POLÍTICA DE SEGURETAT DE LA INFORMACIÓ
SIGE compta amb el certificat ISO 27001:2022 i avala així el compromís per la seguretat en els nostres sistemes. Aquesta norma internacional descriu com gestionar la seguretat de la informació en les empreses i cerca assegurar la seva confidencialitat, integritat i disponibilitat minimitzant al màxim possibles riscos i amenaces.
1. Introducció
La informació constitueix un actiu de primer ordre per a GRUP ROCAJUNYENT, ja que resulta imprescindible per a la prestació dels serveis que ofereix a terceres parts. Per part seva, les tecnologies de la informació i les comunicacions (TIC) s’han fet imprescindibles per a les organitzacions, ja que contribueixen de forma molt eficaç al tractament d’aquesta informació. No obstant això, les millores que aporten les TIC al tractament de la informació venen acompanyades de nous riscos. Per aquesta raó és necessari introduir mesures específiques per a protegir tant la informació com els serveis que depenen d’ella.
La seguretat de la informació té com a objectiu protegir la informació i els serveis, reduint els riscos als quals estan sotmesos fins a un nivell que resulti acceptable. El present document estableix la Política de Seguretat de la Informació de GRUP ROCAJUNYENT per a assegurar que tots els professionals al seu servei tant directa com indirectament, coneix, dirigeix i dona suport a la seguretat de la informació.
Amb això es pretén aconseguir l’alineament estratègic de la gestió de la seguretat de la informació amb les normes internacionals i les regulacions legislatives existents en la matèria.
2. Missió i objectius de la política de seguretat de la informació
GRUP *ROCAJUNYENT ha establert un alineament amb la gestió de la seguretat de la informació segons el que s’estableix en el marc normatiu de l’estàndard de mercats ISO 27001, reconeixent com a actius estratègics, la informació i els sistemes que suporten.
Un dels objectius fonamentals de la implantació d’aquesta Política de Seguretat de la Informació és establir les bases sobre les quals tant empleats interns, com a terceres parts, puguin accedir als serveis oferts per GRUP *ROCAJUNYENT en un entorn segur i de confiança.
La Política de Seguretat de la Informació defineix el marc global per a la gestió de la seguretat de la informació protegint tots els actius de la informació i garantint la continuïtat en el funcionament dels sistemes. Es pretén d’aquesta manera minimitzar els riscos derivats d’una possible falla en la seguretat i assegurar el compliment dels objectius de GRUP *ROCAJUNYENT davant un hipotètic incident de seguretat de la informació.
Per a això, s’estableixen els següents objectius generals en matèria de seguretat de la informació:
Contribuir des de la gestió de seguretat al compliment de la missió i objectius establerts per GRUP *ROCAJUNYENT.
Disposar de les mesures de control necessàries per a garantir el compliment dels requisits legals que siguin aplicable a conseqüència de l’activitat desenvolupada, especialment quant a la protecció de dades de caràcter personal i a la prestació de serveis a través de mitjans electrònics o telemàtics.
Assegurar l’accessibilitat, confidencialitat, integritat, disponibilitat, autenticitat i traçabilitat de la informació.
Assegurar la prestació continuada dels serveis, tant de manera preventiva com de manera reactiva davant els incidents de seguretat.
Protegir els actius d’informació de GRUP *ROCAJUNYENT i la tecnologia que els suporta enfront de qualsevol amenaça, intencionada o accidental, interna o externa, amb la finalitat d’assegurar la confidencialitat, integritat i disponibilitat d’aquests.
Aquesta Política de Seguretat de la Informació assegura un compromís continu i manifest de GRUP *ROCAJUNYENT, per a la difusió i consolidació de la cultura de la seguretat.
3. Abast
Aquesta Política de seguretat de la Informació s’aplicarà a tota la informació de GRUP *ROCAJUNYENT. A aquest efecte s’entén per GRUP *ROCAJUNYENT.
C/ Aribau,198 1a Planta (Barcelona).
