\n
![\"\"](\"https:\/\/sige-bs.com\/wp-content\/uploads\/2024\/09\/CMYK_EN-1-165x300.png\")
<\/p>\nSIGE compta amb el certificat ISO 27001:2022 i avala aix\u00ed el comprom\u00eds per la seguretat en els nostres sistemes. Aquesta norma internacional descriu com gestionar la seguretat de la informaci\u00f3 en les empreses i cerca assegurar la seva confidencialitat, integritat i disponibilitat minimitzant al m\u00e0xim possibles riscos i amenaces.
\n<\/p>\n
1. Introducci\u00f3<\/strong><\/p>\n La informaci\u00f3 constitueix un actiu de primer ordre per a GRUP ROCAJUNYENT, ja que resulta imprescindible per a la prestaci\u00f3 dels serveis que ofereix a terceres parts. Per part seva, les tecnologies de la informaci\u00f3 i les comunicacions (TIC) s’han fet imprescindibles per a les organitzacions, ja que contribueixen de forma molt efica\u00e7 al tractament d’aquesta informaci\u00f3. No obstant aix\u00f2, les millores que aporten les TIC al tractament de la informaci\u00f3 venen acompanyades de nous riscos. Per aquesta ra\u00f3 \u00e9s necessari introduir mesures espec\u00edfiques per a protegir tant la informaci\u00f3 com els serveis que depenen d’ella.<\/p>\n La seguretat de la informaci\u00f3 t\u00e9 com a objectiu protegir la informaci\u00f3 i els serveis, reduint els riscos als quals estan sotmesos fins a un nivell que resulti acceptable. El present document estableix la Pol\u00edtica de Seguretat de la Informaci\u00f3 de GRUP ROCAJUNYENT per a assegurar que tots els professionals al seu servei tant directa com indirectament, coneix, dirigeix i dona suport a la seguretat de la informaci\u00f3.<\/p>\n Amb aix\u00f2 es pret\u00e9n aconseguir l’alineament estrat\u00e8gic de la gesti\u00f3 de la seguretat de la informaci\u00f3 amb les normes internacionals i les regulacions legislatives existents en la mat\u00e8ria.<\/p>\n 2. Missi\u00f3 i objectius de la pol\u00edtica de seguretat de la informaci\u00f3<\/strong><\/p>\n GRUP *ROCAJUNYENT ha establert un alineament amb la gesti\u00f3 de la seguretat de la informaci\u00f3 segons el que s’estableix en el marc normatiu de l’est\u00e0ndard de mercats ISO 27001, reconeixent com a actius estrat\u00e8gics, la informaci\u00f3 i els sistemes que suporten.<\/p>\n Un dels objectius fonamentals de la implantaci\u00f3 d’aquesta Pol\u00edtica de Seguretat de la Informaci\u00f3 \u00e9s establir les bases sobre les quals tant empleats interns, com a terceres parts, puguin accedir als serveis oferts per GRUP *ROCAJUNYENT en un entorn segur i de confian\u00e7a.<\/p>\n La Pol\u00edtica de Seguretat de la Informaci\u00f3 defineix el marc global per a la gesti\u00f3 de la seguretat de la informaci\u00f3 protegint tots els actius de la informaci\u00f3 i garantint la continu\u00eftat en el funcionament dels sistemes. Es pret\u00e9n d’aquesta manera minimitzar els riscos derivats d’una possible falla en la seguretat i assegurar el compliment dels objectius de GRUP *ROCAJUNYENT davant un hipot\u00e8tic incident de seguretat de la informaci\u00f3.<\/p>\n Per a aix\u00f2, s’estableixen els seg\u00fcents objectius generals en mat\u00e8ria de seguretat de la informaci\u00f3:<\/p>\n Contribuir des de la gesti\u00f3 de seguretat al compliment de la missi\u00f3 i objectius establerts per GRUP *ROCAJUNYENT.<\/p>\n Disposar de les mesures de control necess\u00e0ries per a garantir el compliment dels requisits legals que siguin aplicable a conseq\u00fc\u00e8ncia de l’activitat desenvolupada, especialment quant a la protecci\u00f3 de dades de car\u00e0cter personal i a la prestaci\u00f3 de serveis a trav\u00e9s de mitjans electr\u00f2nics o telem\u00e0tics.