In un quadro concorrenziale la ASCEN S.R.L. desidera fare della soddisfazione dei suoi clienti il proprio principale argomento di aumento di quote di mercato e fidelizzazione in modo da affrontare le sfide e le opportunità che il mercato impone.
La ASCEN S.R.L. intende offrire ai suoi collaboratori un progetto professionale e un ambito di lavoro sano e sicuro che valorizzino l’iniziativa e l’impegno personale all’interno di un team solidale. Il clima aziendale e la motivazione dei suoi collaboratori contribuiscono direttamente ad accrescere la soddisfazione dei Clienti e a conquistare la fiducia dei Clienti potenziali.
La ASCEN S.R.L. promuove la cultura della Qualità, il Sistema di Gestione della Salute e Sicurezza sul Lavoro, la Sicurezza delle informazioni, attraverso l’impegno di tutti coloro che operano nell’impresa e per l’impresa. Ciò richiede che ciascuno sia coinvolto e sia consapevole del proprio ruolo e responsabilità nel conseguire gli obiettivi della Qualità, del Sistema di Gestione della Salute e Sicurezza sul Lavoro, della Sicurezza delle informazioni e del miglioramento continuo di servizi/prestazioni che permetta di garantire una maggiore efficienza interna ed una migliore predisposizione a dimostrare la propria capacità di fornire prodotti che soddisfino i requisiti dei Clienti e i requisiti cogenti applicabili ed affrontare rischi e opportunità associati al suo contesto e obiettivi.
Al fine di raggiungere tale obiettivo la ASCEN S.R.L. si è impegnata in un progetto di qualità, del Sistema di Gestione della Salute e Sicurezza sul Lavoro, di sicurezza pianificando un Sistema di Gestione Integrato considerando:
- Contesto Organizzativo, tramite determinazione dei fattori interni ed esterni che possano influenzare la capacità di conseguire i risultati attesi;
- Comprensione delle esigenze delle Parti Interessate per il Sistema di Gestione Integrato;
- Il proprio Campo di Applicazione del Sistema di Gestione Integrato è “PROGETTAZIONE ED EROGAZIONE DI CORSI DI FORMAZIONE PROFESSIONALE”
- I Rischi e Opportunità nella ASCEN S.R.L. ed Esigenze ed Aspettative delle parti interessate, per ogni processo relativo a servizi/prestazioni presenti nel Campo di Applicazione.
Per raggiungere i propri obiettivi la ASCEN S.R.L. ha definito la seguente Politica della, Qualità, del Sistema di Gestione della Salute e Sicurezza sul Lavoro, di Sicurezza dell’informazione:
- Mantenere un Sistema di Gestione Integrato conforme agli standard internazionali e Certificato, secondo le Norme, UNI EN ISO 9001 2015, UNI EN ISO 45001 2023, UNI EN ISO 27001 2022 ed assicurare che tutte le eventuali future revisioni normative vengano recepite.
- Svolgere un’attività di miglioramento continuativo della Qualità, del Sistema di Gestione della Salute e Sicurezza sul Lavoro, della Sicurezza delle informazioni, definendo metodi, programmi, obiettivi e indicatori per ottimizzare i processi produttivi attraverso il costante investimento di risorse.
- Monitorare costantemente il grado di Soddisfazione e Fidelizzazione del Cliente al fine di migliorare gli standard aziendali e la visione percepita esternamente, prevenire i reclami e rispettare i termini di consegna, consegnando al cliente un servizio/prestazione di alto valore.
- Controllare gli errori commessi da parte di terzi, attraverso un sistema di controllo dell’operato dei Fornitori/Subappaltatori e della Qualità delle forniture e prestazioni con la continua sensibilizzazione dei Fornitori/Subappaltatori sulla Politica di Qualità, del Sistema di Gestione della Salute e Sicurezza sul Lavoro, della Sicurezza delle Informazioni, aziendale perseguita da ASCEN S.R.L.