C/ José Abascal, 56 6a Planta (Madrid).
C/ Gran Via Jaume I, 37 5a Planta (Girona).
Estenent l’abast dels sistemes d’informació proporcionats per *ROCAJUNYENT a les següents organitzacions:
*SIGE *BUSINESS *SERVICES, S.L.P.O (“*SIGE”) amb oficines en les mateixes ubicacions.
4. Marc normatiu
Es defineix com a GRUP *ROCAJUNYENT amb el conjunt de totes les organitzacions anteriorment descrites.
Aquesta Política no es limita a les dades de caràcter personal i és independent que el tractament sigui manual o automatitzat.
La legislació en matèria de seguretat de la informació, que ha de servir de referència, s’actualitza de manera contínua i es queda reflectit en el “Annex: Legislació aplicable”.
5. Revisió de la política
En relació amb les revisions que puguin realitzar-se sobre la redacció del text que constitueix la política de seguretat de la informació, es distingiran dos tipus d’activitats:
Revisions periòdiques sistemàtiques: hauran de realitzar-se almenys amb una periodicitat anual, o quan es detectin incidències o canvis en el marc legal que puguin qüestionar la validesa d’aquesta Política. La revisió de la Política de Seguretat de la Informació haurà de garantir que aquesta es troba alineada amb l’estratègia, la missió i visió de GRUP *ROCAJUNYENT en matèria de seguretat de la informació i que assegura el compliment dels objectius de control establerts.
Revisions no planificades: aquestes revisions hauran de realitzar-se en resposta a qualsevol esdeveniment o incident de seguretat que pogués suposar un increment significatiu del nivell de risc actual o hagi causat un impacte en la seguretat de la informació de GRUP *ROCAJUNYENT.
6. Organització interna de la seguretat
La seguretat de la informació correspon, amb les funcions que s’assenyalen per a cadascun en aquest apartat, als següents òrgans: Comitè de Seguretat de la Informació de GRUP *ROCAJUNYENT, Responsables de la Informació, Responsables del Servei, Responsables de Seguretat i, en cas que sigui pertinent, Responsables de Seguretat Delegats.
6.1. Comitè de Seguretat de la Informació i Protecció de Dades.
El Comitè de Seguretat de la Informació i Protecció de Dades és l’organisme que centralitza la gestió de la seguretat de la informació en l’organització.
Quan ho justifiqui la complexitat, la separació física dels seus elements o el nombre d’usuaris de la informació en suport electrònic, o dels sistemes que la manegin, podran crear-se Comitès de Seguretat delegats, dependents funcionalment del Comitè de Seguretat de la Informació i Protecció de Dades principal, que seran responsables en el seu àmbit de les actuacions que se’ls deleguin.
El Comitè de Seguretat de la Informació i Protecció de Dades és el responsable de garantir que el *SGSI sigui implementat i mantingut d’acord amb aquesta Política i de garantir que tots els recursos necessaris estiguin disponibles.
El Comitè de Seguretat de la Informació i Protecció de Dades definirà quina informació relacionada amb la seguretat de la informació i serà comunicada a quina part interessada (tant interna com externa), per qui i quan.
6.2. Responsable de Seguretat
Serà la persona que determinarà les decisions per a satisfer els requisits de seguretat de la informació i dels serveis. Tindrà les següents funcions:
- Coordinació operativa del *SGSI, com també d’informar el seu acompliment
- Realitzar o promoure auditories periòdiques per a verificar el compliment de les obligacions en matèria de seguretat de la informació.
- Realitzar el seguiment i control de l’estat de seguretat dels sistemes d’informació.
- Proposar al Comitè de Seguretat de la Informació i Protecció de Dades les normes de seguretat i els procediments de seguretat.
6.3. Responsable de Sistemes
Quan ho justifiqui la complexitat, la separació física dels seus elements o el nombre d’usuaris de la informació en suport electrònic, o dels sistemes que la manegin, podran designar-se «responsables de seguretat delegats», dependents funcionalment del responsable principal, que seran responsables en el seu àmbit de les actuacions que se’ls deleguin.
