Accedi
Supporto

Certificazione ISO-27001

POL Politica del sistema di gestione
Nome della società 2000Net S.R.L.
Data di entrata in vigore 05/09/2025
Classificazione Pubblico

Storia della versione

Versione Data Descrizione Autore Approvato da
1 05/09/2025 — N/D — Bruna Macchi Massimiliano Bagnara

Scopo

L'organizzazione promuove politiche produttive/di erogazione del servizio che contemplino le esigenze di sviluppo economico e di creazione di valore, proprie delle attività di impresa ad esso riconducibili, con le esigenze di rispetto e salvaguardia dell'ambiente e della responsabilità sociale e della sicurezza delle informazioni e dei dati. Si impegna inoltre a rispettare la normativa vigente incoraggiando la diffusione di una cultura del rispetto dei principi legali.

Campo di Applicazione

Questo documento definisce la politica generale per il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) di 2000Net S.R.L. Stabilisce l'impegno del Top Management e i principi fondamentali per la protezione degli asset informativi, in conformità con lo standard ISO/IEC 27001. La politica si applica a tutti i processi, le risorse e il personale dell'azienda, fornendo il quadro di riferimento per garantire la resilienza, l'integrità e la disponibilità dei servizi erogati.

Riferimenti Normativi

  • ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
  • Regolamento (UE) 2016/679 (GDPR) — Regolamento Generale sulla Protezione dei Dati.
  • D.Lgs. 196/2003 e s.m.i. — Codice in materia di protezione dei dati personali.

Termini e Definizioni

  • Sicurezza delle informazioni — Preservazione della riservatezza, integrità e disponibilità delle informazioni.
  • Miglioramento continuo — Attività ricorrente per accrescere le prestazioni.
  • Rischio — Effetto dell'incertezza sugli obiettivi.

Ruoli e Responsabilità

  • Top Management (Direzione) — Definisce e sostiene la presente politica, impegnandosi a perseguire i principi fondamentali in essa contenuti e a migliorare continuamente l'efficacia del Sistema di Gestione della Sicurezza delle Informazioni.
  • Responsabile del sistema di gestione — Assicura che la presente politica sia mantenuta, comunicata, compresa e applicata all'interno dell'organizzazione, supervisionando l'implementazione e la manutenzione del Sistema di Gestione della Sicurezza delle Informazioni in conformità con la norma ISO/IEC 27001.

Impegno e obiettivi del sistema di gestione

Il Top Management di 2000Net S.R.L., in linea con la propria missione di partner tecnologico di fiducia per la comunicazione digitale e la trasformazione digitale di aziende e pubbliche amministrazioni, istituisce e sostiene la presente Politica del Sistema di Gestione. Questa politica è il quadro di riferimento per la protezione degli asset informativi e per garantire la resilienza, l'integrità e la disponibilità dei servizi erogati, in conformità con lo standard ISO/IEC 27001.

La Direzione si impegna a perseguire i seguenti principi fondamentali:

  • Definizione degli Obiettivi di Sicurezza — La presente politica fornisce il quadro di riferimento per la definizione e il riesame periodico degli obiettivi per la sicurezza delle informazioni. Tali obiettivi sono allineati alle strategie aziendali, alle analisi del contesto, ai requisiti delle parti interessate e sono gestiti conformemente alla procedura "PRO Obiettivi e pianificazione per il loro raggiungimento".
  • Soddisfacimento dei Requisiti Applicabili — 2000Net S.R.L. si impegna a rispettare tutti i requisiti legali, normativi e contrattuali applicabili in materia di sicurezza delle informazioni. Tale impegno è integrato in tutti i processi aziendali, dalla progettazione dei servizi alla loro erogazione e manutenzione.
  • Miglioramento Continuo — Il Top Management si impegna a migliorare in modo continuo l'idoneità, l'adeguatezza e l'efficacia del Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Questo impegno si attua attraverso il monitoraggio delle prestazioni, l'esecuzione di audit interni e la conduzione del riesame della direzione, come definito nelle procedure "PRO Gestione audit interni" e "PRO Gestione riesame della direzione".
  • Assegnazione di Ruoli e Responsabilità — La sicurezza delle informazioni è una responsabilità condivisa che coinvolge tutto il personale. Il Top Management assicura che i ruoli e le responsabilità in materia di sicurezza siano definiti, assegnati e comunicati in tutta l'organizzazione, come formalizzato nel "MOD Mansionario" e nella "POL Politica dei ruoli e delle responsabilità in materia di sicurezza delle informazioni".
  • Gestione Basata sul Rischio — L'approccio alla sicurezza delle informazioni è basato su una valutazione continua dei rischi, al fine di identificare le minacce, valutare i potenziali impatti e implementare controlli proporzionati per il loro trattamento, secondo quanto stabilito nella "PRO Procedura di gestione dei rischi".

