Política de Seguridad de la Información ISO 27001

1. Objeto/Alcance

ACESA CONSULTING comprende la importancia de la seguridad de la información, entendida como un enfoque sistemático para proteger los datos, ya sea de carácter personal o no, y garantizar la confidencialidad, integridad y disponibilidad de la información que maneja ACESA CONSULTING. Esto implica identificar riesgos, establecer controles y mantener un sistema de gestión enfocado en la prevención de amenazas y en la garantía de la continuidad del negocio. Por ello, teniendo como prioridad la protección de la información, establece un sistema de seguridad orientado a este ámbito.

Esta Política de Seguridad de la Información se elabora por tanto como punto de partida del sistema de gestión de seguridad de la información implantado en ACESA CONSULTING, por lo que se aplica a todos los documentos y activos definidos en su alcance. En cualquier caso, debe ser conocida y cumplida por todo el personal de la organización.

2. Normas de referencia

  • UNE-ISO/IEC 27000 – Tecnologías de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Visión de conjunto y vocabulario.
  • ISO/IEC 27001:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad. Sistemas de gestión de la seguridad de la información. Requisitos.
  • ISO/IEC 27002:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad. Control de la seguridad de la información

3. Otros documentos de referencia

  • N/A.

4. Responsabilidades

Dirección:

  • Aprobar la presente política.
  • Asegurar que la presente política y el resto de documentación del SGSI que deban conocer está a disposición del personal.
  • Garantizar, en última instancia, que el personal recibe directrices suficientes en materia de seguridad de la información para cumplir con sus funciones.
  • Asegurar los recursos necesarios para el cumplimiento de la presente política.
  • Promover el cumplimiento de la presente política.
  • Realizar la revisión del sistema.

Es responsabilidad del Responsable del SGSI:

  • Elaborar y mantener actualizada la presente política, así como el resto de los documentos que componen el SGSI.
  • Establecer, o asegurarse de que se establecen, las medidas técnicas de seguridad.
  • Realizar el análisis y gestión de riesgos, aplicado a los sistemas de tratamiento de la información.

Todo el personal:

  • Aceptar y cumplir la presente política.

5. Objetivos de la política de seguridad de la información

Los objetivos generales de la Política de Seguridad de la Información son:

  • Asegurar el acceso, integridad, confidencialidad, disponibilidad, autenticidad y trazabilidad de la información, y la prestación continuada de nuestros servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con rapidez a los incidentes.
  • Disponer de las medidas de control necesarias para el cumplimiento de los requisitos legales que sean de aplicación como consecuencia de la actividad desarrollada, especialmente en lo relativo a la protección de datos de carácter personal.
  • Proteger los recursos de información y a la tecnología utilizada para su procesamiento, frente a amenazas internas o externas, deliberadas o accidentales, derivadas de los activos o del contexto, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información, y garantizar de forma adecuada la continuidad del negocio, incluso en situaciones adversas.
  • Asegurar la continuidad del negocio y la seguridad de los sistemas de información ante las amenazas provenientes del cambio climático.
  • Asegurar que se toman las acciones pertinentes para la clasificación e inventariado de activos de información, así como para el análisis de riesgos de acuerdo con la normativa vigente.
  • Garantizar que se toman acciones para asegurar e incrementar la capacitación del personal.
  • Describir la estructura para el marco de políticas, estándares y procedimientos en materia de seguridad de la información a ser desarrollados en la organización.
  • Fomentar la mejora continua del sistema de gestión de seguridad de la información.
  • Identificar de manera genérica los roles y responsabilidades que surgen en relación con la seguridad de la información en la organización.
  • Reflejar el compromiso de la Dirección con la seguridad de la información y la mejora constante del sistema, mediante la firma de la presente.

Todas las exenciones y excepciones al cumplimiento de esta política o a cualquiera de los documentos que integran el SGSI deberán estar suficientemente motivadas y aprobadas de forma previa y expresa por el Responsable del SGSI y/o Dirección, siendo preceptivo que se estime la imprescindibilidad de dicho proceso, acción o elemento, y la inexistencia de alternativas viables a éste.

6. Enfoque en la gestión de riesgos

El sistema de gestión de seguridad de la información está enfocado en una correcta gestión del riesgo que permita tomar decisiones informadas del entorno, para proteger así los activos de ACESA CONSULTING y minimizar posibles daños, sean de la índole que sean. Por tanto, el análisis y gestión de riesgos de acuerdo con una metodología objetiva que garantice su fiabilidad, y la obtención de unos resultados medibles, comparables y reproducibles será parte esencial del proceso de seguridad, ya que dará lugar a las acciones que se tomen para minimizar los riesgos no aceptables y proteger los activos de la organización.

Nótese que la gestión del riesgo es un proceso continuo, por lo que ACESA CONSULTING evaluará periódicamente los riesgos, y revisará regularmente la efectividad de las medidas de mitigación.

7. Instrumentos de desarrollo

La Política de Seguridad de la Información se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. Se usarán los siguientes instrumentos:

  • Políticas de seguridad específicas: Uniformizan el uso de aspectos concretos del sistema. Indican el uso correcto y las responsabilidades de los usuarios. Son de carácter obligatorio.
  • Normativas de seguridad: Tienen carácter obligatorio y buscan que los usuarios a apliquen correctamente las medidas de seguridad, proporcionando razonamientos en los casos en los que no existan procedimientos precisos. Ayudan a prevenir que se pasen por alto aspectos importantes de seguridad que pueden materializarse de varias formas.
  • Procedimientos de seguridad: Afrontan tareas concretas, indicando lo que hay que hacer, paso a paso, de los diferentes procesos.

Todos ellos se comunicarán a través de medios corporativos a todos aquellos interesados que, por las especificades de sus funciones, necesiten conocerlos.

8. Revisión

Esta política será revisada al menos una vez al año y siempre que haya cambios relevantes en la organización, con el fin de asegurar que ésta se adecúa a la estrategia y necesidades de la propia organización.

Fdo.

La Dirección Responsable del SGSI

En Zaragoza, a 10 de abril de 2024

ACESA CONSULTING ©2025
Logo de financiación por la union europea y plan de recuperación del gobierno de españa

Cargando contenido

Cargando contenido