Sistema di Gestione Integrato
Abbiamo sviluppato un Sistema di Gestione Integrato (SGI) conforme ai requisiti delle norme internazionali ISO 9001, ISO 13485, ISO/IEC 20000-1, ISO/IEC 27001 e ISO 22301 integrato con standard specifici per l'ingegneria del software e dei sistemi con l'obiettivo di sviluppare metodologie di lavoro e processi capaci di coniugare standardizzazione con flessibilitā e capacitā di auto-miglioramento attraverso il supporto di persone competenti, consapevoli e motivate.

Il cambiamento come strategia di crescita

Creare valore attraverso prevenzione, soddisfazione, motivazione

Le suddette norme forniscono i requisiti per l’implementazione, l’attuazione e il miglioramento di un sistema di gestione per la qualità (ISO 9001 e ISO 13485), di un sistema di gestione dei servizi IT (ISO/IEC 20000-1), di un sistema di gestione per la sicurezza delle informazioni (ISO/IEC 27001), nonché di un sistema di gestione della business continuity (ISO 22301). Il Manuale di Gestione Integrata descrive l’insieme dei suddetti sistemi di gestione, i processi in scope di ogni sistema, le aziende del Gruppo a cui sono applicabili le norme indicate.

Politica per la Qualità (ISO 9001)

Il nostro gruppo è da sempre focalizzato sullo sviluppo di competenze e soluzioni, e l'erogazione di servizi di consulenza e di system integration che consentano ai nostri clienti di trasformare le esigenze di cambiamento in opportunità di crescita.

Per raggiungere questi obiettivi occorre sviluppare metodologie di lavoro e processi capaci di coniugare standardizzazione con flessibilità e capacità di auto miglioramento ed è necessario mantenere una forza lavoro altamente competente, consapevole e motivata.

Per questi motivi la Direzione ha definito una nuova organizzazione e intende attuare un sistema di gestione per la qualità, secondo la norma internazionale ISO 9001 integrato con standard specifici per l'ingegneria del software e dei sistemi (es. ISO/IEC 12207, ISO/IEC 250nn).

Il Sistema di Gestione per la Qualità, basato su un approccio mirato alla prevenzione delle non conformità, è monitorato sistematicamente per valutare la sua efficacia anche attraverso la conduzione di audit interni.

Gli obiettivi strategici della politica, che interagiscono tra loro in modo sinergico, sono:

  • assicurare che i bisogni dei clienti siano definiti e soddisfatti allo scopo di accrescerne la soddisfazione (Customer Satisfaction) e incrementare la loro fidelizzazione;
  • aumentare la comprensione e la motivazione del personale verso i traguardi e gli obiettivi aziendali, ed il loro apporto al miglioramento continuo dell'organizzazione (Employee Satisfaction);
  • migliorare la professionalità del personale e il suo utilizzo in modo efficace ed efficiente;
  • incrementare il vantaggio competitivo dell'azienda in modo efficace ed efficiente migliorando i risultati operativi e le quote di mercato;
  • sviluppare la capacità di creare valore sia attraverso l'ottimizzazione dei costi e delle risorse che aumentando la velocità di risposta al mercato.

Per rendere sistematici la pianificazione ed il raggiungimento di tali obiettivi e per renderli visibili ai propri Clienti, la Direzione oltre ad assicurare il proprio supporto, l'impiego di tutte le risorse finanziarie e professionali necessarie, intende fornire strumenti ed azioni volte a favorire la piena adozione del sistema di gestione per la qualità da parte di tutte le persone coinvolte nell'organizzazione ed incentivare il contributo di ognuno al suo miglioramento continuo.

Politica per la Gestione dei Servizi IT (ISO/IEC 20000-1)

I servizi sono caratterizzati da una forte e frequente interazione con il fruitore finale e si basano su concetti peculiari come la garanzia di continuità, disponibilità e rispetto di livelli prestazionali del servizio.

Exprivia ha deciso di diffondere al proprio interno la cultura della gestione in qualità dei servizi organizzando corsi di addestramento e promuovendo la qualificazione del proprio personale sulle best practices del settore (ITIL). In aggiunta, al fine di ottenere un formale riconoscimento esterno delle proprie capacità di gestire servizi IT in qualità, ha deciso l'adozione e la certificazione dei servizi IT erogati ai propri clienti in conformità alla norma internazionale ISO/IEC 20000.

