POLITIQUE DE SÉCURITÉ DE L’INFORMATION
SIGE dispose du certificat ISO 27001:2022 et confirme ainsi son engagement en matière de sécurité de nos systèmes. Cette norme internationale décrit comment gérer la sécurité de l’information dans les entreprises et vise à assurer sa confidentialité, son intégrité et sa disponibilité en minimisant au maximum les risques et menaces éventuels.
1. Introduction
L’information constitue un actif de premier ordre pour le GROUPE ROCAJUNYENT, puisqu’elle est indispensable à la prestation des services qu’il offre à des tiers. De leur côté, les technologies de l’information et de la communication (TIC) sont devenues indispensables pour les organisations, car elles contribuent de manière très efficace au traitement de cette information. Toutefois, les améliorations que les TIC apportent au traitement de l’information s’accompagnent de nouveaux risques. Pour cette raison, il est nécessaire d’introduire des mesures spécifiques afin de protéger tant l’information que les services qui en dépendent.
La sécurité de l’information a pour objectif de protéger l’information et les services, en réduisant les risques auxquels ils sont soumis jusqu’à un niveau acceptable. Le présent document établit la Politique de Sécurité de l’Information du GROUPE ROCAJUNYENT afin de garantir que tous les professionnels à son service, tant directement qu’indirectement, connaissent, dirigent et soutiennent la sécurité de l’information.
L’objectif est également d’atteindre l’alignement stratégique de la gestion de la sécurité de l’information avec les normes internationales et les réglementations législatives existantes en la matière.
2. Mission et objectifs de la politique de sécurité de l’information
Le GROUPE ROCAJUNYENT a établi un alignement avec la gestion de la sécurité de l’information conformément à ce qui est prévu dans le cadre normatif de la norme ISO 27001, reconnaissant comme actifs stratégiques l’information et les systèmes qui la supportent.
L’un des objectifs fondamentaux de la mise en œuvre de cette Politique de Sécurité de l’Information est d’établir les bases sur lesquelles les employés internes, ainsi que les tiers, peuvent accéder aux services offerts par le GROUPE ROCAJUNYENT dans un environnement sûr et de confiance.
La Politique de Sécurité de l’Information définit le cadre global de gestion de la sécurité de l’information en protégeant tous les actifs d’information et en garantissant la continuité du fonctionnement des systèmes. Il s’agit ainsi de minimiser les risques dérivés d’une éventuelle défaillance de sécurité et d’assurer la réalisation des objectifs du GROUPE ROCAJUNYENT face à un éventuel incident de sécurité de l’information.
À cet effet, les objectifs généraux suivants sont établis en matière de sécurité de l’information :
Contribuer, à travers la gestion de la sécurité, à la réalisation de la mission et des objectifs établis par le GROUPE ROCAJUNYENT.
Disposer des mesures de contrôle nécessaires pour garantir le respect des exigences légales applicables en conséquence de l’activité développée, notamment en ce qui concerne la protection des données à caractère personnel et la prestation de services par des moyens électroniques ou télématiques.
Assurer l’accessibilité, la confidentialité, l’intégrité, la disponibilité, l’authenticité et la traçabilité de l’information.
Assurer la prestation continue des services, tant de manière préventive que réactive face aux incidents de sécurité.
Protéger les actifs d’information du GROUPE ROCAJUNYENT et la technologie qui les supporte contre toute menace, intentionnelle ou accidentelle, interne ou externe, afin d’assurer leur confidentialité, intégrité et disponibilité.
Cette Politique de Sécurité de l’Information garantit un engagement continu et manifeste du GROUPE ROCAJUNYENT pour la diffusion et la consolidation de la culture de la sécurité.
3. Portée
Cette Politique de Sécurité de l’Information s’appliquera à toute l’information du GROUPE ROCAJUNYENT. À cet effet, on entend par GROUPE ROCAJUNYENT :
C/ Aribau, 198 1er étage (Barcelone).
C/ José Abascal, 56 6e étage (Madrid).
C/ Gran Via Jaume I, 37 5e étage (Gérone).
En étendant la portée des systèmes d’information fournis par ROCAJUNYENT aux organisations suivantes :
SIGE BUSINESS SERVICES, S.L.P.O (« SIGE ») disposant de bureaux aux mêmes adresses.
4. Cadre normatif
On définit comme GROUPE ROCAJUNYENT l’ensemble de toutes les organisations précédemment décrites.
Cette Politique ne se limite pas aux données à caractère personnel et est indépendante du fait que le traitement soit manuel ou automatisé.
La législation en matière de sécurité de l’information, qui doit servir de référence, est mise à jour de manière continue et est reflétée dans l’« Annexe : Législation applicable ».
