InfoSec Policy Master — Gonzato Group / Ind.i.a SpA
Pacchetto onboarding IT Gonzato · Fase P2 · Head of IT · v1 03/07/2026 · bozza da compilare in azienda
Scopo del documento
Questa è la policy di sicurezza informativa "cappello" del Gruppo: il documento di riferimento (ISO 27001-oriented) da cui discendono tutte le policy specifiche. Definisce scope, principi, ruoli e responsabilità di alto livello, e aggancia gli obblighi NIS 2. Non contiene dettaglio tecnico: quello vive nelle policy discendenti e negli standard operativi.
Serve a dare al Gruppo un impegno formale e strutturato sulla sicurezza delle informazioni, oggi assente. È un abilitatore di split e crescita e uno strumento di riduzione del rischio-persona, non uno strumento di controllo.
Scope
- Perimetro organizzativo: tutte le società del Gruppo Gonzato / Ind.i.a SpA e le sedi nei 5 continenti, salvo eccezioni motivate e registrate.
- Perimetro informativo: informazioni e dati trattati dal Gruppo, inclusi dati di clienti luxury hospitality (riservatezza elevata), dati di produzione e dati aziendali interni.
- Perimetro tecnico: sistemi IT, applicazioni, reti, endpoint, servizi cloud/SaaS e [da compilare: eventuali sistemi OT/produzione in scope].
- Persone: dipendenti, collaboratori, fornitori con accesso ai sistemi.
Principi di sicurezza
- Riservatezza, Integrità, Disponibilità (CIA) come obiettivi primari.
- Least privilege: accesso minimo necessario al ruolo.
- Difesa in profondità: più livelli di controllo, nessun punto singolo di fiducia.
- Conoscenza documentata: i controlli devono essere descritti e trasferibili, non dipendere da singole persone.
- Proporzionalità al rischio: i controlli seguono la criticità dell'asset e del dato.
- Compliance by design: requisiti NIS 2 e privacy integrati nei processi, non aggiunti a posteriori.
- Miglioramento continuo: ciclo Plan-Do-Check-Act sulle policy e sui controlli.
Ruoli e responsabilità
| Ruolo | Responsabilità in materia di sicurezza |
|---|---|
| CdA / Direzione (Dario Gonzato) | Approva la policy master, alloca risorse, risponde ai fini NIS 2 (organo di gestione) |
| Responsabile IT di Gruppo | Owner della policy master, coordina il framework, riporta il rischio alla Direzione |
| Team IT | Implementa e presidia i controlli operativi, co-redige le policy discendenti |
| DPO / referente privacy | Presidia trattamento dati personali, coordinamento con InfoSec |
| Responsabili di società / funzione | Applicano la policy nel proprio perimetro, segnalano incidenti |
| Tutti gli utenti | Rispettano l'uso accettabile, segnalano anomalie e incidenti |
Nota: la ripartizione di dettaglio (chi fa cosa su ciascun processo) è formalizzata nella matrice RACI di Gruppo (rif. it-org-target-raci.md), co-costruita con il team IT.
Policy discendenti (riferimento)
Questa policy master è attuata dalle policy specifiche elencate in it-policy-index.md, tra cui in via prioritaria:
- Controllo Accessi e Identità
- Gestione Password e Credenziali
- Backup e Ripristino
- Business Continuity / Disaster Recovery
- Gestione Incidenti di Sicurezza
- Gestione dei Fornitori IT (supply chain)
- Classificazione e Protezione Dati
Aggancio NIS 2
Il Gruppo tratta la sicurezza informativa anche in ottica di conformità NIS 2, con particolare attenzione a:
- Governance e responsabilità dell'organo di gestione: la Direzione approva e supervisiona la gestione del rischio cyber.
- Analisi e gestione del rischio: processo strutturato e documentato.
- Gestione degli incidenti: rilevazione, risposta e notifica nei tempi previsti.
- Continuità operativa: backup, disaster recovery, gestione crisi.
- Sicurezza della supply chain: requisiti verso i fornitori IT.
- Formazione e igiene cyber: awareness periodica del personale.
[da compilare: esito valutazione se il Gruppo è "essential" o "important entity" ai fini NIS 2 e perimetro società interessate]
Sanzioni e conformità
Il mancato rispetto della policy è gestito secondo le procedure disciplinari aziendali applicabili. [da compilare: riferimento a regolamento/contratto e coordinamento con HR e norme locali per sedi estere].
Approvazione e revisione
| Ruolo | Nome | Firma | Data |
|---|---|---|---|
| Direzione / CdA | Dario Gonzato | ||
| Responsabile IT di Gruppo | [da compilare] |
Revisione a cadenza annuale o a fronte di cambi rilevanti (split, incidenti maggiori, evoluzione NIS 2). Owner: Responsabile IT di Gruppo. Processo di revisione: rif. it-policy-lifecycle.md.