In sintesi la Direzione aziendale assume un forte impegno nell'assicurare la pianificazione, lo sviluppo, l'attuazione, la conduzione, il monitoraggio, l'aggiornamento ed il miglioramento continuo dei servizi erogati ai propri clienti attraverso un Sistema di Gestione per i Servizi IT.

In modo specifico la Direzione si impegna a:

  • stabilire e comunicare il campo di applicazione, la politica e gli obiettivi relativi alla gestione del servizio;
  • assicurare che, per ogni servizio erogato sia creato, attuato e mantenuto aggiornato un piano di gestione del servizio al fine di adempiere alla politica, conseguire gli obiettivi per la gestione del servizio e soddisfare i requisiti del servizio;
  • comunicare l’importanza di soddisfare i requisiti del servizio;
  • comunicare l’importanza di soddisfare le prescrizioni legali e regolamentari, nonché gli obblighi contrattuali;
  • assicurare la messa a disposizione di risorse;
  • condurre i riesami di direzione ad intervalli prestabiliti;
  • assicurare che i rischi per i servizi siano valutati e gestiti;
  • assicurare che siano definite e tenute aggiornate le autorità e responsabilità per la gestione del servizio.

La Direzione ha, inoltre, designato un membro della struttura direzionale a cui ha assegnato l'autorità e la responsabilità per:

  • assicurare che i processi relativi al Sistema di Gestione Integrato siano stabiliti, attuati, tenuti aggiornati e migliorati in conformità alle norme ISO 9001, ISO 13485, ISO/IEC 20000-1 e ISO/IEC 27001 ed in accordo con le politiche e gli obiettivi stabiliti dalla Direzione;
  • assicurare che siano eseguite attività per identificare, documentare e soddisfare i requisiti dei prodotti e dei servizi;
  • assicurare, in tutta l'organizzazione, la promozione della consapevolezza dell'importanza di soddisfare sempre i requisiti dei clienti e quelli regolamentari;
  • assicurare che i beni, comprese le licenze, usate per sviluppare i prodotti ed erogare i servizi, siano gestiti secondo le prescrizioni legali e regolamentari nonché gli obblighi contrattuali;
  • mantenere i rapporti con gli organismi esterni per la certificazione delle diverse componenti del sistema di gestione integrato;
  • riferire alla Direzione sull'andamento del Sistema di Gestione Integrato compreso la necessità di eventuali miglioramenti.

Gli obiettivi strategici definiti sono gli stessi documentati per la Politica per la Qualità.

Politica del Sistema di Gestione per la Sicurezza delle Informazioni (ISO/IEC 27701)

La sicurezza delle informazioni è un tema di estrema rilevanza per qualsiasi organizzazione ed in particolare per società come Exprivia che oltre a gestire informazioni vitali per il proprio business, viene spesso a contatto con informazioni e dati dei propri clienti associati allo sviluppo di prodotti e all’erogazione dei servizi.

Per questo motivo la Direzione ha ritenuto opportuno definire una politica per la gestione delle informazione da diffondere a tutto il personale interno nonché a soggetti esterni che, interagendo con Exprivia possono venirne in possesso.

Lo scopo della presente politica è quello di definire:

  • gli obiettivi generali;
  • i principi di azione.

al fine di proteggere, da tutte le minacce, interne o esterne, intenzionali o accidentali, le informazioni che costituiscono il patrimonio informativo di Exprivia, nonché le informazioni dei propri clienti che sono gestite nel ciclo di vita dei prodotti e servizi forniti. La politica si applica alle attività di analisi, progettazione, sviluppo, installazione, manutenzione e gestione di sistemi informativi, nonché di progettazione, sviluppo ed erogazione di servizi di conduzione tecnica e operativa, ai processi e alle informazioni ad esse collegati.

Consapevole del fatto che le proprie attività di progettazione e sviluppo/erogazione per soggetti esterni possono comportare l’affidamento di dati e informazioni critiche, Exprivia opera secondo normative di sicurezza internazionalmente riconosciute.

Su tale linea Exprivia ha deciso di porre in essere un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) conforme ai requisiti della norma internazionale ISO/IEC 27001.

