Il sito internet della CNI S.p.A. è un servizio online che mette a disposizione informazioni inerenti le caratteristiche aziendali, l'organizzazione e l'offerta della CNI S.p.A..

Dichiarazione Politica Aziendale per la Sicurezza

La DIREZIONE della CNI S.p.A. definisce la propria Politica come segue.
Essere competitivi significa puntare a differenziare le caratteristiche dei propri servizi attraverso una costante ricerca volta al miglioramento dei processi aziendali dai punti di vista della qualità, della gestione aziendale e della sicurezza delle informazioni, con particolare riferimento ai processi di definizione e sviluppo nell’erogazione tanto del prodotto che del servizio. L'obiettivo della Direzione risulta essere quello di individuare e valutare rischi e, in base alle risultanze di tale analisi, definire adeguate contromisure, processi e strumenti di controllo atti ad indirizzare gli sforzi di tutto il personale ad un'attenta gestione degli aspetti legati alla qualità del lavoro, all'impatto sull'ambiente e alla sicurezza delle informazioni trattate.
Si ritiene quindi necessaria una forte responsabilizzazione da parte di tutti a garantire la rigorosità del proprio operato per adempiere, con la massima attenzione, ai fattori indicati.
In particolare ciò va perseguito con:
  • rispetto delle leggi e normative vigenti;
  • efficienza operativa e ambientale dei processi;
  • ricerca prioritaria di sicurezza e affidabilità dei processi;
  • la continuità e l’efficienza dei processi organizzativi e operativi al fine di prevenire e ridurre al minimo l'impatto degli incidenti volontari o casuali;
  • la protezione e la disponibilità di ogni risorsa tecnica, umana e patrimoniale e la riservatezza, la correttezza e la disponibilità di tutti i dati gestiti dalla CNI per conto dei propri clienti e la proprietà intellettuale di CNI o affidati da CNI a terzi;
  • prevenzione delle non conformità, invece di eliminazione a posteriori o pura registrazione;
  • visione orientata al futuro del pianeta e alla necessità di ridurre drasticamente l’impatto ambientale.
Per tutto ciò la Direzione si impegna ad assumere un ruolo attivo nella promozione e guida di tutte le attività aventi influenza sulla qualità, sulla sicurezza e salute dei lavoratori, sull'impatto che l'azienda tutta può generare sull'ambiente che ci circonda e sugli aspetti legati alla sicurezza delle informazioni, attraverso la diffusione a tutti i livelli dei concetti qui esposti e la verifica dei risultati ottenuti.
In particolare, per la sicurezza delle informazioni, CNI stabilisce le responsabilità, le strategie, di seguito descritte.

Principi

Obiettivo primario è quello di garantire la riservatezza, l'integrità e la disponibilità dei dati gestiti da CNI per conto dei propri clienti nell’erogazione dei servizi di:
  • trattamento documentale
  • archiviazione
  • conservazione informatica
dove si intende per:
  • riservatezza la proprietà che le informazioni non siano rese disponibili o divulgate a persone o entità non autorizzate, garantita attraverso la definizione delle responsabilità interne per la gestione dei servizi e delle informazioni ad essi connesse, il controllo degli accessi fisici e logici agli archivi elettronici esclusivamente da parte di personale autorizzato e competente e cartacei e la definizione delle interfacce del cliente relativamente alla richiesta e alla consegna dei dati di proprietà del cliente stesso;
  • integrità la proprietà di salvaguardare l'accuratezza e la completezza delle informazioni e degli asset ad asset connessi, garantita attraverso il controllo degli accessi fisici e logici agli archivi elettronici e cartacei esclusivamente da parte di personale autorizzato e competente e la gestione dei back up dei dati e delle configurazioni dei sistemi informativi;
  • disponibilità la proprietà di essere accessibile e utilizzabile su richiesta da parte di soggetti autorizzati, garantita attraverso l’identificazione dei ruoli e delle funzioni, i diritti di accesso alle informazioni e agli asset aziendali per la gestione dei servizi e la definizione delle interfacce del cliente e delle modalità di gestione della richiesta e della consegna dei dati di proprietà del cliente stesso.
A tal fine, la CNI definisce le seguenti affermazioni riguardanti la sicurezza delle informazioni:

Analisi dei rischi

L'attività di analisi dei rischi svolta da CNI rispetto alla propria organizzazione, processi, infrastrutture, sistemi, processi, obiettivi è stata propedeutica all'identificazione ed implementazione delle contromisure e controlli da applicare ai servizi forniti al fine di assicurare la piena adeguatezza delle diverse componenti del sistema ai requisiti, vincoli ed obiettivi e la completa conformità rispetto agli aspetti legali, normativi, standard di riferimento.

Accettazione

Dipendenti, fornitori, partner, appaltatori e ogni altra terza parte deve accettare gli obblighi e le responsabilità di propria pertinenza, al fine di proteggere le informazioni, i beni e le risorse della CNI o affidate da CNI a terzi.

