![\"\"](\"https:\/\/sige-bs.com\/wp-content\/uploads\/2024\/09\/CMYK_EN-1-165x300.png\")
<\/p>\nSIGE dispose du certificat ISO 27001:2022 et confirme ainsi son engagement en mati\u00e8re de s\u00e9curit\u00e9 de nos syst\u00e8mes. Cette norme internationale d\u00e9crit comment g\u00e9rer la s\u00e9curit\u00e9 de l\u2019information dans les entreprises et vise \u00e0 assurer sa confidentialit\u00e9, son int\u00e9grit\u00e9 et sa disponibilit\u00e9 en minimisant au maximum les risques et menaces \u00e9ventuels.<\/p>\n
<\/p>\n
1. Introduction<\/strong><\/span><\/p>\n L\u2019information constitue un actif de premier ordre pour le GROUPE ROCAJUNYENT, puisqu\u2019elle est indispensable \u00e0 la prestation des services qu\u2019il offre \u00e0 des tiers. De leur c\u00f4t\u00e9, les technologies de l\u2019information et de la communication (TIC) sont devenues indispensables pour les organisations, car elles contribuent de mani\u00e8re tr\u00e8s efficace au traitement de cette information. Toutefois, les am\u00e9liorations que les TIC apportent au traitement de l\u2019information s\u2019accompagnent de nouveaux risques. Pour cette raison, il est n\u00e9cessaire d\u2019introduire des mesures sp\u00e9cifiques afin de prot\u00e9ger tant l\u2019information que les services qui en d\u00e9pendent.<\/p>\n La s\u00e9curit\u00e9 de l\u2019information a pour objectif de prot\u00e9ger l\u2019information et les services, en r\u00e9duisant les risques auxquels ils sont soumis jusqu\u2019\u00e0 un niveau acceptable. Le pr\u00e9sent document \u00e9tablit la Politique de S\u00e9curit\u00e9 de l\u2019Information du GROUPE ROCAJUNYENT afin de garantir que tous les professionnels \u00e0 son service, tant directement qu\u2019indirectement, connaissent, dirigent et soutiennent la s\u00e9curit\u00e9 de l\u2019information.<\/p>\n L\u2019objectif est \u00e9galement d\u2019atteindre l\u2019alignement strat\u00e9gique de la gestion de la s\u00e9curit\u00e9 de l\u2019information avec les normes internationales et les r\u00e9glementations l\u00e9gislatives existantes en la mati\u00e8re.<\/p>\n 2. Mission et objectifs de la politique de s\u00e9curit\u00e9 de l\u2019information<\/b><\/span><\/p>\n Le GROUPE ROCAJUNYENT a \u00e9tabli un alignement avec la gestion de la s\u00e9curit\u00e9 de l\u2019information conform\u00e9ment \u00e0 ce qui est pr\u00e9vu dans le cadre normatif de la norme ISO 27001, reconnaissant comme actifs strat\u00e9giques l\u2019information et les syst\u00e8mes qui la supportent.<\/p>\n L\u2019un des objectifs fondamentaux de la mise en \u0153uvre de cette Politique de S\u00e9curit\u00e9 de l\u2019Information est d\u2019\u00e9tablir les bases sur lesquelles les employ\u00e9s internes, ainsi que les tiers, peuvent acc\u00e9der aux services offerts par le GROUPE ROCAJUNYENT dans un environnement s\u00fbr et de confiance.<\/p>\n La Politique de S\u00e9curit\u00e9 de l\u2019Information d\u00e9finit le cadre global de gestion de la s\u00e9curit\u00e9 de l\u2019information en prot\u00e9geant tous les actifs d\u2019information et en garantissant la continuit\u00e9 du fonctionnement des syst\u00e8mes. Il s\u2019agit ainsi de minimiser les risques d\u00e9riv\u00e9s d\u2019une \u00e9ventuelle d\u00e9faillance de s\u00e9curit\u00e9 et d\u2019assurer la r\u00e9alisation des objectifs du GROUPE ROCAJUNYENT face \u00e0 un \u00e9ventuel incident de s\u00e9curit\u00e9 de l\u2019information.<\/p>\n \u00c0 cet effet, les objectifs g\u00e9n\u00e9raux suivants sont \u00e9tablis en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information :<\/p>\n Contribuer, \u00e0 travers la gestion de la s\u00e9curit\u00e9, \u00e0 la r\u00e9alisation de la mission et des objectifs \u00e9tablis par le GROUPE ROCAJUNYENT.<\/p>\n Disposer des mesures de contr\u00f4le n\u00e9cessaires pour garantir le respect des exigences l\u00e9gales applicables en cons\u00e9quence de l\u2019activit\u00e9 d\u00e9velopp\u00e9e, notamment en ce qui concerne la protection des donn\u00e9es \u00e0 caract\u00e8re personnel et la prestation de services par des moyens \u00e9lectroniques ou t\u00e9l\u00e9matiques.<\/p>\n Assurer l\u2019accessibilit\u00e9, la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9, la disponibilit\u00e9, l\u2019authenticit\u00e9 et la tra\u00e7abilit\u00e9 de l\u2019information.<\/p>\n Assurer la prestation continue des services, tant de mani\u00e8re pr\u00e9ventive que r\u00e9active face aux incidents de s\u00e9curit\u00e9.<\/p>\n Prot\u00e9ger les actifs d\u2019information du GROUPE ROCAJUNYENT et la technologie qui les supporte contre toute menace, intentionnelle ou accidentelle, interne ou externe, afin d\u2019assurer leur confidentialit\u00e9, int\u00e9grit\u00e9 et disponibilit\u00e9.<\/p>\n Cette Politique de S\u00e9curit\u00e9 de l\u2019Information garantit un engagement continu et manifeste du GROUPE ROCAJUNYENT pour la diffusion et la consolidation de la culture de la s\u00e9curit\u00e9.<\/p>\n 3. Port\u00e9e<\/b><\/span><\/p>\n Cette Politique de S\u00e9curit\u00e9 de l\u2019Information s\u2019appliquera \u00e0 toute l\u2019information du GROUPE ROCAJUNYENT. \u00c0 cet effet, on entend par GROUPE ROCAJUNYENT :<\/p>\n C\/ Aribau, 198 1er \u00e9tage (Barcelone). En \u00e9tendant la port\u00e9e des syst\u00e8mes d\u2019information fournis par ROCAJUNYENT aux organisations suivantes :<\/p>\n SIGE BUSINESS SERVICES, S.L.P.O (\u00ab SIGE \u00bb) disposant de bureaux aux m\u00eames adresses.<\/p>\n 4. Cadre normatif<\/b><\/span><\/p>\n On d\u00e9finit comme GROUPE ROCAJUNYENT l\u2019ensemble de toutes les organisations pr\u00e9c\u00e9demment d\u00e9crites.<\/p>\n Cette Politique ne se limite pas aux donn\u00e9es \u00e0 caract\u00e8re personnel et est ind\u00e9pendante du fait que le traitement soit manuel ou automatis\u00e9.<\/p>\n La l\u00e9gislation en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information, qui doit servir de r\u00e9f\u00e9rence, est mise \u00e0 jour de mani\u00e8re continue et est refl\u00e9t\u00e9e dans l\u2019\u00ab Annexe : L\u00e9gislation applicable \u00bb.<\/p>\n 5. R\u00e9vision de la politique<\/strong><\/span><\/p>\n En ce qui concerne les r\u00e9visions pouvant \u00eatre r\u00e9alis\u00e9es sur la r\u00e9daction du texte constituant la politique de s\u00e9curit\u00e9 de l\u2019information, deux types d\u2019activit\u00e9s seront distingu\u00e9s :<\/p>\n R\u00e9visions p\u00e9riodiques syst\u00e9matiques : elles devront \u00eatre r\u00e9alis\u00e9es au moins une fois par an, ou lorsqu\u2019une incidence ou un changement dans le cadre l\u00e9gal pouvant remettre en question la validit\u00e9 de cette Politique est d\u00e9tect\u00e9. La r\u00e9vision de la Politique de S\u00e9curit\u00e9 de l\u2019Information devra garantir qu\u2019elle est align\u00e9e avec la strat\u00e9gie, la mission et la vision du GROUPE ROCAJUNYENT en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information et qu\u2019elle assure le respect des objectifs de contr\u00f4le \u00e9tablis.<\/p>\n R\u00e9visions non planifi\u00e9es : ces r\u00e9visions devront \u00eatre r\u00e9alis\u00e9es en r\u00e9ponse \u00e0 tout \u00e9v\u00e9nement ou incident de s\u00e9curit\u00e9 pouvant entra\u00eener une augmentation significative du niveau de risque actuel ou ayant caus\u00e9 un impact sur la s\u00e9curit\u00e9 de l\u2019information du GROUPE ROCAJUNYENT.<\/p>\n 6. Organisation interne de la s\u00e9curit\u00e9<\/strong><\/span><\/p>\n La s\u00e9curit\u00e9 de l\u2019information correspond, avec les fonctions indiqu\u00e9es pour chacun dans cette section, aux organes suivants : Comit\u00e9 de S\u00e9curit\u00e9 de l\u2019Information du GROUPE ROCAJUNYENT, Responsables de l\u2019Information, Responsables du Service, Responsables de S\u00e9curit\u00e9 et, le cas \u00e9ch\u00e9ant, Responsables de S\u00e9curit\u00e9 d\u00e9l\u00e9gu\u00e9s.<\/p>\n 6.1. Comit\u00e9 de S\u00e9curit\u00e9 de l\u2019Information et Protection des Donn\u00e9es<\/strong><\/span><\/p>\n Le Comit\u00e9 de S\u00e9curit\u00e9 de l\u2019Information et Protection des Donn\u00e9es est l\u2019organisme qui centralise la gestion de la s\u00e9curit\u00e9 de l\u2019information dans l\u2019organisation.<\/p>\n Lorsque la complexit\u00e9, la s\u00e9paration physique de ses \u00e9l\u00e9ments ou le nombre d\u2019utilisateurs de l\u2019information sur support \u00e9lectronique, ou des syst\u00e8mes qui la g\u00e8rent, le justifient, des Comit\u00e9s de S\u00e9curit\u00e9 d\u00e9l\u00e9gu\u00e9s pourront \u00eatre cr\u00e9\u00e9s, d\u00e9pendant fonctionnellement du Comit\u00e9 principal de S\u00e9curit\u00e9 de l\u2019Information et Protection des Donn\u00e9es, et responsables dans leur domaine des actions qui leur seront d\u00e9l\u00e9gu\u00e9es.<\/p>\n Le Comit\u00e9 de S\u00e9curit\u00e9 de l\u2019Information et Protection des Donn\u00e9es est responsable de garantir que le SGSI est mis en \u0153uvre et maintenu conform\u00e9ment \u00e0 cette Politique et de garantir que toutes les ressources n\u00e9cessaires sont disponibles.<\/p>\n Le Comit\u00e9 de S\u00e9curit\u00e9 de l\u2019Information et Protection des Donn\u00e9es d\u00e9finira quelle information li\u00e9e \u00e0 la s\u00e9curit\u00e9 de l\u2019information sera communiqu\u00e9e, \u00e0 quelle partie int\u00e9ress\u00e9e (interne ou externe), par qui et \u00e0 quel moment.<\/p>\n 6.2. Responsable de S\u00e9curit\u00e9<\/strong><\/span><\/p>\n Il s\u2019agira de la personne qui d\u00e9terminera les d\u00e9cisions n\u00e9cessaires pour satisfaire les exigences de s\u00e9curit\u00e9 de l\u2019information et des services. Ses fonctions seront les suivantes :<\/p>\n \u2022 Coordination op\u00e9rationnelle du SGSI, ainsi que l\u2019information sur ses performances. 6.3. Responsable des Syst\u00e8mes<\/strong><\/span><\/p>\n Lorsque la complexit\u00e9, la s\u00e9paration physique de ses \u00e9l\u00e9ments ou le nombre d\u2019utilisateurs de l\u2019information sur support \u00e9lectronique, ou des syst\u00e8mes qui la g\u00e8rent, le justifient, des \u00ab responsables de s\u00e9curit\u00e9 d\u00e9l\u00e9gu\u00e9s \u00bb pourront \u00eatre d\u00e9sign\u00e9s, d\u00e9pendant fonctionnellement du responsable principal, et responsables dans leur domaine des actions qui leur seront d\u00e9l\u00e9gu\u00e9es.<\/p>\n Il s\u2019agira de la ou des personnes charg\u00e9es de mettre en \u0153uvre les mesures de s\u00e9curit\u00e9 d\u00e9sign\u00e9es par le Responsable de la S\u00e9curit\u00e9 de l\u2019information.<\/p>\n Il s\u2019agira \u00e9galement de la ou des personnes charg\u00e9es de surveiller les syst\u00e8mes d\u2019information et de suivre les mesures mises en \u0153uvre.<\/p>\n 6.4. Direction<\/strong><\/span><\/p>\n La haute direction devra r\u00e9viser le SGSI au moins une fois par an ou chaque fois qu\u2019une modification significative se produit, et devra \u00e9tablir les comptes rendus de ces r\u00e9unions. L\u2019objectif de ces v\u00e9rifications est d\u2019\u00e9tablir la pertinence, l\u2019ad\u00e9quation et l\u2019efficacit\u00e9 du SGSI.<\/p>\n 6.5. D\u00e9l\u00e9gu\u00e9 \u00e0 la Protection des Donn\u00e9es<\/strong><\/span><\/p>\n Il s\u2019agira de la personne charg\u00e9e de d\u00e9velopper les politiques li\u00e9es \u00e0 la protection des donn\u00e9es, ainsi que de participer au comit\u00e9 afin d\u2019apporter son point de vue concernant les incidents de s\u00e9curit\u00e9 et leur impact sur les donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n 6.6. Autres domaines<\/strong><\/span><\/p>\n La protection de l\u2019int\u00e9grit\u00e9, de la disponibilit\u00e9 et de la confidentialit\u00e9 des actifs est la responsabilit\u00e9 du propri\u00e9taire de chaque actif.<\/p>\n Tous les incidents ou faiblesses de s\u00e9curit\u00e9 doivent \u00eatre signal\u00e9s au responsable de la s\u00e9curit\u00e9.<\/p>\n Le d\u00e9partement des ressources humaines est responsable d\u2019adopter et de mettre en \u0153uvre le plan de formation et de sensibilisation, destin\u00e9 \u00e0 toutes les personnes impliqu\u00e9es dans la gestion de la s\u00e9curit\u00e9 de l\u2019information.<\/p>\n 7. R\u00e9solution des conflits<\/strong><\/span><\/p>\n En cas de conflit entre les diff\u00e9rents responsables composant la structure organisationnelle de la Politique de S\u00e9curit\u00e9 de l\u2019Information, celui-ci sera r\u00e9solu par la Direction du GROUPE ROCAJUNYENT, et pr\u00e9vaudront les exigences les plus \u00e9lev\u00e9es d\u00e9riv\u00e9es de la protection des donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n 8. Classification de l\u2019information<\/strong><\/span><\/p>\n Le GROUPE ROCAJUNYENT classera et inventorisera les actifs d\u2019information selon leur nature. Le niveau de protection et les mesures \u00e0 appliquer seront bas\u00e9s sur le r\u00e9sultat de cette classification.<\/p>\n 9. Donn\u00e9es \u00e0 caract\u00e8re personnel<\/strong><\/span><\/p>\n Lorsqu\u2019un syst\u00e8me concern\u00e9 par ISO 27001 traite des donn\u00e9es \u00e0 caract\u00e8re personnel, les dispositions du R\u00e8glement Europ\u00e9en 679\/2016 sur la protection des donn\u00e9es et de la Loi Organique 3\/2018 du 5 d\u00e9cembre relative \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel et de ses normes de d\u00e9veloppement seront applicables, sans pr\u00e9judice des exigences \u00e9tablies dans le cadre r\u00e9glementaire de l\u2019ISO 27001 dans le domaine de l\u2019administration \u00e9lectronique. Tous les syst\u00e8mes d\u2019information s\u2019adapteront aux niveaux de s\u00e9curit\u00e9 exig\u00e9s par la r\u00e9glementation relative \u00e0 la protection des donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n 10. Gestion des risques<\/strong><\/span><\/p>\n Tous les syst\u00e8mes soumis \u00e0 cette Politique devront faire l\u2019objet d\u2019une analyse et d\u2019une gestion des risques, \u00e9valuant les actifs, les menaces et les vuln\u00e9rabilit\u00e9s auxquels ils sont expos\u00e9s et proposant les contre-mesures appropri\u00e9es pour att\u00e9nuer les risques. Bien qu\u2019un contr\u00f4le continu des changements r\u00e9alis\u00e9s dans les syst\u00e8mes soit n\u00e9cessaire, cette analyse sera r\u00e9p\u00e9t\u00e9e :<\/p>\n \u2022 au moins une fois par an (par r\u00e9vision et approbation formelle). 11. Instrument de d\u00e9veloppement<\/strong><\/span><\/p>\n Afin d\u2019harmoniser les analyses de risques, une \u00e9valuation de r\u00e9f\u00e9rence sera \u00e9tablie pour les diff\u00e9rents types d\u2019information trait\u00e9s et les diff\u00e9rents services fournis.<\/p>\n Un cadre normatif en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information est \u00e9tabli, structur\u00e9 en diff\u00e9rents niveaux, afin que les objectifs d\u00e9finis dans le pr\u00e9sent document disposent d\u2019un d\u00e9veloppement sp\u00e9cifique.<\/p>\n La politique de s\u00e9curit\u00e9 de l\u2019information structurera son cadre normatif aux niveaux suivants :<\/p>\n La pr\u00e9sente Politique de S\u00e9curit\u00e9 de l\u2019Information, qui \u00e9tablit les exigences et crit\u00e8res de protection de caract\u00e8re global.<\/p>\n Les normes de s\u00e9curit\u00e9 qui d\u00e9finissent ce qui doit \u00eatre prot\u00e9g\u00e9 et les exigences de s\u00e9curit\u00e9 souhait\u00e9es.<\/p>\n Les proc\u00e9dures de s\u00e9curit\u00e9 qui d\u00e9criront concr\u00e8tement comment prot\u00e9ger ce qui est d\u00e9fini dans les normes ainsi que les personnes ou groupes responsables de leur mise en \u0153uvre, de leur maintenance et du suivi de leur niveau de conformit\u00e9.<\/p>\n 12. Obligations des professionnels<\/strong><\/span><\/p>\n Tous les professionnels ayant des responsabilit\u00e9s dans l\u2019utilisation, l\u2019exploitation ou l\u2019administration des syst\u00e8mes de technologies de l\u2019information et de la communication ont l\u2019obligation de conna\u00eetre et de respecter cette Politique de S\u00e9curit\u00e9 de l\u2019Information et la r\u00e9glementation de s\u00e9curit\u00e9 qui en d\u00e9coule, ind\u00e9pendamment du type de relation juridique qui les lie au GROUPE ROCAJUNYENT.<\/p>\n Toutes les personnes recevront la formation n\u00e9cessaire pour l\u2019utilisation s\u00e9curis\u00e9e des syst\u00e8mes dans la mesure o\u00f9 cela est n\u00e9cessaire pour accomplir leur travail.<\/p>\n La Politique de S\u00e9curit\u00e9 de l\u2019Information sera accessible \u00e0 tous les professionnels qui fournissent leurs services dans les organes et entit\u00e9s mentionn\u00e9s dans la section relative \u00e0 la \u00ab Port\u00e9e \u00bb.<\/p>\n Afin de promouvoir la \u00ab culture de la s\u00e9curit\u00e9 \u00bb, le Comit\u00e9 de S\u00e9curit\u00e9 de l\u2019Information encouragera un programme continu de sensibilisation pour former tous les professionnels.<\/p>\n Le non-respect de la Politique de S\u00e9curit\u00e9 de l\u2019Information et de sa r\u00e9glementation de d\u00e9veloppement donnera lieu \u00e0 la mise en place de mesures pr\u00e9ventives et correctives visant \u00e0 sauvegarder et prot\u00e9ger les r\u00e9seaux et syst\u00e8mes d\u2019information, sans pr\u00e9judice de l\u2019exigence de responsabilit\u00e9 disciplinaire correspondante.<\/p>\n 13. Relations avec des tiers<\/strong><\/span><\/p>\n Lorsque le GROUPE ROCAJUNYENT fournit des services ou transmet des informations \u00e0 des tiers, ceux-ci seront inform\u00e9s de cette Politique de S\u00e9curit\u00e9 de l\u2019Information et des normes et instructions qui en d\u00e9coulent.<\/p>\n De m\u00eame, lorsque le GROUPE ROCAJUNYENT utilise des services de tiers ou transmet des informations \u00e0 des tiers, ceux-ci seront \u00e9galement inform\u00e9s de cette Politique de S\u00e9curit\u00e9 de l\u2019Information et de la r\u00e9glementation et des instructions de s\u00e9curit\u00e9 concernant ces services ou informations.<\/p>\n Les tiers seront soumis aux obligations et mesures de s\u00e9curit\u00e9 \u00e9tablies dans cette r\u00e9glementation et ces instructions, pouvant d\u00e9velopper leurs propres proc\u00e9dures op\u00e9rationnelles pour y r\u00e9pondre.<\/p>\n Il sera garanti que le personnel des tiers est correctement sensibilis\u00e9 en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information, au moins au m\u00eame niveau que celui \u00e9tabli dans cette Politique de S\u00e9curit\u00e9 de l\u2019Information.<\/p>\n En particulier, les tiers devront garantir le respect de la politique de s\u00e9curit\u00e9 de l\u2019information bas\u00e9e sur des normes auditables permettant de v\u00e9rifier le respect de ces politiques.<\/p>\n Il sera \u00e9galement garanti, par audit ou certificat de destruction\/effacement, que le tiers annule et supprime les donn\u00e9es appartenant au GROUPE ROCAJUNYENT \u00e0 la fin du contrat.<\/p>\n Lorsqu\u2019un aspect de la Politique de S\u00e9curit\u00e9 de l\u2019Information ne peut \u00eatre satisfait par un tiers, un rapport du Responsable de la S\u00e9curit\u00e9 de l\u2019Information sera requis pr\u00e9cisant les risques encourus et la mani\u00e8re de les traiter. L\u2019approbation de ce rapport par la Direction sera n\u00e9cessaire avant de poursuivre.<\/p>\n Approuv\u00e9 par :
\nC\/ Jos\u00e9 Abascal, 56 6e \u00e9tage (Madrid).
\nC\/ Gran Via Jaume I, 37 5e \u00e9tage (G\u00e9rone).<\/p>\n
\n\u2022 R\u00e9aliser ou promouvoir des audits p\u00e9riodiques afin de v\u00e9rifier le respect des obligations en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information.
\n\u2022 Assurer le suivi et le contr\u00f4le de l\u2019\u00e9tat de s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information.
\n\u2022 Proposer au Comit\u00e9 de S\u00e9curit\u00e9 de l\u2019Information et Protection des Donn\u00e9es les normes et proc\u00e9dures de s\u00e9curit\u00e9.<\/p>\n
\n\u2022 lorsque l\u2019information trait\u00e9e change.
\n\u2022 lorsque les services fournis changent.
\n\u2022 lorsqu\u2019un incident grave de s\u00e9curit\u00e9 survient.
\n\u2022 lorsque des vuln\u00e9rabilit\u00e9s graves sont signal\u00e9es.<\/p>\n
\nComit\u00e9 de S\u00e9curit\u00e9 de l\u2019Information et Protection des Donn\u00e9es<\/p>\n