Política de Seguridad de la Información

HISTORIAL DE LAS REVISIONES

REV 1
FECHA 01-04-2020
DESCRIPCIÓN MODIFICACIONES Edición inicial

PREPARADO por Responsable del Sistema de Seguridad de la Información
APROBADO por Director General

Índice

Índice. 2

1 Política del Sistema Integrado de Gestión. 3

1.1 Alcance. 3

2 Compromisos de la Dirección. 3

3 Política de Seguridad. 4

3.1 Objetivos. 5

3.2 Legislación aplicable y requisitos contractuales. 6

3.3 Estructura de seguridad. 6

3.4 Documentación de seguridad del sistema. 6

 

  • POLITICA DEL SISTEMA DE GESTION DE LA INFORMACION

La Política de Seguridad de AUTOBUSES JIMENEZ / LOGROZA nace de la preocupación por parte de la Dirección de garantizar la plena satisfacción de las partes interesadas, de la gestión del servicio ofrecido a los clientes, así como la gestión de la seguridad de sus sistemas de información.

La Dirección de la organización enfoca la Seguridad de la Información, como un Sistema para prestar servicios que satisfagan las necesidades del cliente, teniendo en cuenta los requisitos de la actividad de la organización, así como los requisitos legales, reglamentarios o contractuales. Todos los procesos internos y externos quedan adscritos y afectos a la presente política o cuantas políticas transversales se desarrollen para dar cumplimiento a la misma.

La Política de Seguridad tiene vigencia desde la aprobación por la Dirección y mientras no se apruebe una posterior, se mantendrá vigente. La Política es comunicada y puesta a disposición de todos los afectados, tanto internos como externos.

Toda violación de la presente política o aquellas que la desarrollen, de las normas y procedimientos, será considerado por el procedimiento disciplinario, incluyéndose proveedores y colaboradores externos que serán tramitados por su procedimiento oportuno.

  • ALCANCE

El Sistema de Gestión de la Seguridad de la Información (SGSI) se ha desarrollado tomando como alcance:

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION ASOCIADO A LOS PROCESOS DE TRANSPORTE DE VIAJEROS POR CARRETERA EN EL AMBITO INTERURBANO, REGULAR Y DISCRECIONAL

desarrollados en las instalaciones de AUTOBUSES JIMENEZ, S.L. y LOGROZA, S.L., en Polígono Industrial La Portalada, C/Santa María, 8, Logroño.

  • COMPROMISO DE LA DIRECCION

El Director General de AUTOBUSES JIMENEZ / LOGROZA está comprometido con el desarrollo e implementación del Sistema de Gestión de la Seguridad de la Información y con la mejora continua de su eficacia.

El Director General es el Responsable del Comité de Seguridad, y el resto de los responsables y trabajadores de la organización están comprometidos con la seguridad, además de por sus cargos, por formar parte del Comité de Seguridad, y ser así parte activa del mismo.

El Director General:

  • Comunica a la organización la importancia de satisfacer tanto los requisitos del cliente como los de seguridad, del servicio, los legales, reglamentarios, y las obligaciones contractuales.
  • Establece y comunica el alcance del SGSI.
  • Define y comunica la Política de Seguridad, normas y procedimientos.
  • Comunica la Política de Seguridad y la importancia de cumplir con ella a clientes y a proveedores (contrato de confidencialidad).
  • Asegura el establecimiento y la comunicación de los objetivos de seguridad de la Información.
  • Lleva a cabo las revisiones por la Dirección anuales.
  • Dirige las revisiones del SGSI.
  • Vela por que se realicen las auditorías internas del SGSI, anualmente.
  • Asegura que se revisan los resultados de las auditorías para identificar oportunidades de mejora.
  • Asegura la provisión y disponibilidad de recursos.
  • Asegura que se gestionan y se evalúan los riesgos de seguridad de la información, a intervalos planificados.
  • Define el enfoque a tomar para la gestión de los riesgos de seguridad de la información y los criterios para asumir los riesgos.
  • Aprueba los niveles de riesgo aceptables para la organización.
  • Establece roles y responsabilidades en materia de seguridad.
  • Determina las cuestiones externas e internas que son pertinentes para el propósito de la organización y su dirección estratégica.

El compromiso de la Dirección está reflejado en la siguiente política.

  • POLITICA DE SEGURIDAD

La Política de Seguridad tiene por objeto proteger los activos de información del SGSI, así como los activos de información de nuestros clientes con los que exista un acuerdo contractual, ante cualquier amenaza, sea interna o externa, deliberada o accidental. Se busca garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria para detectar cualquier incidente y reaccionando con urgencia a los incidentes para recuperarse lo antes posible y minimizar el impacto.

AUTOBUSES JIMENEZ / LOGROZA tiene implantado, y mejora continuamente, un Sistema de Gestión de la Seguridad de la Información acorde con la norma UNE-ISO/IEC 27001:2013.

