← Indice pacchetto onboarding

InfoSec Policy Master — Gonzato Group / Ind.i.a SpA

Pacchetto onboarding IT Gonzato · Fase P2 · Head of IT · v1 03/07/2026 · bozza da compilare in azienda

Scopo del documento

Questa è la policy di sicurezza informativa "cappello" del Gruppo: il documento di riferimento (ISO 27001-oriented) da cui discendono tutte le policy specifiche. Definisce scope, principi, ruoli e responsabilità di alto livello, e aggancia gli obblighi NIS 2. Non contiene dettaglio tecnico: quello vive nelle policy discendenti e negli standard operativi.

Serve a dare al Gruppo un impegno formale e strutturato sulla sicurezza delle informazioni, oggi assente. È un abilitatore di split e crescita e uno strumento di riduzione del rischio-persona, non uno strumento di controllo.

Scope

Principi di sicurezza

  1. Riservatezza, Integrità, Disponibilità (CIA) come obiettivi primari.
  2. Least privilege: accesso minimo necessario al ruolo.
  3. Difesa in profondità: più livelli di controllo, nessun punto singolo di fiducia.
  4. Conoscenza documentata: i controlli devono essere descritti e trasferibili, non dipendere da singole persone.
  5. Proporzionalità al rischio: i controlli seguono la criticità dell'asset e del dato.
  6. Compliance by design: requisiti NIS 2 e privacy integrati nei processi, non aggiunti a posteriori.
  7. Miglioramento continuo: ciclo Plan-Do-Check-Act sulle policy e sui controlli.

Ruoli e responsabilità

RuoloResponsabilità in materia di sicurezza
CdA / Direzione (Dario Gonzato)Approva la policy master, alloca risorse, risponde ai fini NIS 2 (organo di gestione)
Responsabile IT di GruppoOwner della policy master, coordina il framework, riporta il rischio alla Direzione
Team ITImplementa e presidia i controlli operativi, co-redige le policy discendenti
DPO / referente privacyPresidia trattamento dati personali, coordinamento con InfoSec
Responsabili di società / funzioneApplicano la policy nel proprio perimetro, segnalano incidenti
Tutti gli utentiRispettano l'uso accettabile, segnalano anomalie e incidenti
Nota: la ripartizione di dettaglio (chi fa cosa su ciascun processo) è formalizzata nella matrice RACI di Gruppo (rif. it-org-target-raci.md), co-costruita con il team IT.

Policy discendenti (riferimento)

Questa policy master è attuata dalle policy specifiche elencate in it-policy-index.md, tra cui in via prioritaria:

Aggancio NIS 2

Il Gruppo tratta la sicurezza informativa anche in ottica di conformità NIS 2, con particolare attenzione a:

[da compilare: esito valutazione se il Gruppo è "essential" o "important entity" ai fini NIS 2 e perimetro società interessate]

Sanzioni e conformità

Il mancato rispetto della policy è gestito secondo le procedure disciplinari aziendali applicabili. [da compilare: riferimento a regolamento/contratto e coordinamento con HR e norme locali per sedi estere].

Approvazione e revisione

RuoloNomeFirmaData
Direzione / CdADario Gonzato
Responsabile IT di Gruppo[da compilare]

Revisione a cadenza annuale o a fronte di cambi rilevanti (split, incidenti maggiori, evoluzione NIS 2). Owner: Responsabile IT di Gruppo. Processo di revisione: rif. it-policy-lifecycle.md.