expand
Sicurezza delle informazioni
Certificato
expand
ISO/IEC 27001 EN
1. Introduzione
Essendo una delle principali aziende nel settore dell’edilizia in Austria, SWIETELSKY ha il dovere nei confronti dei propri collaboratori, clienti e contraenti di applicare i massimi standard in tutte le divisioni aziendali.
Per via dei requisiti legali cui l’azienda è soggetta, oltre che per esigenze economiche, viene posta una particolare attenzione alla sicurezza delle informazioni.
Per sicurezza delle informazioni SWIETELSKY intende la protezione dei dati in formato fisico ed elettronico nonché dei sistemi necessari per l’elaborazione delle informazioni dal punto di vista della loro riservatezza, integrità e disponibilità.
2. Ambito di applicazione
L’ambito di applicazione della presente politica di sicurezza si estende al gruppo Swietelsky e alle sue filiali, con tutti i loro collaboratori, le sedi e i servizi.
3. Principi
3.1 Mandato di gestione
Il consiglio di amministrazione di SWIETELSKY approva la presente politica di sicurezza delle informazioni come parte integrante della propria strategia aziendale.
Il consiglio di amministrazione riconosce gli obiettivi e i principi della sicurezza delle informazioni, in linea con la strategia e gli obiettivi della società.
Istituendo un sistema di gestione della sicurezza delle informazioni (SGSI) e mettendo a disposizione le risorse necessarie, il consiglio di amministrazione crea le possibilità per poter raggiungere gli obiettivi dell’SGSI. In quanto massima autorità dell’SGSI, il consiglio di amministrazione contribuisce.
3.2 Importanza della sicurezza delle informazioni
SWIETELSKY, per lo svolgimento della sua attività economica, dipende in larga misura dalla disponibilità delle informazioni e sempre più dal corretto funzionamento dei propri sistemi di informazione. L’elaborazione dei dati e la digitalizzazione stanno acquisendo man mano maggiore rilevanza nel settore edile. La creazione di reti all’interno della società ma anche con clienti, fornitori e joint venture rappresenta un grande aiuto per la prestazione di servizi. Eventuali interruzioni dei sistemi centrali possono in breve tempo causare danni di natura economica e di reputazione per SWIETELSKY.
La sicurezza delle informazioni genera la fiducia necessaria, sia a livello interno sia nei clienti che nei partner, per far progredire la digitalizzazione e in tal modo affrontare in modo mirato i rischi che ne derivano. Per questo motivo, gli aspetti normativi, tecnologici e organizzativi di questa tematica sono gestiti attivamente dal consiglio di amministrazione o dagli incaricati nominati da quest’ultimo.
4. Contesto dell’organizzazione
L’impresa di costruzioni è stata fondata nel 1936 dall’Ing. Hellmuth Swietelsky. Oggi SWIETELSKY AG conta in media oltre 10.000 collaboratori e rappresenta una delle principali società nel settore dell’edilizia in Austria.
Con sedi in 4 nazioni chiave (Austria, Germania, Repubblica Ceca, Ungheria) e in altri 15 Paesi, la società è interamente di proprietà privata. Le attività di SWIETELSKY spaziano in tutti gli ambiti dell’edilizia. Il gruppo porta a termine progetti di tutte le portate, con la massima qualità, flessibilità e puntualità.
“Un’organizzazione decentralizzata in centri di profitto, responsabilità delegate e la compartecipazione al successo fanno in modo che i nostri motivati e competenti collaboratori possano operare come “imprenditori all’interno dell’azienda” - La filosofia di SWIETELSKY
4.1 Condizioni interne
SWIETELSKY è una società organizzata in modo decentralizzato con varie divisioni aziendali indipendenti attive in Europa e in Australia. Common Services, così come Risorse umane, Finanza e IT sono invece gestiti a livello centrale.
Per soddisfare le richieste dei clienti, per gestire i requisiti delle gare di appalto e per il controllo dei provvedimenti, SWIETELSKY si avvale non solo dell’SGSI ma anche di altri sistemi di gestione. Questi sono adoperati in modo indipendente tra loro dai rispettivi incaricati, benché un coordinamento periodico fa sì che i sistemi di gestione funzionino in modo coerente.
4.2 Condizioni esterne
Le attività di SWIETELSKY spaziano in tutti gli ambiti dell’edilizia. Per svolgere le mansioni occorre una stretta collaborazione con vari fornitori, committenti, subappaltatori e altri concorrenti sotto forma di joint venture.
5. Parti interessate
Ci sono diverse parti interessate che impongono a SWIETELSKY i requisiti per l’SGSI.
5.1 Contraenti (clienti, fornitori, joint venture)
I contraenti si aspettano che i loro dati siano trattati in modo appropriato e soprattutto che i processi operativi siano fluidi, garantendo la disponibilità dei servizi.