La Política de Seguridad es de aplicación sobre todo el personal de La Empresa, incluyendo sus contratistas y el personal contratado temporalmente; afecta a cualquier tipo de información, tanto la que sea propiedad de la propia organización como la que procede de clientes, con independencia del soportes o medio en el que se encuentre, tipología o categoría; y aplica a cualquier activo de información propiedad de la organización que afecte al sistema.

La Seguridad de la Información está implícita en cada uno de los puntos de esta política, e integrada en los procesos de negocio como herramienta clave para conseguir los objetivos de negocio de la organización. Esta política queda alineada plenamente con los objetivos de negocio e integrada en la estrategia de la organización.

  • OBJETIVOS

Los objetivos del Sistema de Gestión de la Seguridad de la Información (SGSI) de la organización son:

  • Mantener una gestión adecuada del SGSI de acuerdo con los estándares de seguridad y las buenas prácticas del sector, llevando acabo todo esto de manera que se aseguren ventajas competitivas para la organización.
  • Proteger la información interna relacionada con la prestación de los servicios, considerando las dimensiones de:
    • Confidencialidad para asegurar que la información solo sea accedida por aquellos que cuenten con la autorización respectiva. Toda la información se protegerá de manera que no se pondrá a disposición, ni se revelará a individuos, entidades o procesos, no autorizados previamente.
    • Integridad para preservar la veracidad y completitud de la información y los métodos de procesamiento. Toda la información se protegerá de manera que se podrá asegurar que no ha sido alterado de manera no autorizada. La alteración será entendida en todos sus contextos, es decir, la creación, modificación o eliminación.
    • Disponibilidad para asegurar que los usuarios autorizados tienen acceso a la información y los procesos, sistemas y redes que la soportan, cuando se requiera. La información será accesible a aquellos usuarios o procesos que la requieran y cuando lo requieran. Será principio básico de la organización, la restricción de accesos al mínimo necesario.
  • Establecer anualmente objetivos específicos en relación a la Seguridad de la Información, que garanticen la mejora continua del SGSI, siendo estos consistentes con los presentes objetivos.
  • Desarrollar un proceso de análisis del riesgo y, de acuerdo a su resultado, implementar las acciones correspondientes con el fin de tratar los riesgos que se consideren inaceptables, según los criterios establecidos.
  • Establecer los medios necesarios para garantizar la continuidad del negocio de la organización.
  • Cumplir con los requisitos del negocio, las obligaciones legales y las obligaciones contractuales de seguridad.
  • Asegurar que los activos de la organización solo sean utilizados por usuarios autorizados en el ejercicio de sus funciones, sus perfiles definidos o según asignaciones extraordinarias.
  • Establecer y difundir los roles y responsabilidades relacionados con la Seguridad de la Información.
  • Sensibilizar y concienciar de manera estable y permanente a todo el personal de la organización en cuanto a la seguridad de la información.
  • Fomentar y mantener el buen nombre de la organización en relación a los servicios desarrollados, saber y respuesta activa (reactiva y proactiva) ante incidentes de seguridad, mantenimiento la imagen y reputación.
  • Reflejar en la Declaración de Aplicabilidad del SGSI los objetivos de control definidos para el SGSI de AUTOBUSES JIMENEZ / LOGROZA, basados en los controles recogidos en el Anexo A de la norma 27001:2013.
  • Sancionar cualquier violación a esta política, así como a cualquier política o procedimiento del SGSI.

 

  • LEGISLACION APLICABLE Y REQUISITOS CONTRACTUALES

La identificación y evaluación de las obligaciones legales aplicables a la organización, tanto en relación a la seguridad de la información, como de la actividad propia de la empresa se encuentra recogida en el sistema SICMAS.

Además, se consideran los requisitos contractuales establecidos en contratos de clientes o proveedores que requieren de requisitos específicos en materia de seguridad.

  • ESTRUCTURA DE SEGURIDAD

En el documento ‘Estructura de Seguridad’ se establecen los roles de seguridad, defiendo para cada uno, los deberes y responsabilidades de su cargo, así como el procedimiento para su designación y renovación.

Además, en el mencionado documento se establece la estructura del Comité de Seguridad para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad, los miembros y la relación con otros elementos de la organización.

Los roles y responsabilidades en relación al SGSI son comunicados a las nuevas incorporaciones y recordados periódicamente a todo el personal de la organización.

  • DOCUMENTACION DE SEGURIDAD DEL SISTEMA

La documentación generada dentro del SGSI es controlada y aprobada por el Comité de Seguridad.

Esta documentación se encuentra localizada en un directorio de acceso restringido para los miembros del Comité, únicamente haciéndose públicos los documentos que se consideran que debe ser conocidos por todos a través de la intranet.

En el PG-1 Procedimiento Control Documentación se establece la gestión que se realiza de la documentación del SGSI, especificando la categorización establecida.

Director General de Autobuses Jiménez / Logroza