Pform Group, Ente di Formazione accreditato alla Regione Campania e alla Regione Calabria, Agenzia per il Lavoro accreditata al Ministero del Lavoro e delle Politiche Sociali, applica quanto previsto dalla Norma ISO/IEC 27001:2022. 

Con l’adozione dello schema di certificazione secondo la norma ISO 27001:2022, avente ad oggetto: “Progettazione ed erogazione di formazione professionale e finanziata, master e corsi di alta formazione, servizi di orientamento in ambito scolastico e professionale, formazione per la pubblica amministrazione. Servizi per il lavoro, servizi di ricerca e selezione del personale per la ricollocazione professionale” PformGroup ha inteso definire un Sistema di Gestione della Sicurezza delle Informazioni con l’obiettivo prioritario di tutelare gli interessi di quanti intervengono in maniera diretta o indiretta al ciclo dei processi dell’Azienda (Clienti, Organizzazione interna, Fornitori); l’Organizzazione, perseguendo una politica generale di crescita costante ma graduale ha definito un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI).

La scelta di procedere con un SGSI soprattutto legato al mondo dell’IT presente in Azienda, nasce dalla consapevolezza della criticità di dati e servizi gestiti, e dalla conseguente necessità di fornire un’ampia sicurezza delle informazioni trattate.

Tutto quanto definito rappresenta l’obiettivo prioritario della Politica di Sicurezza.

L’Organizzazione ritiene che la gestione in sicurezza delle informazioni trattate, ottenuta attraverso la creazione, lo sviluppo ed il mantenimento di un Sistema di Gestione organico e controllato e quindi attraverso un impegno costante in ogni fase del processo aziendale, sia la chiave per rispondere adeguatamente alle esigenze di quanti entrano in contatto a vario titolo con l’Azienda.

Obiettivo preminente è assicurare che il SGSI consenta un efficace ed efficiente trattamento delle informazioni garantendone con continuità la confidenzialità, la integrità e la disponibilità. In particolare, l’Organizzazione, attraverso la predisposizione di un SGSI intende garantire che relativamente alle informazioni trattate non possano verificarsi perdite di confidenzialità, di integrità e di disponibilità.

In altri termini:

  • L’accesso alle informazioni deve avvenire solo da chi è autorizzato;
  • Le informazioni devono mantenere la loro correttezza senza che siano modificate da chi non è autorizzato;
  • Le informazioni devono essere sempre disponibili quando occorrono e per chi è autorizzato al loro utilizzo.

Inoltre, il SGSI è realizzato con l’obiettivo di rispettare pienamente tutti gli obblighi di legge in materia di riservatezza delle informazioni, ed in particolare:

  • LGS 196/2003 Testo Unico sulla Privacy;
  • General Data Protection Regulation, regolamento Ue 27 aprile 2016 n. 2016/679/UE;
  • Legge 248/2000 Nuove norme di tutela del diritto d’autore;
  • Legge 547/1993 Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica;
  • L. 518/1992 Attuazione della direttiva 91/250/CEE relativa alla tutela giuridica dei programmi per l’elaboratore;
  • P.R. 513/1997 (Regolamento recante criteri e modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell’articolo 15, comma 2, della legge 15 marzo 1997, n. 59);
  • P.C.M. 28/02/1999 (Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell’articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513.).

 

Per garantire il perseguimento degli obiettivi individuati, l’Azienda ha definito i rischi, le minacce e le vulnerabilità; attribuendo quindi dei parametri numerici, ha calcolato il livello di rischio e successivamente le strategie e le modalità di gestione per abbatterlo o ridurlo.

A fondamento del SGSI, PFORM GROUP Srl  ha posto un requisito essenziale:

  • Il Management, nella convinzione che il Sistema rappresenta un imprescindibile elemento di garanzia nei confronti di quanti entrano in contatto con l’Organizzazione, appoggia pienamente e fattivamente il progetto, impegnandosi in modo diretto, continuo e permanente, anche con investimenti in risorse e infrastrutture per garantirne un corretto sviluppo.

