Estratto della Politica per la Sicurezza delle Informazioni

Il Consortium GARR (GARR) considera un bene prezioso le informazioni che gli utenti affidano o trattano attraverso le tecnologie informatiche che mette a loro disposizione. Pertanto il GARR intende assumersi la responsabilità di proteggere e valorizzare tale patrimonio impegnandosi a garantire che tali informazioni possano essere utilizzate con la debita garanzia di accuratezza e completezza, che siano adeguatamente protette da uso improprio, da divulgazione non autorizzata e da danni o perdite.

La presente Politica per la Sicurezza delle Informazioni esprime tale impegno del GARR, nei confronti sia delle istituzioni aderenti al GARR che della sua comunità di riferimento, a garantire la sicurezza delle informazioni, degli strumenti fisici, logici e organizzativi atti al trattamento delle informazioni in tutte le attività di erogazione di servizi cloud.

Il GARR si impegna affinché le attività in questione si svolgano in modo tale da garantire i requisiti di riservatezza, integrità e disponibilità delle informazioni critiche o sensibili che gli sono affidate, effettuando opportuni controlli per evitare violazioni a tali requisiti.

Il GARR si è dotato di un Sistema di Gestione della Sicurezza delle informazioni (SGSI), per attuare una Politica per Sicurezza delle Informazioni con i seguenti obiettivi:

  • garantire la riservatezza e impedire l’alterazione o la perdita del patrimonio informativo;
  • soddisfare i requisiti espliciti ed impliciti degli utilizzatori dei servizi e delle parti interessate;
  • formazione, coinvolgimento e partecipazione attiva di tutto il personale affinché svolga con responsabilità il proprio ruolo nell’attuazione e nel miglioramento continuo della Politica per la Sicurezza delle Informazioni;
  • migliorare l’efficienza, la ripetibilità, l’affidabilità e le prestazioni di tutti i processi, adottando procedure possibilmente automatiche;
  • effettuare un’analisi dei rischi basata su indici e indicatori con i quali monitorare periodicamente l’adeguatezza e l’efficacia dei processi in uso;
  • rilevare e a tracciare gli eventi anomali, gli incidenti e le vulnerabilità dei sistemi informativi;
  • limitare l’incidenza e l’impatto delle minacce relative alla sicurezza delle informazioni;
  • conformità con i requisiti di legge e rispetto degli impegni di sicurezza stabiliti nei contratti con le terze parti;
  • conformità del SGSI con le norme di riferimento UNI EN ISO 27001:2013, ISO 27017:2015, ISO 27018:2019, alle normative relative alla privacy, in particolare alla GDPR e alle norme di settore;
  • adottare il principio dei diritti minimi necessari per ogni specifica finalità del trattamento.