Serà/n la/s persona/s encarregada/s d’implementar les mesures de seguretat designades pel Responsable de Seguretat de la informació.
Serà/n la/s persona/s encarregada/s de monitorar els sistemes d’informació i del seguiment de les mesures implementades.
6.4. Gerent
L’alta direcció ha de revisar el *SGSI almenys una vegada per any o cada vegada que es produeixi una modificació significativa; i ha d’elaborar minutes d’aquestes reunions. L’objectiu de les verificacions per part de l’adreça és establir la conveniència, adequació i eficàcia del *SGSI.
6.5. Delegat de Protecció de Dades
Serà la persona encarregada de desenvolupar les polítiques relacionades amb la protecció de dades, així com participar en el comitè per a aportar la seva visió respecte als incidents de seguretat i la seva afectació a dades de caràcter personal.
6.6. Altres àrees
La protecció de la integritat, disponibilitat i confidencialitat dels actius és responsabilitat del propietari de cada actiu.
Tots els incidents o febleses de seguretat han de ser informats al responsable de seguretat.
El departament de recursos humans és el responsable d’adoptar i implementar el Pla de capacitació i conscienciació, que correspon a totes les persones que compleixen una funció en la gestió de la seguretat de la informació.
7. Resolució de conflictes
En cas de conflicte entre els diferents responsables que componen l’estructura organitzativa de la Política de Seguretat de la Informació, aquest serà resolt per la Direcció de GRUP *ROCAJUNYENT, i prevaldran les majors exigències derivades de la protecció de dades de caràcter personal.
8. Classificació de la informació
GRUP *ROCAJUNYENT classificarà i inventariarà els actius de la informació en virtut de la seva naturalesa. El nivell de protecció i les mesures a aplicar es basaran en el resultat d’aquesta classificació.
9. Dades de caràcter personal
Quan un sistema al qual afecti ISO 27001 manegi dades de caràcter personal, li serà aplicable el que es disposa en Reglament Europeu 679/2016 de protecció de dades i en la Llei orgànica 3/2018, del 5 de desembre, de Protecció de Dades de Caràcter Personal i les seves normes de desenvolupament, sense perjudici dels requisits establerts en el marc regulador de l’ISO 27001 en l’àmbit de l’Administració Electrònica. Tots els sistemes d’informació s’ajustaran als nivells de seguretat requerits per la normativa de protecció de dades de caràcter personal.
10. Gestió de riscos
Tots els sistemes subjectes a aquesta Política hauran de ser sotmesos a una anàlisi i gestió de riscos, avaluant els actius, amenaces i vulnerabilitats als quals estan exposats i proposant les contramesures adequades per a mitigar els riscos. Encara que es precisa un control continu dels canvis realitzats en els sistemes, aquesta anàlisi es repetirà:
- almenys una vegada a l’any (mitjançant revisió i aprovació formal).
- quan canviï la informació manejada
- quan canviïn els serveis prestats
- quan ocorri un incident greu de seguretat
- quan es reportin vulnerabilitats greus
11. Instrument de desenvolupament
Per a l’harmonització de les anàlisis de riscos, s’establirà una valoració de referència per als diferents tipus d’informació manejats i els diferents serveis prestats.
S’estableix un marc normatiu en matèria de seguretat de la informació estructurat per diferents nivells de manera que els objectius marcats pel present document tinguin un desenvolupament específic. La política de seguretat de la informació estructurarà el seu marc normatiu en els següents nivells:
La present Política de Seguretat de la Informació que estableix els requisits i criteris de protecció de caràcter global.
Les normes de seguretat que defineixen què cal protegir i els requisits de seguretat desitjats. El conjunt de totes les normes de seguretat ha de cobrir la protecció de tots els entorns dels sistemes d’informació de l’organització. Estableixen un conjunt d’expectatives i requisits que han de ser aconseguits per a poder satisfer i complir cadascun dels objectius de seguretat establerts en la política. Les proposa el Responsable de Seguretat i les aprova el Comitè de Seguretat de la Informació.
