Politique de sécurité

Version Auteur Approuvé par Date d’approbation Commentaire
1.0 Edwin Mata Comité de Coordination 26 janvier 2018 Version initiale du document
2.0 Edwin Mata Comité de Coordination 13 juin 2018
  • Modification de la section 3.1
  • Changement du comité de sécurité de l’information en comité de coordination.
2.1. Edwin Mata Comité de Coordination 25 janvier 2019
  • Modification de la section 1.1
  • Modification de la section 3.2
  • Modification de la section 3.5
3.0 Pau Mestre Comité de Coordination 30 avril 2019
  • Modification de la section 3.1
  • Changement du comité de sécurité de l’information en comité de coordination
3.1 Milagros Quintana Comité de Coordination 8 avril 2021
  • Modification de la section 1.1
  • Modification de la section 3.1
  • Modification de la section 3.5

 

1. Introduction

 

L’objectif de cette politique de haut niveau est de définir le but, l’orientation, les principes et les règles de base de la gestion de la sécurité de l’information.

La présente politique s’applique à l’ensemble du système de gestion de la sécurité de l’information (SGSI), tel que défini dans le document relatif à la portée du SGSI.

Les utilisateurs de ce document sont tous les employés de Signaturit, ainsi que les parties externes concernées.

 

1.1        Documents de référence

 

 

2. Terminologie de base de la sécurité de l’information

 

Confidentialité – caractéristique d’une information selon laquelle elle n’est accessible qu’aux personnes ou systèmes autorisés.

Intégrité – caractéristique de l’information selon laquelle elle n’est modifiée que par des personnes ou des systèmes autorisés et de manière autorisée.

Disponibilité – caractéristique des informations permettant aux personnes autorisées d’y accéder en cas de besoin.

Sécurité de l’information – préservation de la confidentialité, de l’intégrité et de la disponibilité des informations.

Système de gestion de la sécurité de l’information – partie des processus de gestion globale responsable de la planification, de la mise en œuvre, du maintien, de la révision et de l’amélioration de la sécurité de l’information.

 

 

3. Gestion de la sécurité de l’information

 

3.1 Objectifs et mesures

Signaturit établit et évalue les objectifs sur une base annuelle. Tous les objectifs sont détaillés dans le document Comité de coordination de la révision des objectifs du SGSI et du SGQ. Veuillez vous référer au document spécifique pour connaître les objectifs applicables à chaque période auditée.

Le respect de tous les objectifs est mesuré par un expert indépendant. Cette mesure sera effectuée au moins une fois par an et AENOR INTERNACIONAL, S.A.U., société dont le siège social est situé Calle Génova, nº 6, 28004 Madrid, constituée pour une durée indéterminée par acte public passé devant le notaire de Madrid, M. Amalio MENÉNDEZ LORAS, le 13 juillet 2001, sous le numéro d’acte notarié 2.024, et inscrit au registre du commerce de Madrid, volume 16.834, folio 79, page M-287.700, 1ère inscription, est l’organisme expert indépendant désigné. Son rapport d’évaluation sera transmis directement au comité de coordination pour examen.

 

3.2 Exigences en matière de sécurité de l’information

La présente politique et l’ensemble du SGSI doivent être conformes aux exigences légales et réglementaires ainsi qu’aux obligations contractuelles pertinentes pour l’organisation et ses clients de services en nuage dans le domaine de la sécurité des informations et de la protection des informations personnellement identifiables (IPI).

La liste de la législation et des normes techniques applicables aux services fournis par Signaturit est détaillée dans la section 2.1 du document sur la portée du SGSI. En ce qui concerne les obligations contractuelles, le département juridique de Signaturit dispose d’un dossier contenant tous les contrats que Signaturit a signés avec des tiers ; l’accès à ce dossier est restreint. En outre, le département juridique supervise la conformité quotidienne de l’entreprise avec les tiers et la législation, et émet des recommandations à l’organe directeur de Signaturit lorsque cela est nécessaire.

 

3.3 Contrôles de sécurité de l’information

Le processus de sélection des contrôles (sauvegardes) est défini dans la méthodologie d’évaluation et de traitement des risques.

Les contrôles sélectionnés et leur état de mise en œuvre sont énumérés dans la déclaration d’applicabilité.

 

3.4 Continuité des activités

La gestion de la continuité des activités des services de Signaturit est établie dans les trois documents suivants :

  1. Plan de continuité des activités et de reprise après sinistre.
  2. Procédure de gestion des incidents et plan d’intervention.
  3. Plan de reprise PKI.

 

3.5 Responsabilités

Les responsabilités du SGSI sont les suivantes

 

3.6 Communication de la politique

Le département juridique s’assure que tous les employés de Signaturit, ainsi que les parties externes appropriées, ont connaissance de cette politique. Par conséquent, cette politique est disponible pour tout le personnel de Signaturit dans Confluence, ainsi que toutes les politiques qui constituent la structure documentaire du système de gestion de la sécurité de l’information.

En outre, les nouvelles communications de ce document seront envoyées par courrier électronique à [email protected], en indiquant que son contenu est obligatoire pour tous les employés de Signaturit.
 

3.7 Soutien à la mise en œuvre du SMSI

Le comité de coordination déclare par la présente que la mise en œuvre du SGSI et l’amélioration continue seront soutenues par des ressources adéquates pour atteindre tous les objectifs établis dans cette politique, ainsi que pour satisfaire toutes les exigences identifiées de la norme ISO 27001.

 

 

4. Validité et gestion des documents

 

Le propriétaire de ce document est le chef du département juridique, qui doit vérifier et, si nécessaire, mettre à jour le document au moins tous les six mois.

Lors de l’évaluation de l’efficacité et de l’adéquation de ce document, les critères suivants doivent être pris en compte: