Qualitäts- und Informationssicherheitsrichtlinie

Ziele der Informationssicherheit

Die Geschäftsleitung definiert und überprüft regelmäßig die Ziele der Informationssicherheit, die mit dieser Richtlinie und dem Kontext der Organisation übereinstimmen. Die Ziele sind messbar, werden den relevanten Funktionen mitgeteilt und im Rahmen der Managementbewertung aktualisiert. Sie umfassen unter anderem:

• Die Reduzierung der Anzahl und der Auswirkungen von Sicherheitsvorfällen
• Die Aufrechterhaltung der mit den Kunden vereinbarten Dienstverfügbarkeit (SLAs)
• Die kontinuierliche Anpassung an geltende regulatorische und vertragliche Anforderungen
• Die Verbesserung des Sicherheitsbewusstseins der Mitarbeiter
• Die Verkürzung der Erkennungs- und Reaktionszeiten bei Vorfällen (MTTD/MTTR)

Integrierte Cybersicherheit

Das QISMS verfolgt einen integrierten Cybersicherheitsansatz, der auf präventiven Schutz, die rechtzeitige Erkennung von Bedrohungen und eine koordinierte Reaktion auf Vorfälle ausgerichtet ist. Die Organisation wendet Grundsätze wie Zugangskontrolle, logische Segmentierung, kontinuierliche Überwachung, digitales Risikomanagement und den Einsatz resilienter Architekturen entlang der gesamten Wertschöpfungskette an.

Anwendungsbereich

Das System gilt für die Bereitstellung von Cloud-IT-Diensten, die laufende Verwaltung der IT-Infrastruktur der Kunden und die Erbringung von Internetdiensten, in Übereinstimmung mit den Erwartungen der interessierten Parteien und unter Einhaltung der geltenden Vorschriften. Die Geschäftsleitung verpflichtet sich, ihre Fähigkeit nachzuweisen, sichere und zuverlässige Dienste zu erbringen, das Risiko von Informationsverlust oder -nichtverfügbarkeit zu minimieren, die operative Planung und die Kontinuität der erbrachten Dienste sicherzustellen. Die Risikoanalyse wird systematisch durchgeführt, mit regelmäßigen Aktualisierungen, die aufkommende Bedrohungen sowie technische oder organisatorische Schwachstellen berücksichtigen.

Regulatorische Konformität

Die Einhaltung der geltenden Gesetze, vertraglichen Anforderungen und Unternehmensverfahren ist integraler Bestandteil des Systems, ebenso wie die Förderung des QISMS-Bewusstseins bei strategischen Lieferanten, die an kritischen Prozessen beteiligt sind. Das QISMS entspricht den Kontrollen der ISO/IEC 27001, der ISO/IEC 27017 für Cloud-Dienste und der ISO/IEC 27018 für den Schutz personenbezogener Daten in Cloud-Umgebungen sowie der Verordnung (EU) 2016/679 (DSGVO), soweit die Organisation als Auftragsverarbeiter handelt.

Die Organisation handelt darüber hinaus in Übereinstimmung mit den Anforderungen der Richtlinie (EU) 2022/2555 (NIS2) und den Bestimmungen der italienischen Nationalen Agentur für Cybersicherheit (ACN) als qualifizierter Anbieter von Cloud-Diensten für die öffentliche Verwaltung. Die implementierten Kontrollen berücksichtigen die Anforderungen an die Meldung von Vorfällen, das Risikomanagement und die Sicherheitsgovernance gemäß dem europäischen Rechtsrahmen.

Sicherheit der Cloud-Dienste

Betriebskontinuität

Die Organisation plant und unterhält Prozesse zur Betriebskontinuität, die der Kritikalität der erbrachten Dienste angemessen sind. Die Kontinuitäts- und Disaster-Recovery-Pläne werden definiert, dokumentiert, regelmäßig getestet und entsprechend der Entwicklung der Infrastruktur, der Dienste und der Bedrohungslage aktualisiert. Ziel ist es, die Wiederherstellung der Dienste innerhalb der vereinbarten Zeiträume (RTO) und mit einem Datenverlust innerhalb der festgelegten Grenzen (RPO) sicherzustellen.

Sicherheit der Lieferkette

Die Organisation bewertet und steuert Risiken, die sich aus der Lieferkette ergeben, mit besonderem Augenmerk auf Lieferanten, die Kundeninformationen verarbeiten oder kritische Infrastrukturkomponenten bereitstellen. Die Sicherheitsanforderungen werden vertraglich festgelegt und deren Einhaltung wird durch Überwachungsmaßnahmen und regelmäßige Überprüfungen gemäß der Kontrolle A.5.21 der ISO/IEC 27001:2022 verifiziert.

Künstliche Intelligenz

Die Organisation ist kontinuierlich bestrebt, Lösungen auf Basis künstlicher Intelligenz zu bewerten und, wo sinnvoll, einzuführen, mit dem Ziel, die Fähigkeiten zur Bedrohungserkennung zu verbessern, die Reaktion auf Vorfälle zu automatisieren und prädiktive Analysen zu ermöglichen, unter Einhaltung der Grundsätze der Transparenz, Verhältnismäßigkeit und des Schutzes der Rechte der Betroffenen.

Verantwortung und kontinuierliche Verbesserung

Alle beteiligten Parteien, einschließlich externer Partner, sind verpflichtet, Ereignisse zu melden, die die Informationssicherheit gefährden könnten. Diese Richtlinie wird allen Mitarbeitern mitgeteilt und den relevanten interessierten Parteien zur Verfügung gestellt. Die Geschäftsleitung übernimmt die volle Verantwortung für die Wirksamkeit des QISMS und verpflichtet sich, dessen Umsetzung, kontinuierliche Verbesserung und regelmäßige Überprüfung sicherzustellen.