- Eliminare le non conformità sulle lavorazioni effettuate attraverso controlli nelle diverse fasi di lavorazione per evitare difetti, minimizzare le non conformità evitando reclami, e problemi legati alla conformità e bassa Qualità delle prestazioni effettuate per conto dei Clienti/Committenti.
- Migliorare le competenze ed il coinvolgimento delle Risorse Umane aziendali incoraggiando la partecipazione e la condivisione degli obiettivi di Qualità, del Sistema di Gestione della Salute e Sicurezza sul Lavoro, della Sicurezza delle informazioni attraverso formazione, addestramento, supervisione ed efficace comunicazione.
Il progetto relativo alla definizione di un Sistema di Gestione della Sicurezza delle Informazioni, conforme alla norma ISO 27001:2022, è pienamente sponsorizzato dal Management dell’Organizzazione, impegnato in modo diretto, continuo e permanente, anche con investimenti in risorse e infrastrutture per garantirne un corretto sviluppo.
Obiettivo del progetto di certificazione ISO 27001:2022 e della presente politica, è di definire regole comportamentali e tecniche per proteggere le risorse informative da tutte le minacce, siano esse organizzative o tecnologiche, interne o esterne, accidentali o intenzionali. Il presente documento si pone le finalità di:
- Garantire la riservatezza delle informazioni.
- Mantenere l’integrità delle informazioni.
- Assicurare la disponibilità dei servizi informatici.
- Formare il personale alla sicurezza delle informazioni.
- Mantenere traccia e gestire qualsiasi incidente, reale o presunto, che interessi la sicurezza delle i informazioni.
- Definire regole e adottare misure per attuare la migliore politica di sicurezza delle informazioni.
La scelta di procedere con un SGSI integrato con Sistema Qualità e Sicurezza soprattutto legato al mondo dell’IT presente in ASCEN S.R.L., nasce dalla consapevolezza della criticità di dati e servizi gestiti, e dalla conseguente necessità di fornire un’ampia sicurezza delle informazioni trattate.
Tutto quanto definito rappresenta l’obiettivo prioritario della Politica di Sicurezza.
Obiettivo prioritario del Sistema di Gestione della Sicurezza dei Dati e delle Informazioni è assicurare un efficace ed efficiente trattamento delle informazioni garantendone con continuità la confidenzialità, la integrità e la disponibilità. In altri termini:
- l’accesso alle informazioni deve avvenire solo da chi è autorizzato;
- le informazioni devono mantenere la loro correttezza senza che siano modificate da chi non è autorizzato;
- le informazioni devono essere sempre disponibili quando occorrono e per chi è autorizzato al loro utilizzo.
Inoltre, il SGSI è realizzato con l’obiettivo di rispettare pienamente tutti gli obblighi di legge in materia di riservatezza delle informazioni, ed in particolare:
- LGS 196/2003 Testo Unico sulla Privacy;
- General Data Protection Regulation, regolamento Ue 27 aprile 2016 n. 2016/679/UE;
- Legge 248/2000 Nuove norme di tutela del diritto d’autore;
- Legge 547/1993 Modificazioni ed integrazioni alle norme del Codice penale e del codice di procedura penale in tema di criminalità informatica;
- L. 518/1992 Attuazione della direttiva 91/250/CEE relativa alla tutela giuridica dei programmi per l’elaboratore;
- P.R. 513/1997 (Regolamento recante criteri e modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell’articolo 15, comma 2, della legge 15 marzo 1997, n. 59);
- P.C.M. 28/02/1999 (Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell’articolo 3, comma 1, del Decreto del Presidente della Repubblica, 10 novembre 1997, n. 513.).