La Direzione ha stabilito i seguenti obiettivi per la Sicurezza delle Informazioni:

  • stabilire ed attuare un Sistema di Gestione per la Sicurezza delle Informazioni sulla base della norma ISO/IEC 27001;
  • garantire un appropriato livello di sicurezza delle informazioni nell’ambito del ciclo di vita dei prodotti e dei servizi erogati alla propria clientela, attraverso l’identificazione, la valutazione ed il trattamento dei rischi ai quali i prodotti/servizi stessi sono soggetti;
  • assicurare la continuità dei processi di business aziendali e dei servizi erogati ai propri Clienti;
  • prevenire gli incidenti della sicurezza delle informazioni e minimizzarne gli impatti, salvaguardando gli interessi aziendali e delle altre parti interessate;
  • assicurare la conformità alla normativa cogente applicabile;
  • aumentare, nel proprio personale, il livello di consapevolezza e la competenza sui temi della sicurezza delle informazioni;
  • salvaguardare l’immagine aziendale percepita dai clienti, quale fornitore affidabile e competente;
  • identificare opportunità di miglioramento finalizzate ad aumentare l’efficacia e l’efficienza del sistema di gestione e dei suoi processi.

Per ognuno di questi obiettivi sono stabiliti annualmente precisi traguardi a supporto e conferma del miglioramento continuo.

Per raggiungere i suddetti obiettivi Exprivia ha definito i seguenti principi e indirizzi generali:

  • l’informazione è un bene (asset) di vitale importanza per l’organizzazione e va tutelato attraverso efficaci mezzi di protezione e controllo che ne garantiscano la riservatezza, l’integrità e la disponibilità;
  • le informazioni di proprietà dei clienti affidati a Exprivia a qualsiasi titolo, devono essere protette come se fossero proprie e comunque nel rispetto degli accordi contrattuali eventualmente stabiliti;
  • le leggi e i regolamenti cogenti in materia di protezione delle informazioni stabiliti dalle autorità competenti costituiscono i requisiti di massima priorità nella realizzazione di prodotti e servizi e nell’agire quotidiano;
  • il controllo messo in atto per garantire la sicurezza delle informazioni deve essere determinato attraverso un rigoroso e continuo processo di gestione dei rischi;
  • la formazione/informazione sulle tematiche della sicurezza delle informazioni e sui processi aziendali messi in atto per garantirla deve essere assicurata al personale aziendale;
  • il sistema di gestione della sicurezza delle informazioni deve basarsi su modelli e best practice riconosciute a livello internazionale ed essere orientato al miglioramento continuo.

Al fine di assicurare il rispetto dei principi sopra elencati e il conseguimento degli obiettivi è stata definita la seguente specifica politica per la gestione dei rischi relativi alla sicurezza delle informazioni:

  • La protezione delle informazioni deve essere garantita da un’applicazione sistematica di controlli appropriati all’importanza dell’informazione da proteggere;
  • I controlli devono essere determinati attraverso un processo di gestione del rischio progettato e attuato sulla base di normative internazionali (ISO 31000 e ISO/IEC 27005);
  • L’efficacia dei controlli deve essere monitorata costantemente al fine di identificare opportunità di miglioramento;
  • I portatori di interesse interni ed esterni devono essere messi a conoscenza dell’efficacia del processo complessivo di gestione del rischio e consultati all’occorrenza nei momenti decisionali;
  • Le decisioni relative ai trattamenti dei rischi devono essere affidate a personale con appropriata autorità e responsabilità che deve decidere sulla base di un’accurata ponderazione dei rischi;
  • I rischi residui risultanti dalla fase di ponderazione del rischio devono assicurare i criteri di rischio definiti dalla Direzione e, in ogni caso la piena conformità a leggi e regolamenti applicabili;
  • Eventuali incidenti relativi alla sicurezza delle informazione devono essere risolti con tempestività e devono alimentare un processo di rivalutazione dei rischi;
  • L’identificazione e l’analisi dei potenziali rischi deve basarsi su dati storici interni all’organizzazione e su informazioni provenienti da forum e letteratura specialistici di settore.


Exprivia SpA Società soggetta a direzione e coordinamento della società Abaco Innovazione SpA

Sede Legale Via A. Olivetti 11 70056 Molfetta BA
Capitale Sociale i.v. Euro 26.979.658,16 • N. iscrizione al Reg. Imprese di Bari e C.F. 00721090298 P. IVA 09320730154
exprivia@pec.it
credits