Il Responsabile del sistema di gestione ha la responsabilità di assicurare che la presente politica sia mantenuta come informazione documentata, in accordo con la "PRO Procedura di gestione delle informazioni documentate", e che sia comunicata, compresa e applicata a tutti i livelli dell'organizzazione. La politica è resa disponibile alle parti interessate esterne, ove appropriato, per dimostrare l'impegno di 2000Net S.R.L. nella protezione delle informazioni e nel mantenimento della fiducia di clienti e partner.

Archiviazione e Aggiornamenti

Il presente documento è gestito in forma controllata, archiviato secondo le procedure interne e sottoposto a riesame periodico, e comunque ogni qualvolta se ne ravvisi la necessità, al fine di garantirne la continua idoneità, adeguatezza ed efficacia.

Documenti di Riferimento

  • MOD Mansionario
  • PRO Obiettivi e pianificazione per il loro raggiungimento
  • PRO Gestione audit interni
  • PRO Gestione riesame della direzione
  • POL Politica dei ruoli e delle responsabilità in materia di sicurezza delle informazioni
  • PRO Procedura di gestione dei rischi
  • PRO Procedura di gestione delle informazioni documentate
2000Net S.R.L. — Documento Pubblico — Versione 1 — 05/09/2025
POL Politica di sicurezza delle informazioni
Nome della società 2000Net S.R.L.
Data di entrata in vigore 05/09/2025
Classificazione Pubblico

Storia della versione

Versione Data Descrizione Autore Approvato da
1 05/09/2025 — N/D — Bruna Macchi Massimiliano Bagnara

Scopo

Lo scopo della presente politica è dichiarare e comunicare l'impegno del Top Management verso la protezione degli asset informativi dell'organizzazione. Questo documento definisce il quadro di riferimento per istituire, attuare, mantenere e migliorare continuamente il Sistema di Gestione della Sicurezza delle Informazioni (SGSI), al fine di proteggere la riservatezza, l'integrità e la disponibilità delle informazioni e di supportare gli obiettivi strategici aziendali.

Campo di applicazione

La presente politica definisce i principi e gli obiettivi strategici per la gestione della sicurezza delle informazioni all'interno di 2000Net S.R.L. Il suo scopo è proteggere gli asset informativi aziendali e quelli dei clienti, garantendo la riservatezza, l'integrità e la disponibilità delle informazioni. Questo documento si applica a tutto il personale, ai collaboratori esterni e a tutti i processi e sistemi informativi gestiti dall'azienda, costituendo il quadro di riferimento per il Sistema di Gestione della Sicurezza delle Informazioni (SGSI).

Riferimenti normativi

  • ISO/IEC 27001:2022 — Tecnologia dell'informazione – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti.
  • ISO/IEC 27002:2022 — Sicurezza delle informazioni, cybersecurity e protezione della privacy – Controlli di sicurezza delle informazioni.
  • Regolamento (UE) 2016/679 (GDPR) — Relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Termini e definizioni

  • Asset — Qualsiasi cosa che abbia valore per l'organizzazione.
  • Riservatezza — La proprietà che le informazioni non siano rese disponibili o divulgate a persone, entità o processi non autorizzati.
  • Integrità — La proprietà di accuratezza e completezza.
  • Disponibilità — La proprietà di essere accessibile e utilizzabile su richiesta da un'entità autorizzata.
  • Evento di sicurezza delle informazioni — Un'occorrenza identificata di uno stato di un sistema, servizio o rete che indica una possibile violazione della politica di sicurezza delle informazioni o un fallimento dei controlli, o una situazione precedentemente sconosciuta che può essere rilevante per la sicurezza.
  • Sistema di Gestione della Sicurezza delle Informazioni (SGSI) — Parte del sistema di gestione complessivo, basato su un approccio al rischio aziendale, per stabilire, implementare, operare, monitorare, riesaminare, mantenere e migliorare la sicurezza delle informazioni.