<\/p>\n Assegurar l’accessibilitat, confidencialitat, integritat, disponibilitat, autenticitat i tra\u00e7abilitat de la informaci\u00f3.<\/p>\n Assegurar la prestaci\u00f3 continuada dels serveis, tant de manera preventiva com de manera reactiva davant els incidents de seguretat.<\/p>\n Protegir els actius d’informaci\u00f3 de GRUP *ROCAJUNYENT i la tecnologia que els suporta enfront de qualsevol amena\u00e7a, intencionada o accidental, interna o externa, amb la finalitat d’assegurar la confidencialitat, integritat i disponibilitat d’aquests.<\/p>\n Aquesta Pol\u00edtica de Seguretat de la Informaci\u00f3 assegura un comprom\u00eds continu i manifest de GRUP *ROCAJUNYENT, per a la difusi\u00f3 i consolidaci\u00f3 de la cultura de la seguretat.<\/p>\n 3. Abast<\/strong><\/p>\n Aquesta Pol\u00edtica de seguretat de la Informaci\u00f3 s’aplicar\u00e0 a tota la informaci\u00f3 de GRUP *ROCAJUNYENT. A aquest efecte s’ent\u00e9n per GRUP *ROCAJUNYENT.<\/p>\n C\/ Aribau,198 1a Planta (Barcelona).<\/p>\n C\/ Jos\u00e9 Abascal, 56 6a Planta (Madrid).<\/p>\n C\/ Gran Via Jaume I, 37 5a Planta (Girona).<\/p>\n Estenent l’abast dels sistemes d’informaci\u00f3 proporcionats per *ROCAJUNYENT a les seg\u00fcents organitzacions:<\/p>\n *SIGE *BUSINESS *SERVICES, S.L.P.O (\u201c*SIGE\u201d) amb oficines en les mateixes ubicacions.<\/p>\n 4. Marc normatiu<\/strong><\/p>\n Es defineix com a GRUP *ROCAJUNYENT amb el conjunt de totes les organitzacions anteriorment descrites.<\/p>\n Aquesta Pol\u00edtica no es limita a les dades de car\u00e0cter personal i \u00e9s independent que el tractament sigui manual o automatitzat.<\/p>\n La legislaci\u00f3 en mat\u00e8ria de seguretat de la informaci\u00f3, que ha de servir de refer\u00e8ncia, s’actualitza de manera cont\u00ednua i es queda reflectit en el \u201cAnnex: Legislaci\u00f3 aplicable\u201d.<\/p>\n 5. Revisi\u00f3 de la pol\u00edtica<\/strong><\/p>\n En relaci\u00f3 amb les revisions que puguin realitzar-se sobre la redacci\u00f3 del text que constitueix la pol\u00edtica de seguretat de la informaci\u00f3, es distingiran dos tipus d’activitats:<\/p>\n Revisions peri\u00f2diques sistem\u00e0tiques: hauran de realitzar-se almenys amb una periodicitat anual, o quan es detectin incid\u00e8ncies o canvis en el marc legal que puguin q\u00fcestionar la validesa d’aquesta Pol\u00edtica. La revisi\u00f3 de la Pol\u00edtica de Seguretat de la Informaci\u00f3 haur\u00e0 de garantir que aquesta es troba alineada amb l’estrat\u00e8gia, la missi\u00f3 i visi\u00f3 de GRUP *ROCAJUNYENT en mat\u00e8ria de seguretat de la informaci\u00f3 i que assegura el compliment dels objectius de control establerts.<\/p>\n Revisions no planificades:\u00a0aquestes revisions hauran de realitzar-se en resposta a qualsevol esdeveniment o incident de seguretat que pogu\u00e9s suposar un increment significatiu del nivell de risc actual o hagi causat un impacte en la seguretat de la informaci\u00f3 de GRUP *ROCAJUNYENT.<\/p>\n 6. Organitzaci\u00f3 interna de la seguretat<\/strong><\/p>\n La seguretat de la informaci\u00f3 correspon, amb les funcions que s’assenyalen per a cadascun en aquest apartat, als seg\u00fcents \u00f2rgans: Comit\u00e8 de Seguretat de la Informaci\u00f3 de GRUP *ROCAJUNYENT, Responsables de la Informaci\u00f3, Responsables del Servei, Responsables de Seguretat i, en cas que sigui pertinent, Responsables de Seguretat Delegats.<\/p>\n 6.1. Comit\u00e8 de Seguretat de la Informaci\u00f3 i Protecci\u00f3 de Dades.<\/strong><\/p>\n El Comit\u00e8 de Seguretat de la Informaci\u00f3 i Protecci\u00f3 de Dades \u00e9s l’organisme que centralitza la gesti\u00f3 de la seguretat de la informaci\u00f3 en l’organitzaci\u00f3.