Politica per la Sicurezza delle Informazioni in conformità alla
Transcript
Politica per la Sicurezza delle Informazioni in conformità alla
IL DIRETTORE Via Palestro, 81 – 00185 Roma Tel. 06.49499768/9 – Fax 06.49499076 Determinazione n. 10 del 9 maggio 2016 Oggetto: Politica per la Sicurezza delle Informazioni in conformità alla Norma ISO27001:2013. VISTO il decreto legislativo 27 maggio 1999, n. 165 di soppressione dell’A.I.M.A. e di istituzione dell’Agenzia per le Erogazioni in Agricoltura (AGEA), così come modificato dal D.Lgs. 15 giugno 2000, n. 188; VISTA la legge 21 dicembre 2001, n. 441, di conversione del decreto legge 22 ottobre 2001, n. 381, recante “Disposizioni urgenti concernenti l’Agenzia per le Erogazioni in Agricoltura (AGEA), l’anagrafe bovina e l’Ente irriguo umbro-toscano”; VISTO l’art. 12 del decreto legge 6 luglio 2012, n. 95 convertito, con modificazioni, dalla legge 7 agosto 2012, n. 135; VISTO l’art. 1, comma 295, della legge 27 dicembre 2013, n. 147 (legge di stabilità 2014), il quale ha parzialmente modificato l’art. 12 del D.L. 95/2012; VISTO il D.Lgs. 30 marzo 2001, n. 165 e successive modifiche ed integrazioni, recante le norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche; VISTO lo Statuto dell’AGEA, approvato con decreto del Ministro delle politiche agricole, alimentari e forestali di concerto con il Ministro dell’economia e delle finanze in data 18 giugno 2014; VISTO il decreto del Ministro delle politiche agricole alimentari e forestali in data 30 luglio 2014 con il quale il dott. Stefano Antonio Sernia è stato nominato Direttore dell’Agenzia per le Erogazioni in Agricoltura; VISTO il Regolamento Delegato n. 907/2014 della Commissione Europea dell’11 marzo 2014 il quale sancisce che “A decorrere dal 16 ottobre 2016 la Sicurezza dei sistemi d’informazione è certificata in conformità con l’Organizzazione internazionale per la standardizzazione 27001: Sistemi di gestione della Sicurezza delle Informazioni — Requisiti (ISO)”. VISTO il DM 12/01/2015 n. 162 relativo alla semplificazione della gestione della PAC 2014 – 2020, che all’art. 2 c.2 stabilisce che : “gli Organismi Pagatori hanno l’obbligo, dal 2016, di attuare la Certificazione delle Informazioni secondo la norma ISO/IEC 27001” VISTO Il “Memorandum trasmesso al comitato dei fondi agricoli - Certificazione degli organismi pagatori secondo la norma ISO 27001” (nota AGRI/2015/agri.Ddg4.J.1(2015)1359224-it-memo - agri2015-61091-00-00-it-tra-00) VISTA la lettera Prot. N. UMU.2015.1233 del 17/07/2015 che ha conferito a SIN l’incarico per la realizzazione del progetto per la Certificazione della Sicurezza del Sistema per la gestione delle Informazioni in conformità con l’Organizzazione internazionale per la standardizzazione 27001: Sistemi di gestione della Sicurezza delle Informazioni – Requisiti (ISO) CONSIDERATO che l’obiettivo della Certificazione ISO27001:2013 di AGEA, integrata con la Certificazione ISO 27001:2013 di SIN, è quello di garantire che la gestione della Informazioni inerenti gli aiuti comunitari sia svolta applicando processi e procedure atti a minimizzare i rischi associati alla perdita di riservatezza, integrità e disponibilità delle Informazioni CONSIDERATO che la norma prescrive che l’Alta Direzione definisca la propria Politica per la Sicurezza delle Informazioni per i motivi esposti in premessa: DETERMINA A) di approvare la Politica generale per la Sicurezza delle Informazioni di AGEA come riportata in Allegato B) di individuare quali responsabili per l’attuazione di tale Politica e per l’implementazione e gestione del Sistema finalizzato alla Certificazione ISO27001 di AGEA, in conformità con il modello organizzativo vigente: • il dott. Maurizio Salvi, nel ruolo di Rappresentante della Direzione per il Sistema di gestione per la Sicurezza delle Informazioni • il dott. Giovanni Vulpes nel ruolo di Responsabile della Sicurezza delle Informazioni e Responsabile delle Verifiche Ispettive ISO 27001 Nell’ambito del Sistema di gestione ISO 27001 di AGEA il dr. Lamberto De Lorenzo, Responsabile dei Sistema di gestione della Società SIN, considerato che il Sistema