Ruoli e responsabilità

  • Coordinatore Tecnico — Approva la politica di sicurezza, gli obiettivi specifici e assicura la fornitura e configurazione degli strumenti tecnici per la sicurezza.
  • Coordinatore Commerciale Amministrativo — Approva la politica di sicurezza e i relativi obiettivi specifici.
  • Responsabile del sistema di gestione — Mantiene, riesamina e comunica la politica di sicurezza, monitora il raggiungimento degli obiettivi, supervisiona le autorizzazioni di accesso e gestisce la segnalazione degli incidenti.
  • Responsabile Tecnico Sistemista e Sviluppo VIS — Implementa e verifica le configurazioni di sicurezza a livello tecnico, come la protezione delle postazioni di lavoro.

Obiettivi di sicurezza delle informazioni

2000Net S.R.L. si impegna a proteggere i propri asset informativi e quelli dei suoi clienti, garantendo la riservatezza, l'integrità e la disponibilità delle informazioni. Il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) è lo strumento strategico per il conseguimento di tale impegno.

Gli obiettivi strategici di sicurezza delle informazioni sono:

  • Protezione degli asset informativi — Assicurare che tutte le informazioni, sia aziendali che affidate da clienti e partner, siano protette da accessi, modifiche, divulgazioni o distruzioni non autorizzate.
  • Garanzia della continuità operativa — Mantenere l'operatività dei servizi ICT erogati e dei processi aziendali critici, riducendo al minimo l'impatto di eventuali incidenti di sicurezza.
  • Conformità normativa e contrattuale — Rispettare tutti i requisiti legali, normativi e contrattuali applicabili in materia di sicurezza delle informazioni e protezione dei dati.
  • Miglioramento continuo — Promuovere una cultura della sicurezza e migliorare costantemente l'efficacia del SGSI attraverso un approccio basato sulla gestione del rischio.

Il Coordinatore Tecnico e il Coordinatore Commerciale Amministrativo approvano formalmente gli obiettivi specifici e misurabili, in linea con quanto definito nella procedura "PRO Obiettivi e pianificazione per il loro raggiungimento". Il Responsabile del sistema di gestione ha il compito di monitorare il raggiungimento di tali obiettivi e di riferire periodicamente alla Direzione, come stabilito nella procedura "PRO Gestione riesame della direzione".

Principi fondamentali di sicurezza delle informazioni

Gestione e responsabilità

La presente politica costituisce il documento di vertice del SGSI di 2000Net S.R.L. e formalizza l'impegno della Direzione. Il Responsabile del sistema di gestione ha la responsabilità di mantenere, riesaminare e comunicare la politica a tutto il personale e alle parti interessate rilevanti. La politica è riesaminata con cadenza almeno annuale, e ogni qualvolta si verifichino cambiamenti significativi, per assicurarne la continua idoneità, adeguatezza ed efficacia. L'approvazione della politica e delle sue revisioni è di competenza del Coordinatore Tecnico e del Coordinatore Commerciale Amministrativo.

Tutto il personale è tenuto a prendere visione e comprendere i principi qui enunciati. Le responsabilità specifiche in materia di sicurezza delle informazioni sono definite e assegnate formalmente nel documento "POL Politica dei ruoli e delle responsabilità in materia di sicurezza delle informazioni".

Uso accettabile delle risorse

Tutti gli asset informativi e le risorse tecnologiche di 2000Net S.R.L. sono di proprietà aziendale e il loro utilizzo è consentito esclusivamente per scopi lavorativi autorizzati. Le regole per l'uso corretto e sicuro di tali risorse sono definite nel "Codice di condotta" e devono essere rispettate da tutto il personale e dai collaboratori esterni.

L'accesso ai sistemi e alle informazioni è regolato dal principio del minimo privilegio e basato sulle specifiche mansioni ricoperte. Il Responsabile del sistema di gestione supervisiona il processo di autorizzazione, che viene formalizzato e tracciato nel "Registro degli utenti autorizzati all'uso delle informazioni". Qualsiasi violazione delle regole di uso accettabile sarà soggetta a provvedimenti disciplinari.