5.2 Soggetti interni (divisioni aziendali, collaboratori)
I soggetti interni si aspettano servizi sempre funzionanti e disponibili. I periodi di inattività devono essere limitati il più possibile e non devono in alcun caso verificarsi in modo inaspettato. La misure di sicurezza devono essere applicate in background e non devono influire sul lavoro o complicarlo. Di tanto in tanto occorre porre rigorosi requisiti di riservatezza.
5.3 Azionisti (amministratori della società, proprietari)
Gli azionisti si aspettano di essere tutelati dai rischi economici, legali e di reputazione. L’SGSI deve utilizzare le risorse in modo efficiente e generare attraverso le certificazioni un vantaggio competitivo.
5.4 Amministrazione pubblica (autorità, legislatori)
L’amministrazione pubblica si aspetta il rispetto delle leggi. Tutte le informazioni che vengono trasmesse all’ente pubblico devono arrivare con puntualità ed essere corrette e complete.
6. Organizzazione
All’interno dell’SGSI sono definiti i seguenti ruoli e responsabilità fondamentali:
7. Obiettivi
Gli obiettivi dell’SGSI derivano dai principi del codice di condotta di SWIETELSKY.
Gli obiettivi strategici dell’SGSI qui descritti sono attribuiti agli obiettivi operativi. Questi sono misurati ogni anno con parametri di riferimento.
7.1 Proteggiamo il patrimonio della società
7.1.1 Prevenzione dei tempi di inattività inaspettati dei servizi IT a livello centrale
Le interruzioni di servizi a livello centrale possono avere conseguenze sull’attività operativa e provocare in breve tempo danni finanziari.
7.1.2 Prevenzione dei danni finanziari a seguito della criminalità informatica
Le azioni criminali attraverso mezzi elettronici possono portare a gravi danni finanziari.
7.2 Trattiamo in modo confidenziale i documenti aziendali e le informazioni
7.2.1 Protezione della riservatezza delle informazioni
La divulgazione o la pubblicazione in modo involontario di informazioni può avere effetti critici sulla reputazione di SWIETELSKY nonché comportare conseguenze a livello legale e contrattuale.
7.3 Rispettiamo le norme relative alla sicurezza informatica e alla protezione dei dati
7.3.1 Applicazione di un livello di sicurezza informatica all'avanguardia
Avvalendoci di un SGSI, allineando le misure di sicurezza alla norma ISO/IEC 27001 e attraverso certificazioni esterne dimostriamo nei confronti di terzi un livello di sicurezza all'avanguardia.
7.4 Sviluppo continuo
7.4.1 Consapevolezza del personale
Corsi e formazione continua sono la base per l’accrescimento della consapevolezza dei collaboratori di Swietelsky.
7.4.2 Miglioramento continuo dell’SGSI e delle misure di sicurezza
L’attuazione di un processo di miglioramento continuo nell’ambito dell’SGSI assicura una valutazione e uno sviluppo costanti delle misure esistenti e aiuta a identificare nuove misure sulla base del rischio.
8. Implementazione
Per implementare questa politica di sicurezza, nell’SGSI sono stati stabiliti i seguenti elementi chiave e processi:
9. Ambito di applicazione della norma ISO/IEC 27001
Sebbene l’ambito di applicazione della presente politica di sicurezza e dell’SGSI si estenda all’intera società, la certificazione esterna secondo la norma ISO/IEC 27001 si limita al seguente ambito di applicazione:
l’ambito di applicazione dell’SGSI include la messa a disposizione per tutto il gruppo e il funzionamento dei servizi IT centrali e l’infrastruttura necessaria allo scopo, in Austria.
Servizi
I servizi IT centrali nonché il funzionamento dell’infrastruttura IT sono i servizi pertinenti all’ambito di applicazione.
Processi
Come oggetto primario preso in considerazione per le mansioni dell’ambito di applicazione vi è il processo delle attività IT.
Reparti / Divisioni
La responsabilità per l’ambito di applicazione è della divisione IT e processi con i reparti Servizi IT agli utenti, Infrastruttura IT, ERP e processi nonché Cyber Security.
Sedi
Nell’ambito di applicazione rientrano le sedi centrali degli uffici IT, i locali server e backup e le sedi di backup IT in Austria.
Interfacce
Contestualmente all’ambito di applicazione si ha una stretta interazione di varie interfacce, come risorse umane, gestione qualità, digitalizzazione, gestione edifici, diritto nonché fornitori di servizi e partner di outsourcing.
Sistemi IT e applicazioni
Nell’ambito di applicazione rientrano tra l’altro dispositivi IT mobili e fissi, soluzioni di archiviazione e relativi backup, controlli degli accessi e gestione utenti, oltre a software di edilizia e per le risorse umane.
Unità legali
Tutti i processi, le persone, i reparti e le sedi rilevanti per l’ambito di applicazione fanno parte di SWIETELSKY.
Informazioni
L’ambito di applicazione comprende tutte le informazioni rilevanti per la prestazione dei servizi.