Els procediments de seguretat en els quals descriurà de manera concreta com protegir el definit en les normes i les persones o grups responsables de la implantació, manteniment i seguiment del seu nivell de compliment. Són documents que especifiquen com dur a terme les tasques habituals, qui ha de fer cada tasca i com identificar i reportar comportaments anòmals.
12. Obligacions dels professionals
La seva aprovació dependrà del seu àmbit d’aplicació, que podrà ser en un àmbit específic o en un sistema d’informació determinat.
A més, es podran establir guies amb recomanacions i bones pràctiques.
En la mesura que sigui possible, tota aquesta documentació serà gestionada segons estableix el procediment vigent de Control de documents i registres en GRUP *ROCAJUNYENT, que tindrà com a objectiu establir els criteris per al control de la documentació i registres de seguretat utilitzats en el Sistema de Gestió de la Seguretat de la Informació i que s’estén a tota la documentació que dona suport al compliment d’ISO 27001.
Tots els professionals amb responsabilitat en l’ús, operació, o administració de sistemes de tecnologies de la informació i les comunicacions tenen l’obligació de conèixer i complir aquesta Política de Seguretat de la Informació i la normativa de seguretat derivada, independentment del tipus de relació jurídica que els vinculi amb GRUP *ROCAJUNYENT.
Totes les persones rebran formació per al maneig segur dels sistemes en la mesura en què la necessitin per a fer el seu treball.
La Política de Seguretat de la Informació estarà accessible per a tots els professionals que prestin els seus serveis en els òrgans i entitats a què es refereix el punt relatiu al ‘Abast’.
Amb l’objectiu de fomentar la ‘Cultura de la seguretat’, el Comitè de Seguretat de la Informació promourà un programa de conscienciació continua per a formar a tots els professionals. L’incompliment de la Política de Seguretat de la Informació i la seva normativa de desenvolupament donarà lloc a l’establiment de mesures preventives i correctives encaminades a salvaguardar i protegir les xarxes i sistemes d’informació, sense perjudici de la corresponent exigència de responsabilitat disciplinària.
13. Relacions amb tercers
Quan GRUP *ROCAJUNYENT presti serveis o cedeixi informació a terceres parts, se’ls farà partícip d’aquesta Política de Seguretat de la Informació i de les normes i instruccions derivades.
Així mateix, quan GRUP *ROCAJUNYENT utilitzi serveis de tercers o cedeixi informació a tercers se’ls farà igualment partícip d’aquesta Política de Seguretat de la Informació i de la normativa i instruccions de seguretat que concerneixi a aquests serveis o informació. Els tercers quedaran subjectes a les obligacions i mesures de seguretat establertes en aquesta normativa i instruccions, podent desenvolupar els seus propis procediments operatius per a satisfer-la. S’establiran procediments específics de detecció i resolució d’incidències.
Es garantirà que el personal de tercers està adequadament conscienciat en matèria de seguretat de la informació, almenys al mateix nivell que l’establert en aquesta Política de Seguretat de la Informació.
En concret, els tercers hauran de garantir el compliment de la política de seguretat de la informació basades en estàndards *auditables que permetin verificar el compliment d’aquestes polítiques. Així mateix, es garantirà mitjançant auditoria o certificat de destrucció/esborrat que la tercera cancel·la i elimina les dades pertanyents a GRUP *ROCAJUNYENT a la finalització del contracte.
Quan algun aspecte de la Política de la Seguretat de la Informació no pugui ser satisfet per una tercera part, es requerirà un informe del Responsable de Seguretat de la Informació que precisi els riscos en què s’incorre i la manera de tractar-los. Es requerirà l’aprovació d’aquest informe pel Gerent abans de seguir endavant.
Aprovada per:
Comitè de Seguretat de la Informació i Protecció de Dades