Accesso

L’accesso alle attività e alle risorse di CNI o affidate da CNI a terzi, nonché alle informazioni gestite da CNI per conto dei clienti, è autorizzato, controllato e monitorato sulla base dei seguenti criteri:
  • l'accesso è autorizzato solo per le informazioni necessarie (principio della conoscenza minima o necessità di sapere);
  • l'accesso è autorizzato solo per le informazioni relative alle attività specifiche (funzione di lavoro-correlati).
L'accesso ai locali della CNI è autorizzato controllato e monitorato in linea con la politica degli accessi fisici.

Assessment

CNI definisce la relazione tra:
  • i costi necessari per l'attuazione delle misure al fine di tutelare le informazioni, le attività e le risorse della CNI o affidate da CNI a terzi;
  • i rischi connessi con l'utilizzazione non autorizzata, con la modifica o la distruzione delle informazioni critiche.

Consapevolezza

La Direzione assicura che ogni dipendente, fornitore, imprenditore e terza parte è consapevole del proprio ruolo e dell’impatto delle proprie azioni sulla sicurezza delle informazioni della CNI.

Formazione

La Direzione assicua che ogni risorsa sia addestrata sulle politiche organizzative applicate e le procedure relative alla sicurezza delle informazioni.

Conformità a leggi e regolamenti obbligatori

I trattamenti delle informazione, delle attività, delle risorse e delle soluzioni inerenti la protezione delle informazioni della CNI o gestiti dalla CNI per conto dei propri clienti sono conformi alle leggi e ai regolamenti applicabili.

Protezione

Ogni attività e risorsa della CNI o affidata da CNI a terze parti, nonchè ogni informazione è protetta contro i problemi legati alla riservatezza, l'integrità e la disponibilità, in proporzione al loro valore e nel rispetto delle leggi vigenti.
In particolare, la criticità delle informazioni rispetto al sistema di conservazione è valutata prendendo in considerazione gli impatti che l'eventuale divulgazione impropria delle informazioni stesse può avere su (1) processi critici dell'organizzazione e in particolare sulle capacità di CNI di continuare l'erogazione del servizio ai propri clienti, (2) danni per il cliente, (3) posizione competitiva di CNI, (4) risultati economici e finanziari di CNI.
La classificazione delle informazioni (Information classification levels) che ne consegue è riportata in apposita proceduta del SGSI cui si rimanda (cfr. POI 4-01 - Gestione e Controllo della documentazione e delle registrazioni).