5. Révision de la politique
En ce qui concerne les révisions pouvant être réalisées sur la rédaction du texte constituant la politique de sécurité de l’information, deux types d’activités seront distingués :
Révisions périodiques systématiques : elles devront être réalisées au moins une fois par an, ou lorsqu’une incidence ou un changement dans le cadre légal pouvant remettre en question la validité de cette Politique est détecté. La révision de la Politique de Sécurité de l’Information devra garantir qu’elle est alignée avec la stratégie, la mission et la vision du GROUPE ROCAJUNYENT en matière de sécurité de l’information et qu’elle assure le respect des objectifs de contrôle établis.
Révisions non planifiées : ces révisions devront être réalisées en réponse à tout événement ou incident de sécurité pouvant entraîner une augmentation significative du niveau de risque actuel ou ayant causé un impact sur la sécurité de l’information du GROUPE ROCAJUNYENT.
6. Organisation interne de la sécurité
La sécurité de l’information correspond, avec les fonctions indiquées pour chacun dans cette section, aux organes suivants : Comité de Sécurité de l’Information du GROUPE ROCAJUNYENT, Responsables de l’Information, Responsables du Service, Responsables de Sécurité et, le cas échéant, Responsables de Sécurité délégués.
6.1. Comité de Sécurité de l’Information et Protection des Données
Le Comité de Sécurité de l’Information et Protection des Données est l’organisme qui centralise la gestion de la sécurité de l’information dans l’organisation.
Lorsque la complexité, la séparation physique de ses éléments ou le nombre d’utilisateurs de l’information sur support électronique, ou des systèmes qui la gèrent, le justifient, des Comités de Sécurité délégués pourront être créés, dépendant fonctionnellement du Comité principal de Sécurité de l’Information et Protection des Données, et responsables dans leur domaine des actions qui leur seront déléguées.
Le Comité de Sécurité de l’Information et Protection des Données est responsable de garantir que le SGSI est mis en œuvre et maintenu conformément à cette Politique et de garantir que toutes les ressources nécessaires sont disponibles.
Le Comité de Sécurité de l’Information et Protection des Données définira quelle information liée à la sécurité de l’information sera communiquée, à quelle partie intéressée (interne ou externe), par qui et à quel moment.
6.2. Responsable de Sécurité
Il s’agira de la personne qui déterminera les décisions nécessaires pour satisfaire les exigences de sécurité de l’information et des services. Ses fonctions seront les suivantes :
• Coordination opérationnelle du SGSI, ainsi que l’information sur ses performances.
• Réaliser ou promouvoir des audits périodiques afin de vérifier le respect des obligations en matière de sécurité de l’information.
• Assurer le suivi et le contrôle de l’état de sécurité des systèmes d’information.
• Proposer au Comité de Sécurité de l’Information et Protection des Données les normes et procédures de sécurité.
6.3. Responsable des Systèmes
Lorsque la complexité, la séparation physique de ses éléments ou le nombre d’utilisateurs de l’information sur support électronique, ou des systèmes qui la gèrent, le justifient, des « responsables de sécurité délégués » pourront être désignés, dépendant fonctionnellement du responsable principal, et responsables dans leur domaine des actions qui leur seront déléguées.
Il s’agira de la ou des personnes chargées de mettre en œuvre les mesures de sécurité désignées par le Responsable de la Sécurité de l’information.
Il s’agira également de la ou des personnes chargées de surveiller les systèmes d’information et de suivre les mesures mises en œuvre.
6.4. Direction
La haute direction devra réviser le SGSI au moins une fois par an ou chaque fois qu’une modification significative se produit, et devra établir les comptes rendus de ces réunions. L’objectif de ces vérifications est d’établir la pertinence, l’adéquation et l’efficacité du SGSI.
6.5. Délégué à la Protection des Données
Il s’agira de la personne chargée de développer les politiques liées à la protection des données, ainsi que de participer au comité afin d’apporter son point de vue concernant les incidents de sécurité et leur impact sur les données à caractère personnel.
6.6. Autres domaines
La protection de l’intégrité, de la disponibilité et de la confidentialité des actifs est la responsabilité du propriétaire de chaque actif.
Tous les incidents ou faiblesses de sécurité doivent être signalés au responsable de la sécurité.
Le département des ressources humaines est responsable d’adopter et de mettre en œuvre le plan de formation et de sensibilisation, destiné à toutes les personnes impliquées dans la gestion de la sécurité de l’information.
7. Résolution des conflits
En cas de conflit entre les différents responsables composant la structure organisationnelle de la Politique de Sécurité de l’Information, celui-ci sera résolu par la Direction du GROUPE ROCAJUNYENT, et prévaudront les exigences les plus élevées dérivées de la protection des données à caractère personnel.
8. Classification de l’information
Le GROUPE ROCAJUNYENT classera et inventorisera les actifs d’information selon leur nature. Le niveau de protection et les mesures à appliquer seront basés sur le résultat de cette classification.
