seguiti dalla BU ICT del San Raffaele S.p.A. per:
- identificare il rischio
- analizzare e ponderare il rischio
- identificare e ponderare le opzioni per il trattamento dei rischi
- gestire il rischio
Un documento particolarmente significativo all’interno del processo di gestione del rischio è la Dichiarazione di Applicabilità (SoA).
Il SoA fornisce infatti un sommario delle decisioni riguardanti il trattamento del rischio.
Nel SoA di San Raffaele S.p.A. sono elencati:
- i singoli controlli previsti dall’Annex A (allegato della Norma ISO/IEC 27001:2005)
- i controlli effettivamente attuati nella BU ICT di San Raffaele S.p.A. con l’indicazione della motivazione della loro applicazione
- la motivazione per la mancata attuazione di controlli previsti dall’Annex A, all’interno della BU ICT di San Raffaele S.p.A.
Per ciascun controllo applicabile nella BU ICT di San Raffaele S.p.A. è inoltre riportato, nel Piano di Trattamento del Rischio, il documento di riferimento del SGSI al fine di avere una visione completa della documentazione del SGSI di San Raffaele S.p.A.
I documenti di Registrazione, hanno l’obiettivo di assicurare che tutte le azioni intraprese per la gestione della sicurezza delle informazioni siano tracciabili a fronte delle decisioni della Direzione e delle politiche aziendali e hanno l’obiettivo di assicurare che i risultati registrati siano successivamente riproducibili.