Política de Seguridad

Versión Autor Aprobado por Fecha de aprobación Comentario
1.0 Edwin Mata Comité de Coordinación 26 de enero de 2018 Versión inicial del documento
2.0 Edwin Mata Comité de Coordinación 13 de junio de 2018
  • Modificación de la sección 3.1
  • Cambio de Comité de Seguridad de la Información a Comité de Coordinación
2.1. Edwin Mata Comité de Coordinación 25 de enero de 2019
  • Modificación de la sección 1.1
  • Modificación de la sección 3.2
  • Modificación de la sección 3.5
3.0 Pau Mestre Comité de Coordinación 30 de abril de 2019
  • Modificación de la sección 3.1
  • Cambio de Comité de Seguridad de la Información a Comité de Coordinación
3.1 Milagros Quintana Comité de Coordinación 8 de abril de 2021
  • Modificación de la sección 1.1
  • Modificación de la sección 3.1
  • Modificación de la sección 3.5

 

1. Introducción

 

El objetivo de esta Política de alto nivel es definir el propósito, la dirección, los principios y las reglas básicas para la gestión de la seguridad de la información.

Esta Política se aplica a todo el Sistema de Gestión de la Seguridad de la Información (SGSI), tal como se define en el Documento de Alcance del SGSI.

Los usuarios de este documento son todos los empleados de Signaturit, así como las partes externas pertinentes.

 

1.1         Documentos de referencia

 

2. Terminología básica de la seguridad de la información

 

Confidencialidad – característica de la información por la cual sólo está disponible para las personas o sistemas autorizados.

Integridad – característica de la información por la que sólo es modificada por personas o sistemas autorizados de forma permitida.

Disponibilidad – característica de la información por la que puede ser accedida por personas autorizadas cuando se necesita.

Seguridad de la información: preservación de la confidencialidad, integridad y disponibilidad de la información.

Sistema de gestión de la seguridad de la información: parte de los procesos generales de gestión que se encargan de planificar, aplicar, mantener, revisar y mejorar la seguridad de la información.

 

 

3. Gestión de la seguridad de la información

 

3.1 Objetivos y medición

Signaturit establecerá y evaluará los objetivos anualmente. Todos los objetivos se detallan en el documento Comité de Coordinación de Revisión de Objetivos del SGSI y SGC. Por favor, consulte el documento específico para ver los objetivos aplicables de cada periodo auditado.

Un experto independiente medirá el cumplimiento de todos los objetivos. Dicha medición se realizará al menos una vez al año y AENOR INTERNACIONAL, S.A.U., sociedad con domicilio social en la calle Génova, nº 6, 28004 Madrid, constituida por tiempo indefinido mediante escritura pública otorgada ante el Notario de Madrid, D. Amalio MENÉNDEZ LORAS el 13 de julio de 2001, bajo el número de acta notarial 2.024, e inscrita en el Registro Mercantil de Madrid, tomo 16.834, folio 79, hoja M-287.700, inscripción 1ª, es el organismo experto independiente designado. Su informe de evaluación será transmitido directamente al Comité de Coordinación para su revisión.

 

3.2 Requisitos de seguridad de la información

Esta Política y todo el SGSI deben cumplir con los requisitos legales y reglamentarios, así como con las obligaciones contractuales pertinentes para la organización y sus clientes de servicios en la nube en el ámbito de la seguridad de la información y la protección de la información de identificación personal (IIP).

La relación de la legislación y normas técnicas aplicables a los servicios que presta Signaturit se detalla en el apartado 2.1 del Documento de Alcance del SGSI. En cuanto a las obligaciones contractuales, el Departamento Jurídico de Signaturit dispone de un archivo con todos los contratos que Signaturit ha firmado con terceros; el acceso a este archivo es restringido. Además, el Departamento Jurídico supervisa el cumplimiento diario de la empresa con terceros y la legislación, y emite recomendaciones al órgano de gobierno de Signaturit cuando es necesario.

 

3.3 Controles de seguridad de la información

El proceso de selección de los controles (salvaguardias) se define en la Metodología de Evaluación y Tratamiento de Riesgos.

Los controles seleccionados y su estado de aplicación figuran en la declaración de aplicabilidad.

 

3.4 Continuidad de la actividad

La gestión de la Continuidad de Negocio de los servicios de Signaturit se establece en los siguientes tres documentos:

  1. Plan de continuidad de la actividad y recuperación de desastres.
  2. Procedimiento de gestión de incidentes y plan de respuesta
  3. Plan de recuperación de la PKI

 

3.5 Responsabilidades

Las responsabilidades del SGSI son las siguientes

 

3.6 Comunicación política

El Departamento Jurídico debe asegurarse de que todos los empleados de Signaturit, así como las partes externas apropiadas, conozcan esta Política. Por ello, esta Política está a disposición de todo el personal de Signaturit en Confluence, junto a todas las políticas que conforman la estructura documental del Sistema de Gestión de la Seguridad de la Información.

Además, se enviarán nuevas comunicaciones de este documento por correo electrónico a [email protected], indicando que su contenido es obligatorio para todos los empleados de Signaturit.

3.7 Apoyo a la implantación del SGSI

Por la presente, el Comité de Coordinación declara que la implementación del SGSI y la mejora continua serán apoyadas con los recursos adecuados para lograr todos los objetivos establecidos en esta Política, así como satisfacer todos los requisitos identificados de la ISO 27001.

 

 

4. Validez y gestión de documentos

 

El propietario de este documento es el Jefe del Departamento Jurídico, que debe comprobar y, en su caso, actualizar el documento al menos cada seis meses.

A la hora de evaluar la eficacia y adecuación de este documento, hay que tener en cuenta los siguientes criterios: