Politica per la Sicurezza delle Informazioni in conformità alla

IL DIRETTORE
Via Palestro, 81 – 00185 Roma
Tel. 06.49499768/9 – Fax 06.49499076
Determinazione n. 10 del 9 maggio 2016
Oggetto: Politica per la Sicurezza delle Informazioni in conformità alla Norma ISO27001:2013.
VISTO il decreto legislativo 27 maggio 1999, n. 165 di soppressione dell’A.I.M.A. e di istituzione
dell’Agenzia per le Erogazioni in Agricoltura (AGEA), così come modificato dal D.Lgs. 15 giugno
2000, n. 188;
VISTA la legge 21 dicembre 2001, n. 441, di conversione del decreto legge 22 ottobre 2001, n. 381,
recante “Disposizioni urgenti concernenti l’Agenzia per le Erogazioni in Agricoltura (AGEA),
l’anagrafe bovina e l’Ente irriguo umbro-toscano”;
VISTO l’art. 12 del decreto legge 6 luglio 2012, n. 95 convertito, con modificazioni, dalla legge 7
agosto 2012, n. 135;
VISTO l’art. 1, comma 295, della legge 27 dicembre 2013, n. 147 (legge di stabilità 2014), il quale ha
parzialmente modificato l’art. 12 del D.L. 95/2012;
VISTO il D.Lgs. 30 marzo 2001, n. 165 e successive modifiche ed integrazioni, recante le norme
generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche;
VISTO lo Statuto dell’AGEA, approvato con decreto del Ministro delle politiche agricole, alimentari e
forestali di concerto con il Ministro dell’economia e delle finanze in data 18 giugno 2014;
VISTO il decreto del Ministro delle politiche agricole alimentari e forestali in data 30 luglio 2014 con il
quale il dott. Stefano Antonio Sernia è stato nominato Direttore dell’Agenzia per le Erogazioni in
Agricoltura;
VISTO il Regolamento Delegato n. 907/2014 della Commissione Europea dell’11 marzo 2014 il quale
sancisce che “A decorrere dal 16 ottobre 2016 la Sicurezza dei sistemi d’informazione è certificata in
conformità con l’Organizzazione internazionale per la standardizzazione 27001: Sistemi di gestione
della Sicurezza delle Informazioni — Requisiti (ISO)”.
VISTO il DM 12/01/2015 n. 162 relativo alla semplificazione della gestione della PAC 2014 – 2020,
che all’art. 2 c.2 stabilisce che : “gli Organismi Pagatori hanno l’obbligo, dal 2016, di attuare la
Certificazione delle Informazioni secondo la norma ISO/IEC 27001”
VISTO Il “Memorandum trasmesso al comitato dei fondi agricoli - Certificazione degli organismi
pagatori secondo la norma ISO 27001” (nota AGRI/2015/agri.Ddg4.J.1(2015)1359224-it-memo - agri2015-61091-00-00-it-tra-00)
VISTA la lettera Prot. N. UMU.2015.1233 del 17/07/2015 che ha conferito a SIN l’incarico per la
realizzazione del progetto per la Certificazione della Sicurezza del Sistema per la gestione delle
Informazioni in conformità con l’Organizzazione internazionale per la standardizzazione 27001: Sistemi
di gestione della Sicurezza delle Informazioni – Requisiti (ISO)
CONSIDERATO che l’obiettivo della Certificazione ISO27001:2013 di AGEA, integrata con la
Certificazione ISO 27001:2013 di SIN, è quello di garantire che la gestione della Informazioni inerenti
gli aiuti comunitari sia svolta applicando processi e procedure atti a minimizzare i rischi associati alla
perdita di riservatezza, integrità e disponibilità delle Informazioni
CONSIDERATO che la norma prescrive che l’Alta Direzione definisca la propria Politica per la
Sicurezza delle Informazioni
per i motivi esposti in premessa:
DETERMINA
A)
di approvare la Politica generale per la Sicurezza delle Informazioni di AGEA come riportata in
Allegato
B)
di individuare quali responsabili per l’attuazione di tale Politica e per l’implementazione e
gestione del Sistema finalizzato alla Certificazione ISO27001 di AGEA, in conformità con il
modello organizzativo vigente:
•
il dott. Maurizio Salvi, nel ruolo di Rappresentante della Direzione per il Sistema di gestione
per la Sicurezza delle Informazioni
•
il dott. Giovanni Vulpes nel ruolo di Responsabile della Sicurezza delle Informazioni e
Responsabile delle Verifiche Ispettive ISO 27001
Nell’ambito del Sistema di gestione ISO 27001 di AGEA il dr. Lamberto De Lorenzo, Responsabile dei
Sistema di gestione della Società SIN, considerato che il Sistema per la gestione della Sicurezza delle
Informazioni di AGEA e quello di SIN sono progettati e realizzati in maniera integrata, assume il ruolo
di Responsabile del Sistema di gestione per la Sicurezza delle Informazioni di AGEA
Il Direttore
Stefano A. Sernia
ALLEGATO - Politica generale per la Sicurezza delle Informazioni di AGEA
L'AGEA, in quanto Organismo Pagatore, ha competenza per l'erogazione di aiuti, contributi, premi ed
interventi comunitari, nonché per la gestione degli ammassi pubblici, dei programmi di miglioramento della
qualità dei prodotti agricoli per gli aiuti alimentari e per la cooperazione economica con altri paesi.