La politica è stata predisposta coerentemente agli altri documenti emessi dall’ASCEN S.R.L., con particolare riferimento a:
- Dichiarazione di Applicabilità;
- Procedure operative;
- Regolamento informatico;
- Documento di gestione operativa;
- Piano di continuità Operativa;
- Piano di disaster recovery;
Nel dettaglio, per il perseguimento degli obiettivi di progetto il Management ha quindi stabilito che:
- Il personale aziendale interno ed esterno impiegato all’interno del Dominio di Applicazione deve essere sensibilizzato sull’importanza dell’SGSI, in modo da coinvolgerlo a pieno titolo nell’attuazione, nel mantenimento e nel miglioramento del SGSI. A tal proposito l’Organizzazione ha investito e continuerà ad investire in formazione ed addestramento, stabilendo adeguati ed opportuni Programmi di Formazione. Ovviamente tale “must” è da perseguire costantemente anche per il personale di nuova introduzione.
- Il Sistema implementato va monitorato con estrema attenzione, al fine di una puntuale definizione delle eventuali contromisure da adottare in caso di attentati alla sicurezza delle informazioni aziendali. A tal proposito risulta istituita una formale procedura di segnalazione e gestione di incidenti della sicurezza, che prevede un sistema di escalation in funzione della gravità dei problemi rilevati.
- Il Sistema implementato è corredato di un Piano di Continuità Operativa, sviluppato mediante una preventiva valutazione degli eventi che potrebbero determinare una interruzione dei processi aziendali e adottando le necessarie procedure di emergenza. Lo stesso Piano è assoggettato a test operativi ed è manutenuto con continuità.
- Il Sistema implementato è dotato di precise regole formalizzate e diffuse circa le modalità operative da adottare per la prevenzione da virus e malicious software (regole su utilizzo di software licenziato, installazione antivirus, controllo periodico delle macchine, istruzione al personale sulla segnalazione di virus).
La presente Politica è rivolta a tutti i collaboratori aziendali a qualunque titolo: dipendenti a tempo indeterminato o determinato (comprese le forme di collaborazione occasionali), consulenti, prestatori di servizi.
Le procedure definite per garantire una corretta applicazione di tutto il Sistema sono adeguatamente portate a conoscenza di tutto il personale, interno e/o esterno, che è tenuto a rispettare pienamente quanto in esse descritto. A tal proposito il Management ha anche redatto specifici Accordi di Riservatezza, nel rispetto delle disposizioni normative vigenti in materia di lavoro, richiedendone l’accettazione da parte di tutto il personale.
L’attuazione di quanto previsto nella presente politica è oggetto di specifiche definizioni contenute nei documenti prescrittivi del SGSI; questi sono strutturati secondo un livello documentale che prevede un Manuale della Sicurezza quale compendio di riferimento, che richiama espressamente tutta la documentazione realizzata: politiche per ambiti specifici, procedure operative, istruzioni di lavoro, documentazione di registrazione.
Le disposizioni operative previste nei documenti prescrittivi impongono l’estensione delle procedure di sicurezza, e quindi la loro applicazione, anche alle terze parti che entrano in contatto con l’ASCEN S.R.L., definendone gli ambiti contrattualmente. In tale ottica il SGSI contiene espresse previsioni in merito alla regolamentazione degli accessi ed ai criteri di affidamento di attività svolte da personale esterno.
Allo stesso tempo la Direzione ha puntualmente stabilito e reso noto a tutti i collaboratori (interni o esterni) il sistema sanzionatorio legato alla violazione della Politica di Sicurezza Aziendale.
Il SGSI è continuamente monitorato per valutarne l’efficacia attraverso strumenti di controllo e miglioramento, quali ad esempio audit interni, analisi dei report degli incidenti e dei costi relativi e analisi degli impatti a fronte di modifiche intervenute: al fine di garantire il continuo adeguamento agli standard stabiliti. In funzione dei review periodici il Management provvede a verificare la congruenza della presente politica generale ed eventualmente a revisionarla in funzione dei mutamenti sopravvenuti.
La presente Politica è comunicata all’interno dell’ASCEN S.R.L. attraverso apposite riunioni o sessioni formative, aventi anche lo scopo di raccogliere le indicazioni dei collaboratori al fine di una piena condivisione di quanto stabilito.
La ASCEN S.R.L. si impegna a riesaminare periodicamente la Politica in occasione del Riesame della Direzione, e a renderla disponibile alle parti interessate, e all’interno della stessa.