Responsabilità

Le responsabilità definite nel presente paragrafo sono generali e riguardano tutta l'organizzazione della CNI.
Specifiche responsabilità connesse al campo di applicazione di gestione per la sicurezza sono definiti nel piano di sicurezza della CNI (sede di Rutigliano). Ognuno deve:
  • proteggere la riservatezza, l'integrità e la disponibilità delle informazioni gestite da CNI, la proprietà intellettuale e il patrimonio della CNI o affidati da CNI a terze parti;
  • proteggere i beni materiali, i sistemi e le risorse della CNI o affidati da CNI a terze parti;
  • proteggere ogni informazione, attività e risorse di propria competenza;
  • contattare la Direzione, il Responsabile della Sicurezza e/o altre autorità competenti in caso di effettive o sospette violazioni della sicurezza;
  • contattare la Direzione e/o il Responsabile della Sicurezza nel caso si riscontri qualsiasi necessità di modifiche della politica di sicurezza, requisiti, standard e procedure.
Ogni responsabile di servizio deve:
  • essere in linea con la politica di sicurezza, requisiti, standard e/o procedure definiti;
  • individuare e definire i diritti di accesso delle risorse per le loro specifiche attività e responsabilità;
  • richiedere alle terze parti di essere formalmente in linea con gli accordi di riservatezza (accordo di riservatezza);
  • definire un livello accettabile di rischio a seguito della realizzazione di una valutazione del rischio.
Il Responsabile della Sicurezza deve:
  • implementare la sicurezza sulla base delle politiche di sicurezza della CNI;
  • garantire e monitorare il rispetto delle politiche di sicurezza, requisiti, norme e procedure definiti da CNI;
  • monitorare informazioni e risorse fisiche sotto la propria responsabilità, al fine di definire il livello di controllo adeguato da attuare perché il controllo di sicurezza ere sia adeguato al valore delle informazioni/asset da proteggere e nel rispetto delle leggi e regolamenti obbligatori;
  • garantire che le risorse CNI e i terzi siano formati e informati circa la politica, i requisiti, standard e/o procedure;
  • realizzare un Piano di Sicurezza (cfr. Piano di Sicurezza della CNI S.p.A.) contenente gli aspetti di cui sopra e i seguenti contenuti:
    • la sicurezza organizzativa;
    • le attività di sicurezza;
    • la sicurezza personale;
    • la sicurezza fisica e ambientale;
    • la comunicazione e la gestione operativa;
    • il controllo degli accessi;
    • i sistemi di acquisizione, sviluppo e gestione;
    • la gestione degli incidenti di sicurezza;
    • la gestione della continuità operativa;
    • la conformità legislativa.
  • organizzare le attività relative alla gestione delle crisi, la pianificazione del disaster recovery e la pianificazione del ripristino delle attività in conformità ai requisiti definiti dalla CNI.
Le risorse umane hanno le seguenti responsabilità:
  • il rispetto dei requisiti di legge italiana (D. Lgs 196/2003);
  • rendere le risorse consapevoli delle conseguenze in caso di mancato rispetto della politica di sicurezza.
Il Responsabile del Servizio di Prevenzione e Protezione ha la seguente responsabilità:
  • garantire l'applicazione del "Testo Unico in materia di Tutela della Salute e della Sicurezza Nei Luoghi di Lavoro" (D. Lgs. n. 81/2008) in CNI, al fine di garantire la sicurezza dei dipendenti CNI.
Le terze parti che collaborano con CNI devono:
  • essere formalmente in linea con i controlli di sicurezza stabiliti dalla CNI, nel rispetto dei requisiti contrattuali;
  • proteggere le risorse e le informazioni fisiche e intellettuali a cui possono accedere.
Il punto di partenza per la realizzazione di queste politiche è stato individuato nel perseguimento dei seguenti obiettivi:
  • monitorare costantemente nel tempo del Sistema di Gestione Integrato secondo gli standard UNI EN ISO 9001:2008, UNI EN ISO 14001:2004 e UNI EN ISO 27001:2014;
  • adeguare il Sistema di Gestione della Sicurezza delle Informazioni al nuovo standard UNI EN ISO 27001:2014;
  • ottenere la cerfificazione AGID per l'archiviazione informatica;
  • assicurare il rispetto dei requisiti qualitativi, quantitativi, temporali, di sicurezza nel lavoro, di sicurezza delle informazioni oltre che di rapporto qualità/prezzo, in conformità ai requisiti specificati e alle normative applicabili;
  • mantenere costantemente monitorato il grado di conformità del sistema alle norme e leggi di riferimento;
  • promuovere e implementare programmi di addestramento/formazione del personale a tutti i livelli al fine di ottimizzare il processo di consapevolezza e di crescita delle risorse umane, considerate come risorse critiche per lo sviluppo aziendale degli anni a venire.
La Direzione è conscia delle responsabilità che derivano dall’assunzione di tale impegno ed esorta tutto il personale dipendente al rispetto di tale politica operando affinché sia garantita, sempre e comunque la SODDISFAZIONE DEL CLIENTE.

La presente politica di sicurezza è definita/aggiornata, divulgata e riesaminata ogni qualvolta
si verifichi uno dei seguenti casi :
  • incidenti di sicurezza,
  • variazioni tecnologiche significative,
  • modifiche dell'architettura informatica,
  • aggiornamenti delle prescrizioni normative,
  • risultati delle eventuali attività di audit interni,
e comunque almeno una volta all'anno.

Termini di utilizzo del sito web CNI S.p.A.

I contenuti delle pagine web sono stati realizzati con risorse interne aziendali con eventuale uso di immagini di pubblico dominio. Nel caso in cui la CNI dovesse ricevere una segnalazione di pubblicazione di immagini riservate, previa formale comunicazione, tali immagini saranno prontamente rimosse.
I contenuti delle pagine del sito web CNI non possono, né totalmente né in parte, essere copiati, riprodotti, trasferiti, caricati, pubblicati o distribuiti in qualsiasi modo senza il preventivo consenso scritto di CNI S.p.A. fatta salva la possibilità di immagazzinarli nel proprio computer o di stampare estratti delle pagine di questo Sito unicamente per utilizzo personale.

Limiti di responsabilità

I contenuti presenti nelle pagine del sito web di CNI sono state realizzate in buona fede e con le informazioni disponibili alla data di realizzo.
Chiunque sia interessato ad acquistare i servizi offerti dalla CNI deve accertarsi dei relativi contenuti e qualità del servizio mediante rapporto diretto con i funzionari commerciali della CNI e non deve basarsi esclusivamente a quanto illustrato nel sito web aziendale.
La CNI non si ritiene responsabile per qualsiasi danno diretto o indiretto, causato dall'utilizzo del sito web aziendale.
Le informazioni e i relativi servizi offerti possono essere modificati senza preavviso.
La CNI verifica che nelle pagine web realizzate non sia presente codice malevolo per i visitatori.
Chiunque consulti le pagine web del sito CNI deve comunque assumersi la responsabilità di proteggere i propri computer da virus o codice malevolo.

Ultimo aggioramento 15/01/2018
CNI S.p.A. |Via delle Strelitzie,n° 35-00134 ROMA-località Santa Palomba|Tel. +39.06.7130541|networking@cnispa.it|P.IVA 02115331007|Cap. soc. € 1.549,500,00 i.v.|POLITICA DI SICUREZZA