Segnalazione degli eventi di sicurezza delle informazioni

Tutto il personale ha l'obbligo di segnalare tempestivamente qualsiasi evento di sicurezza delle informazioni osservato o sospetto, incluse anomalie di funzionamento, debolezze o potenziali minacce. Le segnalazioni devono essere effettuate attraverso i canali ufficiali e gestite secondo le modalità operative descritte nella "PRO Procedura di gestione degli incidenti di sicurezza delle informazioni". Il Responsabile del sistema di gestione assicura che ogni segnalazione sia registrata nel "MOD Registro degli incidenti di sicurezza delle informazioni" e trattata in modo appropriato per contenere e risolvere l'evento.

Protezione dell'ambiente di lavoro (Scrivania Pulita e Schermo Pulito)

2000Net S.R.L. adotta i principi di "scrivania pulita" e "schermo pulito" per ridurre il rischio di accessi non autorizzati, perdita o danneggiamento delle informazioni.

  • Scrivania Pulita — I documenti cartacei contenenti informazioni sensibili e i supporti di memorizzazione rimovibili (es. USB, hard disk esterni) devono essere custoditi in armadi o cassetti chiusi a chiave quando la postazione di lavoro è incustodita e al termine della giornata lavorativa.
  • Schermo Pulito — Tutte le postazioni di lavoro devono essere configurate con un salvaschermo protetto da password che si attivi automaticamente dopo un periodo di inattività non superiore a 900 secondi (15 minuti). Il Responsabile Tecnico Sistemista e Sviluppo VIS è incaricato di implementare e verificare tale configurazione a livello di dominio.

Questi principi si applicano a tutte le postazioni, incluse quelle utilizzate in modalità di lavoro da remoto.

Sicurezza degli asset fuori sede

Gli asset aziendali utilizzati al di fuori delle sedi di 2000Net S.R.L. devono essere protetti con la stessa diligenza applicata all'interno degli uffici. La responsabilità della custodia e della protezione degli asset è formalizzata al momento dell'assegnazione tramite la compilazione del "MOD Modulo di assegnazione dei beni".

Il personale che opera in modalità di lavoro da remoto è tenuto a seguire scrupolosamente le direttive di sicurezza definite nel documento "Lavoro da remoto", che includono:

  • L'obbligo di utilizzare la connessione VPN aziendale con autenticazione a più fattori per accedere alle risorse di rete interne.
  • L'adozione di misure di protezione per la propria rete domestica, come la modifica delle credenziali predefinite del Wi-Fi.
  • Il divieto di utilizzare reti Wi-Fi pubbliche non sicure per la trasmissione di informazioni aziendali, se non tramite VPN.
  • La garanzia che sui dispositivi sia installato e attivo un software antivirus e un firewall approvati dall'azienda.

Il Coordinatore Tecnico assicura la fornitura e la corretta configurazione degli strumenti tecnici necessari a garantire la sicurezza del lavoro fuori sede.

Archiviazione e aggiornamenti

Questo documento è archiviato in formato digitale controllato all'interno del sistema di gestione documentale aziendale. Viene riesaminato con cadenza almeno annuale, o a seguito di cambiamenti significativi nel contesto organizzativo, tecnologico o normativo, per garantirne la continua adeguatezza. Gli aggiornamenti sono gestiti dal Responsabile del sistema di gestione e approvati dalla Direzione.

Documenti di riferimento

  • PRO Obiettivi e pianificazione per il loro raggiungimento
  • PRO Gestione riesame della direzione
  • POL Politica dei ruoli e delle responsabilità in materia di sicurezza delle informazioni
  • Codice di condotta
  • Registro degli utenti autorizzati all'uso delle informazioni
  • PRO Procedura di gestione degli incidenti di sicurezza delle informazioni
  • MOD Registro degli incidenti di sicurezza delle informazioni
  • MOD Modulo di assegnazione dei beni
  • Lavoro da remoto
2000Net S.R.L. — Documento Pubblico — Versione 1 — 05/09/2025
Accedi ai servizi
Supporto tecnico