La politica di sicurezza definisce i controlli tecnici e le configurazioni di sicurezza che utenti e amministratori dell’IT (Information Technology) hanno implementato al fine di garantire l’integrità e la disponibilità dell’ambiente dati gestiti da Archivium Srl, qui di seguito definita come Conservatore. Funge da documento della politica centrale, con cui tutti i dipendenti e outsourcer hanno dimestichezza, e definisce le azioni e i divieti a cui tutti gli utenti devono attenersi.
La gestione in sicurezza delle infrastrutture informatiche ha l’obiettivo di garantire che i sistemi, le postazioni di lavoro, le applicazioni, i servizi di rete, i servizi elaborativi forniscano le prestazioni elaborative ai livelli e con i requisiti di sicurezza definiti.
Vengono inoltre di seguito sintetizzati i principi generali in base ai quali è stata posta in essere la gestione sicura dei sistemi:
• è gestito ed aggiornato un inventario degli asset hardware e software;
• sono applicate regole standard per la installazione e la configurazione dei sistemi;
• le configurazioni dei sistemi sono disegnate tenendo in considerazione le esigenze attuali e future delle prestazioni;
• le configurazioni dei sistemi sono indirizzare nel modo più compiuto possibile verso la sicurezza built- in e devono facilitare l’installazione di ulteriori misure di sicurezza;
• sono adottate procedure standard di configurazione dei sistemi che indirizzino:
• disabilitazione o restrizione nell’utilizzo di alcuni particolari servizi;
• restrizioni nell’accesso ad utilities di sistema particolarmente critiche ed a funzioni di setting di sistema;
• utilizzo di funzioni di time-out;
• le principali esigenze di aggiornamenti in termini di patch e di fix di sicurezza;
• le configurazioni dei sistemi sono archiviate ed aggiornate all’interno di un repository governato centralmente;
• sono condotte regolarmente attività di monitoraggio sulle prestazioni dei sistemi al fine di gestire adeguatamente eventi, problemi e incidenti.
E’stata predisposta un’adeguata politica di backup, anche remoto, che naturalmente sia in accordo e coerenza con quanto previsto dal manuale della conservazione.
Requisiti e restrizioni della politica definite nel presente documento si applicano alle infrastrutture di rete, ai database, ai supporti esterni, alla crittografia, ai report stampati, a film, diapositive, modelli, wireless, telecomunicazioni, conversazioni e qualsiasi altro metodo usato per trasmettere conoscenze e idee attraverso tutti i meccanismi di trasmissione dati, hardware e software. Questa politica deve essere rispettata da tutti i dipendenti o lavoratori temporanei del Conservatore in tutte le sedi e dagli outsourcer che lavorano con il Conservatore come subappaltatori.