<\/p>\n Quan ho justifiqui la complexitat, la separaci\u00f3 f\u00edsica dels seus elements o el nombre d’usuaris de la informaci\u00f3 en suport electr\u00f2nic, o dels sistemes que la manegin, podran crear-se Comit\u00e8s de Seguretat delegats, dependents funcionalment del Comit\u00e8 de Seguretat de la Informaci\u00f3 i Protecci\u00f3 de Dades principal, que seran responsables en el seu \u00e0mbit de les actuacions que se’ls deleguin.<\/p>\n El Comit\u00e8 de Seguretat de la Informaci\u00f3 i Protecci\u00f3 de Dades \u00e9s el responsable de garantir que el *SGSI sigui implementat i mantingut d’acord amb aquesta Pol\u00edtica i de garantir que tots els recursos necessaris estiguin disponibles.<\/p>\n El Comit\u00e8 de Seguretat de la Informaci\u00f3 i Protecci\u00f3 de Dades definir\u00e0 quina informaci\u00f3 relacionada amb la seguretat de la informaci\u00f3 i ser\u00e0 comunicada a quina part interessada (tant interna com externa), per qui i quan.<\/p>\n 6.2. Responsable de Seguretat<\/strong><\/p>\n Ser\u00e0 la persona que determinar\u00e0 les decisions per a satisfer els requisits de seguretat de la informaci\u00f3 i dels serveis. Tindr\u00e0 les seg\u00fcents funcions:<\/p>\n 6.3. Responsable de Sistemes<\/strong><\/p>\n Quan ho justifiqui la complexitat, la separaci\u00f3 f\u00edsica dels seus elements o el nombre d’usuaris de la informaci\u00f3 en suport electr\u00f2nic, o dels sistemes que la manegin, podran designar-se \u00abresponsables de seguretat delegats\u00bb, dependents funcionalment del responsable principal, que seran responsables en el seu \u00e0mbit de les actuacions que se’ls deleguin.<\/p>\n Ser\u00e0\/n la\/s persona\/s encarregada\/s d’implementar les mesures de seguretat designades pel Responsable de Seguretat de la informaci\u00f3.<\/p>\n Ser\u00e0\/n la\/s persona\/s encarregada\/s de monitorar els sistemes d’informaci\u00f3 i del seguiment de les mesures implementades.<\/p>\n 6.4. Gerent<\/strong><\/p>\n L’alta direcci\u00f3 ha de revisar el *SGSI almenys una vegada per any o cada vegada que es produeixi una modificaci\u00f3 significativa; i ha d’elaborar minutes d’aquestes reunions. L’objectiu de les verificacions per part de l’adre\u00e7a \u00e9s establir la conveni\u00e8ncia, adequaci\u00f3 i efic\u00e0cia del *SGSI.<\/p>\n 6.5. Delegat de Protecci\u00f3 de Dades<\/strong><\/p>\n Ser\u00e0 la persona encarregada de desenvolupar les pol\u00edtiques relacionades amb la protecci\u00f3 de dades, aix\u00ed com participar en el comit\u00e8 per a aportar la seva visi\u00f3 respecte als incidents de seguretat i la seva afectaci\u00f3 a dades de car\u00e0cter personal.<\/p>\n 6.6. Altres \u00e0rees<\/strong><\/p>\n La protecci\u00f3 de la integritat, disponibilitat i confidencialitat dels actius \u00e9s responsabilitat del propietari de cada actiu.<\/p>\n Tots els incidents o febleses de seguretat han de ser informats al responsable de seguretat.<\/p>\n El departament de recursos humans \u00e9s el responsable d’adoptar i implementar el Pla de capacitaci\u00f3 i conscienciaci\u00f3, que correspon a totes les persones que compleixen una funci\u00f3 en la gesti\u00f3 de la seguretat de la informaci\u00f3.<\/p>\n 7. Resoluci\u00f3 de conflictes<\/strong><\/p>\n En cas de conflicte entre els diferents responsables que componen l’estructura organitzativa de la Pol\u00edtica de Seguretat de la Informaci\u00f3, aquest ser\u00e0 resolt per la Direcci\u00f3 de GRUP *ROCAJUNYENT, i prevaldran les majors exig\u00e8ncies derivades de la protecci\u00f3 de dades de car\u00e0cter personal.