Sistema Di Gestione Della Sicurezza Delle Informazioni
L’ARPEA, ai sensi del Reg. (UE) n. 2115/2021, per quanto riguarda la sicurezza dei sistemi d’informazione ha individuato nella International Standards Organisation (Organizzazione internazionale per la standardizzazione) ISO/IEC 27001:2013 la norma su cui certificare i processi aziendali.
In data 26/09/2016 l’Agenzia ha ottenuto formalmente la certificazione ISO/IEC 27001:2013
La parte ICT di ARPEA è affidata in outsourcing al CSI Piemonte, quale partner informatico dell’amministrazione piemontese. L’implementazione di parte dei punti di controllo previsti dalla norma ISO/IEC 27001:2013 è garantita e di responsabilità di strutture aziendali diverse da ARPEA. La struttura CSI Piemonte, responsabile della gestione in esercizio dei sistemi informativi, è interfaccia fondamentale di ARPEA rispetto alla quale assicura, ad esempio:
- la gestione delle aree sicure per proteggere i sistemi con speciali requisiti di sicurezza, compresi gli ambienti di sviluppo e test;
- la gestione della collocazione e protezione delle apparecchiature;
- la cura della manutenzione ordinaria e preventiva delle infrastrutture di supporto ai sistemi;
- la pianificazione dei cambiamenti dei sistemi e degli impianti di elaborazione delle informazioni;
- parte della gestione degli incidenti di sicurezza.
Alcune delle attività sopra indicate sono disciplinate tra ARPEA e CSI Piemonte mediante appositi SLA così come definiti nel rapporto contrattuale in essere tra Regione e CSI. La conformità delle attività per le quali non sono definiti SLA specifici rispetto ai requisiti di ARPEA, è stata valutata mediante la verifica dei processi e delle modalità operative di CSI Piemonte stessa.
ARPEA Sistemi Informativi contribuisce (in collaborazione con le Aree owner dei processi) a stabilire criteri e metodi necessari per assicurare l’efficacia dell’operatività e del controllo dei processi del SGSI. Viene assicurata, inoltre, la disponibilità delle risorse e delle informazioni necessarie per attuare e monitorare tali processi.
Il Sistema Di Gestione Della Sicurezza Delle Informazioni gestisce, infatti, la tutela dell’integrità, della riservatezza e della disponibilità dell’informazione nell’ambito di un sistema aziendale orientato ai processi ed al miglioramento continuo permettendo così il controllo costante e sistematico di tutti i processi compresi quelli legati alla sicurezza.
