SoftSystem SRL

Notre politique pour la sécurité des données et des informations

01

INTRODUCTION

Prémisse

SoftSystem Il conçoit, conçoit et développe des machines automatiques dans le secteur de l'automatisation industrielle pour les clients de l'industrie automobile, les produits pharmaceutiques et le verre, les produits et les systèmes sont fabriqués en fonction des besoins spécifiques du client et personnalisés uniquement pour eux.

SoftSystem SRL Il a commencé à considérer la sécurité de l'information comme une stratégie pour protéger ses actifs d'information et fournir des services de haute qualité aux clients qui montrent un intérêt croissant pour la sécurité. La sécurité des informations est devenue un facteur de valeur stratégique transformable à un avantage concurrentiel.

Les informations sont considérées comme un atout essentiel pour l'entreprise et, en tant que telle, elles doivent être protégées. SoftSystem SRL Il a donc décidé de réaliser et de garder actif un système de gestion pour la sécurité des informations et de garantir un niveau adéquat de sécurité et d'informations sur les données dans le contexte de ses activités de production également par l'identification, l'évaluation et le traitement des risques auxquels ils sont soumis.

Le système de gestion de la sécurité pour plus d'informations SoftSystem SRL Définit un ensemble de mesures organisationnelles, techniques et procédurales pour garantir la satisfaction des exigences de sécurité de base:

Confidentialitéou la propriété de l'information à connaître uniquement de ceux qui ont des privilèges;
Intégritéou la propriété des informations à modifier uniquement et exclusivement par ceux qui possèdent des privilèges;

Disponibilitéou la propriété des informations à être accessibles et utilisables lorsqu'elles sont demandées par les processus et les utilisateurs qui bénéficient des privilèges.

02

DIRECTION

Adresse stratégique et déclaration de la direction

Afin de fournir l'adresse générale et stratégique de SoftSystem SRL À court, moyen et long terme, pour garantir la protection et la protection des informations dans le contexte de ses activités conformément aux indications du CEI standard UNI ISO / IEC 27001, SoftSystem SRL a élaboré la politique concernant la protection du patrimoine de l'information de l'entreprise décrite dans ce document

Pour atteindre les objectifs de sécurité informatique identifiés comme nécessaires par la direction, un système de gestion des informations conformément à la politique que la société a l'intention de mettre en œuvre doit être mise en œuvre. La maintenance du système est garanti par un processus continu de amélioration qui implique toutes les fonctions d'entreprise:

Le personnel, qui mettra en œuvre les politiques et les exigences de sécurité pour atteindre les objectifs définis.
Les clients, qui auront des garanties pour leurs besoins de sécurité, dans une mesure conforme aux engagements pris par SoftSystem SRL
Les fournisseurs, qui contribueront, en tant que partenaire, à atteindre les objectifs de l'organisation, et accepteront les politiques de sécurité et les risques liés à l'offre.

La direction est consciente que la réalisation du système de gestion nécessite un effort initial important et que la maintenance et l'amélioration continues doivent être garanties par un soutien organisationnel adéquat.

À cet effet l'organisation de SoftSystem SRL Il a été conçu de manière à ce que les rôles et responsabilités sur la sécurité des informations soient définis et capables de fonctionner dans la direction indiquée par cette politique.

La direction mettra à disposition les investissements adaptés pour satisfaire les politiques et objectifs établis et considérera qu'il est approprié de gérer la phase de démarrage du système avec l'insertion de ressources externes qui sont en mesure de fournir leur soutien qualitatif et quantitatif sur tous les aspects inhérents à la sécurité des informations.

Cette politique représente les objectifs et les exigences générales émises par la gestion de SoftSystem SRL qui doit être mis en œuvre par les structures de l'entreprise, chacune pour le domaine de compétence spécifique, afin que l'activité de travail soit conforme à ce qui est spécifié dans cette politique.

03

Risques

Évaluation des risques et cadre général des contrôles

Les exigences de sécurité sont identifiées par une évaluation systématique des risques pour la sécurité avec des méthodologies reconnues par les normes internationales.

Les résultats de l'évaluation des risques aideront à déterminer les actions appropriées pour la gestion et la mise en œuvre des contrôles pour se protéger contre ces risques. Les priorités relatives détermineront également.

L'évaluation des risques sera répétée périodiquement pour faire face à tous les changements qui pourraient influencer le facteur de risque.

D'après l'évaluation des risques, les coûts des contrôles doivent être équilibrés par les avantages de la protection contre les dommages que l'entreprise pourrait signaler à la suite de défauts dans la sécurité des informations.

04

Patrimoine

Le patrimoine de l'information de l'entreprise

Tout type d'agrégation de données qui a une valeur pour l'entreprise, quelle que soit la forme et la technologie utilisées pour leur traitement et leur conservation, contribue à la formation du patrimoine de l'information. Les informations doivent être protégées dans tous les formats possibles dans lesquels il est mis à disposition:

papier (documents, lettres, listes, etc.)
électronique (base de données, enregistrements, bandes, etc.)
Procès-verbal (réunions, conversations personnelles et téléphoniques, séminaires, interviews, etc.)

