Versió 1.0
Política de seguretat de la informació
Lleida, 22 d’agost de 2022
ecityclic té com a missió prestar solucions de programari i serveis per implantar l'Administració electrònica.
La nostra experiència i un equip multidisciplinari d'especialistes en IT i Administració Pública, ens permet oferir la solució concreta que necessita cada entitat i aconseguir posar-la en funcionament ràpidament.
A ecityclic volem contribuir, a través de les noves tecnologies, a millorar el treball de les persones, les empreses, les administracions públiques i la societat en general i volem ajudar que el planeta sigui sostenible. Som transparents i ens guiem per un codi ètic que es basa en la integritat.
La Direcció d’ecityclic ha aprovat, publicat i comunicat a tots els empleats mitjançant el present sistema documental, el següent document de política de Seguretat de la Informació.
La Direcció d’ecityclic es compromet mitjançant el present document i tot el SGSI a posar els mitjans adequats, tant humans, organitzatius o tecnològics per protegir la informació d’ecityclic i la dels seus clients, i garantir d’aquesta manera la continuïtat de l’activitat de la mateixa en benefici de tots els seus membres.
ecityclic té com a objectiu estratègic la implantació d’un Sistema de Gestió de Seguretat de la Informació dins de la norma ISO 27001 i de l’ENS amb la principal finalitat de:
- Assegurar que els serveis prestats i productes subministrats són segurs, fiables, compleixen amb els plecs de condicions, normes i instruccions aplicables, s’adapten als requisits i expectatives dels seus clients i milloren contínuament.
- Mantenir al dia la legislació aplicable i complir tots els requisits legals i normatius establerts en matèria de qualitat, gestió ambiental i seguretat de la informació, associats a les nostres activitats i aspectes que siguin d’obligat compliment i també aquells que subscrivim voluntàriament.
- Aconseguir i mantenir el nivell de seguretat requerit per garantir de forma adequada la continuïtat del negoci, fins i tot en situacions adverses.
- Incrementar la integració i el suport mutu dels aspectes físics i lògics de la seguretat.
- Assegurar la disponibilitat, confidencialitat, integritat, traçabilitat i autenticitat de la informació.
- Establir l’estructura corporativa de seguretat definida pels òrgans de decisió de l’organització i crear els canals de comunicació adequats entre tots els implicats.
- Protegir les persones que treballen a l’empresa, la confidencialitat i disponibilitat de les seves comunicacions i la integritat de la seva informació. També vetlla pels altres actius que componen el patrimoni de la companyia, com són les instal·lacions o els continguts de tot gènere.
- Implicar, motivar i comprometre el personal propi i aquell que treballi en nom d’ecityclic, per tal de cercar la seva participació en la gestió, desenvolupament i aplicació del sistema de gestió de la Seguretat de la Informació implantat.
- Establir i implantar plans de formació i divulgació en seguretat per a la millora contínua de la formació del personal.
Els rols o funcions de seguretat definits són:
Funció | Deures i responsabilitats |
---|---|
Responsable de la informació | Prendre les decisions relatives a la informació tractada |
Responsable dels serveis | Coordinar la implantació del sistema Millorar el sistema de forma contínua |
Responsable de la seguretat | Determinar la idoneïtat de les mesures tècniques Proporcionar la millor tecnologia per al servei |
Responsable del sistema | Coordinar la implantació del sistema Millorar el sistema de forma contínua Implantació, gestió i manteniment de les mesures de seguretat |
Direcció | Proporcionar els recursos necessaris per al sistema Liderar el sistema |
Aquesta política de seguretat s’estableix i serà desenvolupada aplicant els següents documents:
- ENS 01 Marc organitzatiu
- ENS 02 Marc operacional
- ENS 03 Mesures de protecció
- ENS 04 Anàlisi de riscos
- ENS05 Procés d’autorització
- Sistema complet de procediments i polítiques segons ISO 27001
Tot això, procurant donar resposta, entre d’altres, a les següents normes i regulació:
- ISO 27001 Sistemes de Gestió de Seguretat de la Informació
- REGLAMENT (UE) 2016/679 DEL PARLAMENT EUROPEU I DEL CONSELL de 27 d'abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades
- Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals
- Reial Decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica i la seva modificació segons el Reial decret 951/2015, de 23 d'octubre (es tindrà en compte l'últim text consolidat)
- Reial Decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat
- Llei 34/2002, d'11 de juliol, de serveis de la societat de la Informació i Comerç Electrònic (LSSI)
- Llei 9/2017, de 8 de novembre, de Contractes del Sector Públic
- REGLAMENT (UE) N o 910/2014 DEL PARLAMENT EUROPEU I DEL CONSELL de 23 de juliol de 2014
La responsabilitat general de la seguretat de la informació recaurà sobre el responsable de Seguretat, essent la responsabilitat última del Comitè de Seguretat i de la Direcció com a màxim responsable del SGSI. El detall de la composició del Comitè de Seguretat, així com les obligacions de cada rol en l’àmbit de la seguretat de la informació es determina actes del propi comitè.
En cas de conflicte entre els diferents responsables, aquest serà resolt pel superior jeràrquic dels mateixos. En defecte de l’anterior, prevaldrà la decisió del Responsable de Seguretat.
Per la present, la Direcció d’ecityclic assumeix la responsabilitat final i última del compliment de la política.
De la mateixa manera, la Direcció analitzarà els riscos i vulnerabilitats en matèria de seguretat que puguin afectar el bon funcionament del negoci i proposarà les normes, mitjans i mesures procedents per suprimir-los i en el seu defecte minimitzar-los. A aquests efectes, també estudiarà els possibles riscos ambientals.
La Direcció procedirà a la revisió periòdica de la present política i la seva modificació si fos necessari. És responsabilitat de tota l’organització d’ecityclic, l’obligat compliment de l’establert en el sistema de qualitat, medi ambient i seguretat de la Informació, i fonamentalment de les persones encarregades de la realització de les activitats compreses dins dels esmentats sistemes. assumint les responsabilitats en matèria de seguretat i sobre els actius d’informació al seu càrrec.
ecityclic entén que a causa de la transformació que contínuament experimenta el mercat, motivada per l’evolució de les noves tecnologies, cada vegada més existeix la necessitat per part de les empreses d’externalitzar els seus recursos i sistemes de TI en un Partner tecnològic solvent, capaç de garantir als seus clients un nivell adequat de disponibilitat, integritat i confidencialitat de la informació que aquests li dipositen, i que això sigui a més contrastable.
D’aquí que ecityclic hagi apostat finalment per la consecució d’aquesta norma, a través de la qual podrà millorar i actualitzar el seu sistema de qualitat per a la Seguretat de la Informació.
L’enfocament que utilitza ecityclic per gestionar la Seguretat de la Informació està basat en la norma 27001 de la qual existeix document electrònic accessible en el present sistema documental. La seva lectura permet comprendre perfectament l’enfocament que la Direcció pretén donar dins d’ecityclic. La Direcció de l’organització pretén:
- Disposar d’una gestió de la Seguretat de la Informació que permeti als seus responsables iniciar, implantar i mantenir la seguretat en l’Organització
- Proporcionar una base comuna per desenvolupar normes de seguretat dins de l’Organització i ser una pràctica eficaç de la gestió de la seguretat, així com proporcionar confiança en les relacions entre organitzacions
- Que tot el que s’estableix dins del SGSI estigui d’acord amb la legislació aplicable en la matèria
ecityclic ha establert aquesta Política de Seguretat de la Informació apropiada al propòsit i context de l’organització. La política de l’organització és el marc de referència per a l’establiment de fites i objectius. El Director General assumeix com una obligació pròpia de les seves responsabilitats el compromís d’exercir el lideratge en la implantació i aplicació de conductes d’acord amb el nostre Sistema de Seguretat de la Informació, actuant com a impulsor, guia i exemple en el compliment d’una obligació que pertoca a tots els que formem ecityclic i contribuir al compromís de millora contínua del sistema de Seguretat de la Informació.