Sicurezza delle informazioni


17/6/2024
L’Agenzia regionale di sanità Toscana (ARS) considera la tutela della sicurezza dei dati come parte integrante della sua attività e come impegno strategico rispetto alle finalità più generali dell’Organizzazione.
L’ARS si è dotata, con decreto direttore n°48 del 21/05/2024, di un Sistema di Gestione di Sicurezza delle Informazioni (di seguito SGSI) conforme allo standard internazionale ISO/IEC 27001:2022, come certificato dall’ente accreditato DNV con certificato n° C682263.
L’attività chiave intorno a cui è stato progettato il SGSI è la progettazione ed erogazione di servizi di consulenza e ricerca per il sistema sanitario della Regione Toscana.

A tale scopo l’ARS si impegna:

  • a rispettare, nello svolgimento delle attività di erogazione dei servizi, i requisiti di sicurezza che derivano dalle specifiche progettuali, dagli accordi contrattuali e dalle procedure interne
  • ad assicurare, nella gestione e nello svolgimento di qualunque commessa a prescindere dalla sua tipologia, il rispetto dei principi alla base della sicurezza delle informazioni
  • a definire e applicare una metodologia di analisi e valutazione dei rischi al fine di identificare minacce e vulnerabilità del proprio SGSI e attuare le opportune contromisure
  • a fare in modo che il SGSI coinvolga l’intera organizzazione aziendale, ognuno secondo le proprie attribuzioni e competenze; a tal fine tutto il personale sarà sensibilizzato e formato per svolgere i propri compiti in sicurezza e per assumere le proprie responsabilità in materia
  • a programmare le attività operative tramite la definizione preventiva dei piani di sicurezza generali e specifici per ogni singolo progetto. Inoltre, tali aspetti saranno riportati, laddove possibile, anche negli aspetti contrattuali con gli enti esterni
  • a favorire il miglioramento continuo della sicurezza e della prevenzione con attività di monitoraggio in linea con il sistema SGSI
  • a prevedere negli accordi con terze parti requisiti di sicurezza quali, clausole contrattuali volte a garantire l’integrità, disponibilità e confidenzialità e non divulgazione di informazioni aziendali, nell’interesse dell’Agenzia stessa e delle società clienti
  • a controllare, tramite un sistema di monitoraggio, l’attuazione del SGSI verificando l’osservanza delle disposizioni legislative e regolamentari nonché le proprie procedure in materia di sicurezza delle informazioni
  • a riesaminare periodicamente, con cadenza almeno annuale, la politica di sicurezza e il sistema SGSI, e in caso di cambiamenti significativi per quanto concerne la sicurezza delle informazioni
  • a effettuare periodicamente, con cadenza almeno annuale, le attività di Audit Interno e di Riesame di Direzione per valutare il grado di maturità della sicurezza delle informazioni e definire i piani di miglioramento

Inoltre:

  • garantisce la Riservatezza, l’Integrità e la Disponibilità delle informazioni gestite
  • valuta costantemente il rischio afferente al trattamento delle informazioni e ai processi che caratterizzano l’organizzazione
  • protegge il patrimonio informativo in maniera proattiva
  • preserva al meglio l’immagine dell’Agenzia quale partner affidabile e competente
  • garantisce a tutti i soggetti esterni un elevato grado di confidenzialità delle informazioni gestite
  • persegue il miglioramento continuo dei processi di sicurezza
  • assicura un elevato livello di resilienza ai processi di Business
  • garantisce il pieno rispetto della normativa vigente in tema di Protezione dei Dati
  • diffonde la cultura della sicurezza nel personale aumentando il livello di sensibilità e la competenza attraverso opportune azioni formative e informative.