L'AGEA, quale Organismo di Coordinamento, promuove inoltre l'applicazione armonizzata della normativa
comunitaria e delle relative procedure di autorizzazione, erogazione e contabilizzazione degli aiuti
comunitari da parte degli Organismi pagatori, monitorando le relative attività.
AGEA eroga servizi a valore aggiunto a favore delle imprese agricole.
La missione di AGEA concerne il sostegno e lo sviluppo dell’agricoltura italiana, anche attraverso interventi
di sostegno ed erogazione di aiuti.
La Direzione AGEA ha identificato il Sistema di Gestione ISO 27001 quale strumento per il conseguimento
degli obiettivi aziendali in materia di Sicurezza delle Informazioni assicurando il proprio impegno affinché
siano soddisfatti i relativi requisiti e che venga sempre garantito il miglioramento continuo con l’obiettivo di
:
•
Migliorare la Sicurezza del Sistema Informativo Agricolo Nazionale preservandone le Informazioni e
assicurandone la disponibilità, la riservatezza e l'integrità
•
Proteggere il proprio patrimonio informativo da tutto ciò che è in grado di minacciarlo,
•
Mantenere ed accrescere il grado di affidamento che le Istituzioni governative nazionali e della
comunità europea, Clienti Utenti, Fornitori e la collettività in genere ripongono in AGEA e nella sua
capacità di gestire i processi e l’intero patrimonio informativo in Sicurezza;
•
Sviluppare una cultura aziendale di information security come valore condiviso cui ispirare l’attività
quotidiana;
•
Diffondere la cultura della qualità, dell’etica e della Sicurezza attraverso opportune azioni formative
ed informative nei confronti di tutto il personale e accrescerne la consapevolezza.
•
Agire nel pieno rispetto delle norme e delle leggi vigenti in campo nazionale ed internazionale ed
applicabili al settore di attività dell’Organizzazione.
•
Conseguire e mantenere la Certificazione ISO 27001 rilasciata da Organismo di Certificazione
accreditato Accredia
•
predisporre e mantenere per tali fini un Sistema di Politiche di Gestione della Sicurezza IT tendente
ad assicurare una piena consapevolezza dei rischi, la confidenzialità delle Informazioni quando è
•
richiesto un accesso riservato, ad impedire l’alterazione o la perdita del patrimonio informativo, a
garantire la disponibilità delle Informazioni e dei servizi, anche attraverso idonei piani di continuità
operativa, nonché a garantire la certezza della provenienza di un’informazione (non ripudio),
predisponendo anche procedure di rilevazione e gestione di eventi e incidenti.
Il Sistema di Gestione per la Sicurezza delle Informazioni conforme alla norma ISO IEC 27001:2013 è lo
strumento gestionale adottato per perseguire questa Politica, le cui colonne portanti possono essere così
sintetizzate:
•
gestione dei rischi che minacciano la Sicurezza delle Informazioni con l’implementazione di idonee
contromisure tecniche, tecnologiche ed organizzative;
•
conformità con la legislazione nazionale e comunitaria in tema di protezione delle Informazioni
•
rispetto degli accordi di servizio da parte dei soggetti delegati e dei fornitori in particolare per ciò
che concerne i vincoli di Sicurezza delle Informazioni;
•
conformità con lo standard ISO/IEC 27001:2013
La Direzione si impegna a promuovere la comprensione e la diffusione della Politica per la Sicurezza delle
Informazioni
a
tutti
i
portatori
di
interesse,
rendendola
visibile
anche
La Politica è riesaminata e, se necessario, aggiornata in occasione del Riesame della Direzione.
all'esterno.