per la gestione della Sicurezza delle Informazioni di AGEA e quello di SIN sono progettati e realizzati in maniera integrata, assume il ruolo di Responsabile del Sistema di gestione per la Sicurezza delle Informazioni di AGEA Il Direttore Stefano A. Sernia ALLEGATO - Politica generale per la Sicurezza delle Informazioni di AGEA L'AGEA, in quanto Organismo Pagatore, ha competenza per l'erogazione di aiuti, contributi, premi ed interventi comunitari, nonché per la gestione degli ammassi pubblici, dei programmi di miglioramento della qualità dei prodotti agricoli per gli aiuti alimentari e per la cooperazione economica con altri paesi. L'AGEA, quale Organismo di Coordinamento, promuove inoltre l'applicazione armonizzata della normativa comunitaria e delle relative procedure di autorizzazione, erogazione e contabilizzazione degli aiuti comunitari da parte degli Organismi pagatori, monitorando le relative attività. AGEA eroga servizi a valore aggiunto a favore delle imprese agricole. La missione di AGEA concerne il sostegno e lo sviluppo dell’agricoltura italiana, anche attraverso interventi di sostegno ed erogazione di aiuti. La Direzione AGEA ha identificato il Sistema di Gestione ISO 27001 quale strumento per il conseguimento degli obiettivi aziendali in materia di Sicurezza delle Informazioni assicurando il proprio impegno affinché siano soddisfatti i relativi requisiti e che venga sempre garantito il miglioramento continuo con l’obiettivo di : • Migliorare la Sicurezza del Sistema Informativo Agricolo Nazionale preservandone le Informazioni e assicurandone la disponibilità, la riservatezza e l'integrità • Proteggere il proprio patrimonio informativo da tutto ciò che è in grado di minacciarlo, • Mantenere ed accrescere il grado di affidamento che le Istituzioni governative nazionali e della comunità europea, Clienti Utenti, Fornitori e la collettività in genere ripongono in AGEA e nella sua capacità di gestire i processi e l’intero patrimonio informativo in Sicurezza; • Sviluppare una cultura aziendale di information security come valore condiviso cui ispirare l’attività quotidiana; • Diffondere la cultura della qualità, dell’etica e della Sicurezza attraverso opportune azioni formative ed informative nei confronti di tutto il personale e accrescerne la consapevolezza. • Agire nel pieno rispetto delle norme e delle leggi vigenti in campo nazionale ed internazionale ed applicabili al settore di attività dell’Organizzazione. • Conseguire e mantenere la Certificazione ISO 27001 rilasciata da Organismo di Certificazione accreditato Accredia • predisporre e mantenere per tali fini un Sistema di Politiche di Gestione della Sicurezza IT tendente ad assicurare una piena consapevolezza dei rischi, la confidenzialità delle Informazioni quando è • richiesto un accesso riservato, ad impedire l’alterazione o la perdita del patrimonio informativo, a garantire la disponibilità delle Informazioni e dei servizi, anche attraverso idonei piani di continuità operativa, nonché a garantire la certezza della provenienza di un’informazione (non ripudio), predisponendo anche procedure di rilevazione e gestione di eventi e incidenti. Il Sistema di Gestione per la Sicurezza delle Informazioni conforme alla norma ISO IEC 27001:2013 è lo strumento gestionale adottato per perseguire questa Politica, le cui colonne portanti possono essere così sintetizzate: • gestione dei rischi che minacciano la Sicurezza delle Informazioni con l’implementazione di idonee contromisure tecniche, tecnologiche ed organizzative; • conformità con la legislazione nazionale e comunitaria in tema di protezione delle Informazioni • rispetto degli accordi di servizio da parte dei soggetti delegati e dei fornitori in particolare per ciò che concerne i vincoli di Sicurezza delle Informazioni; • conformità con lo standard ISO/IEC 27001:2013 La Direzione si impegna a promuovere la comprensione e la diffusione della Politica per la Sicurezza delle Informazioni a tutti i portatori di interesse, rendendola visibile anche La Politica è riesaminata e, se necessario, aggiornata in occasione del Riesame della Direzione. all'esterno.