Selon le type et l'origine, les informations qui constituent le patrimoine de l'information de l'entreprise peuvent être divisées en.

Des informations dérivant de Héritage des informations du client, représenté par l'ensemble d'informations gérées par SoftSystem SRL Grâce aux processus de production et actuellement situés dans les centres de données gérés directement ou indirectement par l'entreprise. La sécurité de ces informations doit être garantie par contrat avec les clients et tout accident de sécurité aurait des conséquences directes sur l'image et le développement de l'entreprise
Des informations dérivant de Patrimoine d'information interne, représenté par toutes les informations de l'entreprise et en partie gérées via des systèmes d'information. Ces informations ont une influence sur les autres et conditionnent directement ou indirectement toutes les activités commerciales.

Les informations doivent être évaluées pour attribuer l'importance relative au niveau de l'entreprise afin de mettre en œuvre des contre-mesures de sécurité adéquates et proportionnelles aux différentes formes et aux différentes méthodes d'interaction utilisées.

05

OBJECTIFS

Objectifs et mise en œuvre du système

Cette politique de sécurité de l'information identifie les aspects de sécurité à mettre en œuvre au sein de l'organisation afin de soutenir la mission de SoftSystem SRL et pour poursuivre les principaux objectifs signalés ci-dessous.

Les fonctions de la Société responsables de la gestion et de la sécurité des informations ont la tâche de traduire les objectifs identifiés et les exigences générales de sécurité de l'information dans des contre-mesures et des politiques de sécurité plus spécifiques, en vue d'obtenir un système de gestion de l'information congrue.

Les principaux objectifs à poursuivre en fonction de la politique de sécurité adoptée sont les suivants:

Réduire à 0 événements graves (ransomware, détournement de paiements, violations graves)
Structuration d'un service informatique capable d'avoir un contrôle sur la sécurité des informations logiques: cartographie des actifs, évaluation des risques et réduction du niveau de risque global de 15 à 20%
Surveiller le système de sécurité des données: mettre en œuvre la logique et les outils pour surveiller les performances de sécurité (inventaire, surveillance du réseau, évaluation de la vulnérabilité, état des menaces, accidents, surveillance des équipements, systèmes et journaux)
Conformité aux réglementations volontaires (ISO 27001 en premier lieu) et obligatoires (Reg. REGDP de l'UE en premier lieu)

Atteignant ces objectifs, la direction prévoit de protéger la réputation de l'entreprise, le patrimoine physique et intangible de l'entreprise, la continuité des opérations au profit de toutes les parties prenantes (clients, propriétés, travailleurs, fournisseurs et communauté).

Ils sont obtenus et maintenus grâce à la collaboration de travailleurs à tous les niveaux, qui sont nécessaires pour:

garantir la confidentialité, l'intégrité et la disponibilité des informations
évaluer les niveaux de risque
surveiller les niveaux de sécurité.
formaliser les exigences de sécurité en relations avec les clients et les fournisseurs
garantir une entreprise de culture pour la sécurité de l'information et un niveau de compétence adéquat relatif;
planifier et gérer la continuité de l'entreprise;

Le contenu des indications et des prescriptions du système s'appliquent à tous SoftSystem SRL

Tout le personnel qui, par employé, consultant ou collaborateur, collabore avec l'entreprise dans les processus de conception, de développement, de gestion et de contrôle des services fournis est responsable de la conformité aux prescriptions et des indications du système et est nécessaire pour protéger toutes les informations traitées au cours de ses activités de travail. Le personnel, conscient de l'importance des informations traitées, doit agir pour garantir sa protection et signaler les anomalies, même non codées officiellement, dont elle devrait être apprise.

Dans le cas où les règles de sécurité établies sont ignorées par les employés, les consultants et / ou les collaborateurs de l'entreprise, la gestion de SoftSystem SRL se réserve le droit d'adopter, en pleine conformité aux contraintes juridiques et contractuelles, les mesures les plus appropriées vers les transgresseurs.

Sujets externes qui entreprennent des relations avec SoftSystem SRL Ils doivent garantir le respect des exigences de sécurité faites par cette politique de sécurité également par la signature d'un "pacte de confidentialité" au moment de l'affectation de l'affectation dans le cas où ce type de cautionnement n'est pas expressément mentionné dans le contrat.

06

Conclusions

La politique de sécurité de l'information doit toujours être conforme aux objectifs commerciaux de l'entreprise et, par conséquent, la direction se réserve le droit d'apporter des modifications à ce document en fonction de la réalisation des résultats des résultats SoftSystem SRL, aux attentes de toutes les parties intéressées, au progrès du marché de référence.

Conformément à la politique de sécurité de l'information et au moins annuellement, la direction définira également les objectifs de sécurité en utilisant les résultats obtenus au cours de l'année précédente.

Cette politique a été approuvée par la gestion de SoftSystem SRL