 

Nel dettaglio, per il perseguimento degli obiettivi di progetto il Management ha quindi stabilito che:

  • Il personale aziendale interno ed esterno impiegato all’interno del Dominio di Applicazione deve essere sensibilizzato sull’importanza dell’SGSI, in modo da coinvolgerlo a pieno titolo nell’attuazione, nel mantenimento e nel miglioramento del SGSI. A tal proposito l’Organizzazione ha investito e continuerà ad investire in formazione ed addestramento, stabilendo adeguati ed opportuni Programmi di Formazione. Ovviamente tale “must” è da perseguire costantemente anche per il personale di nuova introduzione.
  • Il Sistema implementato va monitorato con estrema attenzione, al fine di una puntuale definizione delle eventuali contromisure da adottare in caso di attentati alla sicurezza delle informazioni aziendali. A tal proposito risulta istituita una formale procedura di segnalazione e gestione di incidenti della sicurezza, che prevede un sistema di escalation in funzione della gravità dei problemi rilevati.
  • Il Sistema implementato è corredato di un Piano di Continuità Operativa, sviluppato mediante una preventiva valutazione degli eventi che potrebbero determinare una interruzione dei processi aziendali ed adottando le necessarie procedure di emergenza. Lo stesso Piano è assoggettato a test operativi ed è manutenuto con continuità.
  • Il Sistema implementato è dotato di precise regole formalizzate e diffuse circa le modalità operative da adottare per la prevenzione da virus e malicious software (regole su utilizzo di software licenziato, installazione anti-virus, controllo periodico delle macchine, istruzione al personale sulla segnalazione di virus).

La presente Politica di Sicurezza è rivolta a tutti i collaboratori aziendali a qualunque titolo: dipendenti a tempo indeterminato o determinato (comprese le forme di collaborazione occasionali), consulenti, prestatori di servizi.

Le procedure definite per garantire una corretta applicazione di tutto il Sistema sono adeguatamente portate a conoscenza di tutto il personale, interno e/o esterno, che è tenuto a rispettare pienamente quanto in esse descritto. A tal proposito il Management ha anche redatto specifici Accordi di Riservatezza, nel rispetto delle disposizioni normative vigenti in materia di lavoro, richiedendone l’accettazione da parte di tutto il personale.

L’attuazione di quanto previsto nella presente politica è oggetto di specifiche definizioni contenute nei documenti prescrittivi del SGSI; questi sono strutturati secondo un livello documentale che prevede un Manuale della Sicurezza quale compendio di riferimento, che richiama espressamente tutta la documentazione realizzata: politiche per ambiti specifici, procedure operative, istruzioni di lavoro, documentazione di registrazione.

Le disposizioni operative previste nei documenti prescrittivi impongono l’estensione delle procedure di sicurezza, e quindi la loro applicazione, anche alle terze parti che entrano in contatto con l’Organizzazione, definendone gli ambiti contrattualmente. In tale ottica il SGSI contiene espresse previsioni in merito alla regolamentazione degli accessi ed ai criteri di affidamento di attività svolte da personale esterno.

Nel contempo, la Direzione ha puntualmente stabilito e reso noto a tutti i collaboratori (interni o esterni) il sistema sanzionatorio legato alla violazione della Politica di Sicurezza Aziendale.

Il SGSI è continuamente monitorato per valutarne l’efficacia attraverso strumenti di controllo e miglioramento, quali ad esempio audit interni, analisi dei report degli incidenti e dei costi relativi e analisi degli impatti a fronte di modifiche intervenute: al fine di garantire il continuo adeguamento agli standard stabiliti. In funzione dei review periodici il Management provvede a verificare la congruenza della presente politica generale ed eventualmente a revisionarla in funzione dei mutamenti sopravvenuti.

La presente Politica è comunicata all’interno dell’Organizzazione attraverso apposite riunioni o sessioni formative, aventi anche lo scopo di raccogliere le indicazioni dei collaboratori al fine di una piena condivisione di quanto stabilito.

Pform Group è inoltre certificata secondo le Norme: