Versión 1.0
Política de seguridad de la información
Lleida, 22 de agosto de 2022
ecityclic tiene como misión prestar en soluciones de software y servicios para implantar la Administración electrónica
Nuestra experiencia y un equipo multidisciplinar de especialistas en IT y Administración Pública, nos permite ofrecer la solución concreta que necesita cada entidad y conseguir ponerla en funcionamiento rápidamente.
En ecityclic queremos contribuir, a través de las nuevas tecnologías, a mejorar el trabajo de las personas, las empresas, las administraciones públicas y la sociedad en general y queremos ayudar a que el planeta sea sostenible. Somos transparentes y nos guiamos por un código ético que se basa en la integridad.
La Dirección de ecityclic ha aprobado, publicado y comunicado a todos los empleados mediante el presente sistema documental, el siguiente documento de política de Seguridad de la Información.
La Dirección de ecityclic se compromete mediante el presente documento y todo el SGSI a poner los medios adecuados, tanto humanos, organizativos o tecnológicos para proteger la información de ecityclic y la de sus clientes, y garantizar de esta forma la continuidad de la actividad de la misma en beneficio de todos sus miembros.
ecityclic tiene como objetivo estratégico la implantación de un Sistema de Gestión de Seguridad de la Información dentro de la norma ISO 27001 y del ENS con la principal finalidad de:
- Asegurar que los servicios prestados y productos suministrados son seguros, fiables, cumplen con los pliegos de condiciones, normas e instrucciones aplicables, se adaptan a los requisitos y expectativas de sus clientes y mejoran continuamente.
- Mantener al día la legislación aplicable y cumplir todos los requisitos legales y normativos establecidos en materia de calidad, gestión ambiental y seguridad de la información, asociados a nuestras actividades y aspectos que sean de obligado cumplimiento y también aquellos que suscribamos voluntariamente.
- Conseguir y mantener el nivel de seguridad requerido para garantizar de forma adecuada la continuidad del negocio, incluso en situaciones adversas.
- Incrementar la integración y el apoyo mutuo de los aspectos físicos y lógicos de la seguridad.
- Asegurar la disponibilidad, confidencialidad, integridad, trazabilidad y autenticidad de la información.
- Establecer la estructura corporativa de seguridad definida por los órganos de decisión de la organización y crear los canales de comunicación adecuados entre todos los implicados.
- Proteger a las personas que trabajan en la empresa, la confidencialidad y disponibilidad de sus comunicaciones y la integridad de su información. También vela por los demás activos que componen el patrimonio de la compañía, como son las instalaciones o los contenidos de todo género.
- Implicar, motivar y comprometer al personal propio y aquel que trabaje en nombre de ecityclic, con objeto de buscar su participación en la gestión, desarrollo y aplicación del sistema de gestión de la Seguridad de la Información implantado.
- Establecer e implantar planes de formación y divulgación en seguridad para la mejora continua de la formación del personal.
Los roles o funciones de seguridad definidos son:
FuncióN | DeBERES Y responsabiliDADEs |
|---|---|
Responsable de la información | Tomar las decisiones relativas a la información tratada |
Responsable de los servicios | Coordinar la implantación del sistema Mejorar el sistema de forma continua |
Responsable de la seguridad | Determinar la idoneidad de las medidas técnicas Proporcionar la mejor tecnología para el servicio |
Responsable del sistema | Coordinar la implantación del sistema Mejorar el sistema de forma continua Implantación, gestión y mantenimiento de las medidas de seguridad |
Dirección | Proporcionar los recursos necesarios para el sistema Liderar el sistema |
Esta política de seguridad se establece y será desarrollada aplicando los siguientes documentos:
- ENS 01 Marco organizativo
- ENS 02 Marco operacional
- ENS 03 Medidas de protección
- ENS 04 Análisis de riesgos
- ENS05 Proceso de autorización
- Sistema completo de procedimientos y políticas según ISO 27001
Todo ello, procurando dar respuesta, entre otras, a las siguientes normas y regulación:
- ISO 27001 Sistemas de Gestión de Seguridad de la Información
- REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y su modificación según el Real Decreto 951/2015, de 23 de octubre (se tendrá en cuenta el último texto consolidado)
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
- Ley 34/2002, de 11 de julio, de servicios de la sociedad de la Información y Comercio Electrónico (LSSI)
- Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público
- REGLAMENTO (UE) N o 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014
La responsabilidad general de la seguridad de la información recaerá sobre el Responsable de Seguridad, siendo la responsabilidad última del Comité de Seguridad y de la Dirección como máximo responsable del SGSI. El detalle de la composición del Comité de Seguridad, así como las obligaciones de cada rol en el ámbito de la seguridad de la información se determina actas del propio comité.
En caso de conflicto entre los diferentes responsables, éste será resuelto por el superior jerárquico de los mismos. En defecto de lo anterior, prevalecerá la decisión del Responsable de Seguridad.
Por la presente, la Dirección de ecityclic asume la responsabilidad final y última del cumplimiento de la política.
Del mismo modo, la Dirección analizará los riesgos y vulnerabilidades en materia de seguridad que puedan afectar al buen funcionamiento del negocio y propondrá las normas, medios y medidas procedentes para suprimirlos y en su defecto minimizarlos. A estos efectos, también estudiará los posibles riesgos ambientales.
La Dirección procederá a la revisión periódica de la presente política y su modificación si fuera necesario. Es responsabilidad de toda la organización de ecityclic, el obligado cumplimiento de lo establecido en el sistema de calidad, medio ambiente y seguridad de la Información, y fundamentalmente de las personas encargadas de la realización de las actividades comprendidas dentro de los citados sistemas. asumiendo las responsabilidades en materia de seguridad y sobre los activos de información a su cargo.
ecityclic entiende que debido a la transformación que continuamente experimenta el mercado, motivada por la evolución de las nuevas tecnologías, cada vez más existe la necesidad por parte de las empresas de externalizar sus recursos y sistemas de TI en un Partner tecnológico solvente, capaz de garantizar a sus clientes un nivel adecuado de disponibilidad, integridad y confidencialidad de la información que estos le depositan, y que ello sea además contrastable.
De aquí que ecityclic haya apostado finalmente por la consecución de esta norma, a través de la cual podrá mejorar y actualizar su sistema de calidad para la Seguridad de la Información.
El enfoque que utiliza ecityclic para gestionar la Seguridad de la Información está basado en la norma 27001 de la cual existe documento electrónico accesible en el presente sistema documental. Su lectura permite comprender perfectamente el enfoque que la Dirección pretende dar dentro de ecityclic. La Dirección de la organización pretende:
- Disponer de una gestión de la Seguridad de la Información que permita a sus responsables iniciar, implantar y mantener la seguridad en la Organización
- Proporcionar una base común para desarrollar normas de seguridad dentro de la Organización y ser una práctica eficaz de la gestión de la seguridad, así como proporcionar confianza en las relaciones entre organizaciones
- Que todo lo establecido dentro del SGSI esté de acuerdo con la legislación aplicable en la materia
ecityclic ha establecido esta Política de Seguridad de la Información apropiada al propósito y contexto de la organización. La política de la organización es el marco de referencia para el establecimiento de metas y objetivos. El Director General asume como una obligación propia de sus responsabilidades el compromiso de ejercer el liderazgo en la implantación y aplicación de conductas acordes con nuestro Sistema de Seguridad de la Información, actuando como impulsor, guía y ejemplo en el cumplimiento de una obligación que atañe a todos los que formamos ecityclic y contribuir al compromiso de mejora continua del sistema de Seguridad de la Información.