9. Données à caractère personnel
Lorsqu’un système concerné par ISO 27001 traite des données à caractère personnel, les dispositions du Règlement Européen 679/2016 sur la protection des données et de la Loi Organique 3/2018 du 5 décembre relative à la protection des données à caractère personnel et de ses normes de développement seront applicables, sans préjudice des exigences établies dans le cadre réglementaire de l’ISO 27001 dans le domaine de l’administration électronique. Tous les systèmes d’information s’adapteront aux niveaux de sécurité exigés par la réglementation relative à la protection des données à caractère personnel.
10. Gestion des risques
Tous les systèmes soumis à cette Politique devront faire l’objet d’une analyse et d’une gestion des risques, évaluant les actifs, les menaces et les vulnérabilités auxquels ils sont exposés et proposant les contre-mesures appropriées pour atténuer les risques. Bien qu’un contrôle continu des changements réalisés dans les systèmes soit nécessaire, cette analyse sera répétée :
• au moins une fois par an (par révision et approbation formelle).
• lorsque l’information traitée change.
• lorsque les services fournis changent.
• lorsqu’un incident grave de sécurité survient.
• lorsque des vulnérabilités graves sont signalées.
11. Instrument de développement
Afin d’harmoniser les analyses de risques, une évaluation de référence sera établie pour les différents types d’information traités et les différents services fournis.
Un cadre normatif en matière de sécurité de l’information est établi, structuré en différents niveaux, afin que les objectifs définis dans le présent document disposent d’un développement spécifique.
La politique de sécurité de l’information structurera son cadre normatif aux niveaux suivants :
La présente Politique de Sécurité de l’Information, qui établit les exigences et critères de protection de caractère global.
Les normes de sécurité qui définissent ce qui doit être protégé et les exigences de sécurité souhaitées.
Les procédures de sécurité qui décriront concrètement comment protéger ce qui est défini dans les normes ainsi que les personnes ou groupes responsables de leur mise en œuvre, de leur maintenance et du suivi de leur niveau de conformité.
12. Obligations des professionnels
Tous les professionnels ayant des responsabilités dans l’utilisation, l’exploitation ou l’administration des systèmes de technologies de l’information et de la communication ont l’obligation de connaître et de respecter cette Politique de Sécurité de l’Information et la réglementation de sécurité qui en découle, indépendamment du type de relation juridique qui les lie au GROUPE ROCAJUNYENT.
Toutes les personnes recevront la formation nécessaire pour l’utilisation sécurisée des systèmes dans la mesure où cela est nécessaire pour accomplir leur travail.
La Politique de Sécurité de l’Information sera accessible à tous les professionnels qui fournissent leurs services dans les organes et entités mentionnés dans la section relative à la « Portée ».
Afin de promouvoir la « culture de la sécurité », le Comité de Sécurité de l’Information encouragera un programme continu de sensibilisation pour former tous les professionnels.
Le non-respect de la Politique de Sécurité de l’Information et de sa réglementation de développement donnera lieu à la mise en place de mesures préventives et correctives visant à sauvegarder et protéger les réseaux et systèmes d’information, sans préjudice de l’exigence de responsabilité disciplinaire correspondante.
13. Relations avec des tiers
Lorsque le GROUPE ROCAJUNYENT fournit des services ou transmet des informations à des tiers, ceux-ci seront informés de cette Politique de Sécurité de l’Information et des normes et instructions qui en découlent.
De même, lorsque le GROUPE ROCAJUNYENT utilise des services de tiers ou transmet des informations à des tiers, ceux-ci seront également informés de cette Politique de Sécurité de l’Information et de la réglementation et des instructions de sécurité concernant ces services ou informations.
Les tiers seront soumis aux obligations et mesures de sécurité établies dans cette réglementation et ces instructions, pouvant développer leurs propres procédures opérationnelles pour y répondre.
Il sera garanti que le personnel des tiers est correctement sensibilisé en matière de sécurité de l’information, au moins au même niveau que celui établi dans cette Politique de Sécurité de l’Information.
En particulier, les tiers devront garantir le respect de la politique de sécurité de l’information basée sur des normes auditables permettant de vérifier le respect de ces politiques.
Il sera également garanti, par audit ou certificat de destruction/effacement, que le tiers annule et supprime les données appartenant au GROUPE ROCAJUNYENT à la fin du contrat.
Lorsqu’un aspect de la Politique de Sécurité de l’Information ne peut être satisfait par un tiers, un rapport du Responsable de la Sécurité de l’Information sera requis précisant les risques encourus et la manière de les traiter. L’approbation de ce rapport par la Direction sera nécessaire avant de poursuivre.
Approuvé par :
Comité de Sécurité de l’Information et Protection des Données