<\/p>\n 8. Classificaci\u00f3 de la informaci\u00f3<\/strong><\/p>\n GRUP *ROCAJUNYENT classificar\u00e0 i inventariar\u00e0 els actius de la informaci\u00f3 en virtut de la seva naturalesa. El nivell de protecci\u00f3 i les mesures a aplicar es basaran en el resultat d’aquesta classificaci\u00f3.<\/p>\n 9. Dades de car\u00e0cter personal<\/strong><\/p>\n Quan un sistema al qual afecti ISO 27001 manegi dades de car\u00e0cter personal, li ser\u00e0 aplicable el que es disposa en Reglament Europeu 679\/2016 de protecci\u00f3 de dades i en la Llei org\u00e0nica 3\/2018, del 5 de desembre, de Protecci\u00f3 de Dades de Car\u00e0cter Personal i les seves normes de desenvolupament, sense perjudici dels requisits establerts en el marc regulador de l’ISO 27001 en l’\u00e0mbit de l’Administraci\u00f3 Electr\u00f2nica. Tots els sistemes d’informaci\u00f3 s’ajustaran als nivells de seguretat requerits per la normativa de protecci\u00f3 de dades de car\u00e0cter personal.<\/p>\n 10. Gesti\u00f3 de riscos<\/strong><\/p>\n Tots els sistemes subjectes a aquesta Pol\u00edtica hauran de ser sotmesos a una an\u00e0lisi i gesti\u00f3 de riscos, avaluant els actius, amenaces i vulnerabilitats als quals estan exposats i proposant les contramesures adequades per a mitigar els riscos. Encara que es precisa un control continu dels canvis realitzats en els sistemes, aquesta an\u00e0lisi es repetir\u00e0:<\/p>\n 11. Instrument de desenvolupament<\/strong><\/p>\n Per a l’harmonitzaci\u00f3 de les an\u00e0lisis de riscos, s’establir\u00e0 una valoraci\u00f3 de refer\u00e8ncia per als diferents tipus d’informaci\u00f3 manejats i els diferents serveis prestats.<\/p>\n S’estableix un marc normatiu en mat\u00e8ria de seguretat de la informaci\u00f3 estructurat per diferents nivells de manera que els objectius marcats pel present document tinguin un desenvolupament espec\u00edfic. La pol\u00edtica de seguretat de la informaci\u00f3 estructurar\u00e0 el seu marc normatiu en els seg\u00fcents nivells:<\/p>\n La present Pol\u00edtica de Seguretat de la Informaci\u00f3 que estableix els requisits i criteris de protecci\u00f3 de car\u00e0cter global.<\/p>\n Les normes de seguretat que defineixen qu\u00e8 cal protegir i els requisits de seguretat desitjats. El conjunt de totes les normes de seguretat ha de cobrir la protecci\u00f3 de tots els entorns dels sistemes d’informaci\u00f3 de l’organitzaci\u00f3. Estableixen un conjunt d’expectatives i requisits que han de ser aconseguits per a poder satisfer i complir cadascun dels objectius de seguretat establerts en la pol\u00edtica. Les proposa el Responsable de Seguretat i les aprova el Comit\u00e8 de Seguretat de la Informaci\u00f3.<\/p>\n Els procediments de seguretat en els quals descriur\u00e0 de manera concreta com protegir el definit en les normes i les persones o grups responsables de la implantaci\u00f3, manteniment i seguiment del seu nivell de compliment. S\u00f3n documents que especifiquen com dur a terme les tasques habituals, qui ha de fer cada tasca i com identificar i reportar comportaments an\u00f2mals.<\/p>\n 12. Obligacions dels \u00a0professionals<\/strong><\/p>\n La seva aprovaci\u00f3 dependr\u00e0 del seu \u00e0mbit d’aplicaci\u00f3, que podr\u00e0 ser en un \u00e0mbit espec\u00edfic o en un sistema d’informaci\u00f3 determinat.<\/p>\n A m\u00e9s, es podran establir guies amb recomanacions i bones pr\u00e0ctiques.<\/p>\n En la mesura que sigui possible, tota aquesta documentaci\u00f3 ser\u00e0 gestionada segons estableix el procediment vigent de Control de documents i registres en GRUP *ROCAJUNYENT, que tindr\u00e0 com a objectiu establir els criteris per al control de la documentaci\u00f3 i registres de seguretat utilitzats en el Sistema de Gesti\u00f3 de la Seguretat de la Informaci\u00f3 i que s’est\u00e9n a tota la documentaci\u00f3 que dona suport al compliment d’ISO 27001.<\/p>\n Tots els professionals amb responsabilitat en l’\u00fas, operaci\u00f3, o administraci\u00f3 de sistemes de tecnologies de la informaci\u00f3 i les comunicacions tenen l’obligaci\u00f3 de con\u00e8ixer i complir aquesta Pol\u00edtica de Seguretat de la Informaci\u00f3 i la normativa de seguretat derivada, independentment del tipus de relaci\u00f3 jur\u00eddica que els vinculi amb GRUP *ROCAJUNYENT.<\/p>\n Totes les persones rebran formaci\u00f3 per al maneig segur dels sistemes en la mesura en qu\u00e8 la necessitin per a fer el seu treball.<\/p>\n La Pol\u00edtica de Seguretat de la Informaci\u00f3 estar\u00e0 accessible per a tots els professionals que prestin els seus serveis en els \u00f2rgans i entitats a qu\u00e8 es refereix el punt relatiu al ‘Abast’.<\/p>\n Amb l’objectiu de fomentar la ‘Cultura de la seguretat’, el Comit\u00e8 de Seguretat de la Informaci\u00f3 promour\u00e0 un programa de conscienciaci\u00f3 continua per a formar a tots els professionals. L’incompliment de la Pol\u00edtica de Seguretat de la Informaci\u00f3 i la seva normativa de desenvolupament donar\u00e0 lloc a l’establiment de mesures preventives i correctives encaminades a salvaguardar i protegir les xarxes i sistemes d’informaci\u00f3, sense perjudici de la corresponent exig\u00e8ncia de responsabilitat disciplin\u00e0ria.<\/p>\n 13. Relacions amb tercers<\/strong><\/p>\n Quan GRUP *ROCAJUNYENT presti serveis o cedeixi informaci\u00f3 a terceres parts, se’ls far\u00e0 part\u00edcip d’aquesta Pol\u00edtica de Seguretat de la Informaci\u00f3 i de les normes i instruccions derivades.<\/p>\n Aix\u00ed mateix, quan GRUP *ROCAJUNYENT utilitzi serveis de tercers o cedeixi informaci\u00f3 a tercers se’ls far\u00e0 igualment part\u00edcip d’aquesta Pol\u00edtica de Seguretat de la Informaci\u00f3 i de la normativa i instruccions de seguretat que concerneixi a aquests serveis o informaci\u00f3. Els tercers quedaran subjectes a les obligacions i mesures de seguretat establertes en aquesta normativa i instruccions, podent desenvolupar els seus propis procediments operatius per a satisfer-la. S’establiran procediments espec\u00edfics de detecci\u00f3 i resoluci\u00f3 d’incid\u00e8ncies.<\/p>\n Es garantir\u00e0 que el personal de tercers est\u00e0 adequadament conscienciat en mat\u00e8ria de seguretat de la informaci\u00f3, almenys al mateix nivell que l’establert en aquesta Pol\u00edtica de Seguretat de la Informaci\u00f3.<\/p>\n En concret, els tercers hauran de garantir el compliment de la pol\u00edtica de seguretat de la informaci\u00f3 basades en est\u00e0ndards *auditables que permetin verificar el compliment d’aquestes pol\u00edtiques. Aix\u00ed mateix, es garantir\u00e0 mitjan\u00e7ant auditoria o certificat de destrucci\u00f3\/esborrat que la tercera cancel\u00b7la i elimina les dades pertanyents a GRUP *ROCAJUNYENT a la finalitzaci\u00f3 del contracte.<\/p>\n Quan algun aspecte de la Pol\u00edtica de la Seguretat de la Informaci\u00f3 no pugui ser satisfet per una tercera part, es requerir\u00e0 un informe del Responsable de Seguretat de la Informaci\u00f3 que precisi els riscos en qu\u00e8 s’incorre i la manera de tractar-los. Es requerir\u00e0 l’aprovaci\u00f3 d’aquest informe pel Gerent abans de seguir endavant.<\/p>\n Aprovada per:<\/p>\n Comit\u00e8 de Seguretat de la Informaci\u00f3 i Protecci\u00f3 de Dades<\/p>\n\n
\n