Política de seguretat de la informació
La present política proporciona les bases per definir i delimitar els objectius i responsabilitats per a les diverses actuacions tècniques i organitzatives que es requereixin per garantir el compliment en seguretat de la informació, complint el marc legal d’aplicació, les directives, polítiques específiques i procediments definits.
Aquestes actuacions són seleccionades i implantades en base a una anàlisi de riscos realitzada i l’equilibri entre risc acceptable i cost de les mesures. SIRT ha definit els requisits de seguretat, identificant i prioritzant la importància dels diferents elements de l’activitat realitzada, de manera que els processos més importants i/o sensibles rebran major protecció.
És un compromís de la Direcció i de totes les persones treballadores de SIRT, promoure i donar suport a la implantació de les mesures tècniques i organitzatives necessàries per minimitzar els riscos potencials als quals es troba exposada la informació, en la consecució dels objectius estratègics del negoci.
L’objectiu d’aquesta Política és assolir un nivell de compliment, compromís i protecció adequat. En matèria específica de seguretat de la informació de la Companyia i respecte a la privadesa dels usuaris, aquesta política es desenvolupa preservant els següents principis de seguretat:
- Confidencialitat
- Integritat de la informació
- Disponibilitat
- Autenticitat
- Traçabilitat
Aquests principis bàsics s’han de preservar i assegurar en qualsevol de les formes que adopti la informació, ja sigui en format electrònic, imprès, visual o parlat, i independentment de si es tracta a les dependències de la Companyia o fora d’elles. Així mateix, aquests principis s’han de contemplar en les següents àrees de seguretat:
- Física: Comprèn la seguretat de les dependències, instal·lacions, sistemes hardware, suports i qualsevol actiu de naturalesa física que tracti o pugui tractar informació.
- Lògica: Inclou els aspectes de protecció d’aplicacions, xarxes i prototips de comunicació electrònica i sistemes informàtics.
- Política-corporativa: Formada pels aspectes de seguretat relatius a la pròpia Companyia, les normes internes, regulacions i normativa legal aplicable.
La Política de Seguretat de la informació ha estat desenvolupada per assegurar la confidencialitat, integritat, traçabilitat, autenticitat i disponibilitat de la tecnologia i els actius d’informació de la Companyia i s’alinea amb els estàndards internacionals en matèria de seguretat de la informació. Així mateix, aquesta Política fa referència a la Normativa General de Seguretat de la Informació i són d’aplicació els controls de l’Esquema Nacional de Seguretat en categoria alta.
En matèria de protecció de dades i privadesa, s’ha desenvolupat seguint les directrius i guies de l’Autoritat de control (Agència Espanyola de Protecció de Dades) i les recomanacions del Comitè Europeu de Protecció de Dades, incloent-hi les guidelines del Grup de treball de l’Article 29.
La Direcció General de la Companyia manifesta el seu compromís formal amb el suport als plans de seguretat que es derivin de l’aplicació d’aquesta Política integrada.
Aquest suport es concretarà en:
- proporcionar els recursos humans i econòmics necessaris, dins de les possibilitats pressupostàries;
- assignar rols i responsabilitats a les persones associades als plans de seguretat;
- donar suport a la formació dels recursos humans implicats en el sistema de gestió integrat perquè adquireixin el nivell de conscienciació i les competències necessàries;
- vetllar pel correcte funcionament del Sistema de Gestió;
- facilitar les comunicacions amb altres organitzacions en matèria de seguretat de la informació, així com el contacte directe amb les autoritats en la matèria;
- promoure el desenvolupament d’aquesta política.
Per a que consti i produeixi els efectes oportuns, publiquem aquesta política.