Política de Seguridad de la Información
1. OBJETO, NORMA, ALCANCE
Objeto:
Este documento tiene por objeto la creación de la Política de seguridad de la información de SBP SOFT 2007 SL.
Alcance:
Se aplica a toda la documentación y actividades del Sistema de Gestión.
Los usuarios de este documento son los miembros del equipo de SBP SOFT 2007 SL. afectados por el Sistema de Gestión.
Este documento está sujeto a revisión, aprobación, distribución, derogación y destrucción tal como establece el Responsable del Sistema de Gestión.
Roles y responsabilidad:
Documento: Org.04-Art 13-PCD-Definición de Roles Responsabilidades y Comité de Seguridad-INT
2. GUÍAS
Las que afectan a los controles determinados están recogidas en el documento de la "Declaración de aplicabilidad"
REG-Declaración de aplicabilidad ENS RD311-2024-MEDIO-INT
Debido a su carácter cambiante y a que el CCN-CERT actualiza constantemente las GUÍAS disponemos de su enlace para la consulta de la última versión.
Documento: GUIAS CCN-CERT (por su consulta)
Otras guías SI PROCEDE:
No constan
3. OBJETO DE ESTA POLÍTICA
Con el objeto de dirigir y dar soporte a la gestión de la información y de sus servicios, se establece en la presente Política de Seguridad de la Información de SBP SOFT 2007 SL. en adelante SBP, para garantizar la calidad de la información y la prestación continuada de los servicios con el objeto de actuar preventivamente ante posibles incidencias y reaccionando con rapidez ante la materialización de las mismas.
Esta Política de Seguridad de la Información, en adelante Política de Seguridad, va alineada con los requisitos establecidos dentro de los correspondientes artículos del Esquema Nacional de Seguridad, en adelante ENS.
4. OBJETIVO Y MISIÓN DE SBP SOFT 2007
SBP SOFT 2007 es una empresa que desarrolla su actividad en el diseño, desarrollo, fabricación, instalación y servicio de Programas informáticos para aplicaciones clínicas y diagnósticas de acuerdo con la declaración de aplicabilidad.
5. INTRODUCCIÓN
SBP SOFT 2007 SL se apoya en sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, trazabilidad y autenticidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que la Organización, incluyendo a todos sus departamentos, debe aplicar al menos las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los posibles incidentes de seguridad para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad es una parte integral del ciclo de vida de los sistemas de información, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad, y no únicamente las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas y en las adquisiciones para proyectos que se poyen en las TIC.
SBP SOFT 2007 SL debe estar preparada para prevenir, detectar, reaccionar y recuperarse de incidentes de seguridad.
6. MARCO NORMATIVO
El marco normativo que afecta al desarrollo de las actividades y competencias de SBP SOFT 2007 SL, está constituido por las normas jurídicas estatales y europeas, orientadas a la seguridad de la información y los servicios que la manejan, incluyendo la ciberseguridad, así como a la protección de datos de naturaleza personal.
Las normas que constituyen dicho marco se encuentran recogidas en un registro al efecto, el cual se mantiene actualizado según señala el correspondiente procedimiento de gestión de requisitos legales.
7. ORGANIZACIÓN DE LA SEGURIDAD
La organización de la Seguridad de la Información en SBP SOFT 2007 SL se establece en la forma que se indica a continuación.
7.1. Roles o perfiles de seguridad
Para garantizar el cumplimiento y la adaptación de las medidas exigidas reglamentariamente, se han creado roles de seguridad que se detallan a continuación, habiéndose designado las personas concretas que los ocupan en un Acta del Comité de Seguridad de la Información, a la vez que han aceptado individual y formalmente su rol, junto a las funciones asociadas al mismo, mediante un documento específico de designación.
- Responsable de la Información y los Servicios.
- Delegado de Protección de Datos (DPD).
- Responsable de la Seguridad.
- Responsable del Sistema.
7.2. Comité de Seguridad de la Información
SBP SOFT 2007 SL ha constituido un Comité de Seguridad de la Información, como órgano colegiado, estando formado por los siguientes miembros:
- Presidente: El Responsable de la Información y los Servicios.
- Secretario/a: El Responsable de la Seguridad.
- Otros miembros:
- Responsable del Sistema.
- Delegado de Protección de Datos.
Todos los miembros participarán con voz y voto. En todo caso, si un asunto requiriese la participación de otras personas, se podrá convocar a éstas para que puedan asistir a determinada reunión del Comité, con voz, pero sin derecho a voto.
El Comité de Seguridad de la Información celebrará sus sesiones en las dependencias de SBP SOFT 2007 SL, o telemáticamente, con una periodicidad mínima anual para sus reuniones ordinarias, previa convocatoria al efecto realizada por el secretario en nombre del presidente de dicho Comité.
Ante incidentes de seguridad de criticidad alta, o ante cualquier circunstancia extraordinaria relacionada con la seguridad de los sistemas de información, y los servicios que se apoyan en ellos, se convocará al Comité de Seguridad de la Información sin dilación, de forma extraordinaria.
7.3. Responsabilidades asociadas al Esquema Nacional de Seguridad
A continuación, se detallan y se establecen las funciones y responsabilidades de cada uno de los roles de seguridad ENS.
Funciones del responsable de la Información y de los Servicios:
- Establecer y aprobar los requisitos de seguridad aplicables al servicio y la información dentro del marco establecido en el anexo I del Esquema Nacional de Seguridad, previa propuesta en el marco del Comité de Seguridad de la Información
- Aceptar los niveles de riesgo residual que afecten a los Servicios y a la Información.
Funciones del responsable de la Seguridad
- Mantener y verificar el nivel adecuado de seguridad de la Información manejada y de los servicios prestados por los sistemas de información.
- Promover la formación y concienciación en materia de seguridad de la información.
- Designar responsables de la ejecución del análisis de riesgos, de la declaración de aplicabilidad, identificar medidas de seguridad, determinar configuraciones necesarias, coordinar la elaboración de la documentación de seguridad del sistema.
- Participar en la elaboración e implantación de los planes de mejora de la seguridad, planes de tratamiento de riesgos y, llegado el caso, en los planes de continuidad, procediendo a su validación.
- Gestionar las revisiones y auditorías externas o internas del sistema de información.
- Gestionar los procesos de certificación del ENS.
- Elevar al Comité de Seguridad la aprobación de cambios y otros requisitos del sistema.
Funciones del responsable del Sistema
- Paralizar o dar suspensión, en coordinación con los otros miembros del Comité de Seguridad, al acceso a información o prestación de servicios, si tiene el conocimiento de que éstos presentan deficiencias graves de seguridad.
- Coordinar el desarrollo, operación y mantenimiento del sistema de información durante todo su ciclo de vida.
- Elaborar, o coordinar la elaboración, de los procedimientos operativos necesarios.
- Definir la topología y la gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo, en coordinación con el Responsable de la Información y los Servicios.
- Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad, en coordinación con el Responsable de la Seguridad.
- Determinar la Categoría del Sistema en base a las valoraciones del Responsable de la Información y los Servicios.
- Colaborar, si así se le requiere, en la elaboración e implantación de los planes de mejora de la seguridad y, llegado el caso, en los planes de continuidad.
- Coordinar y supervisar, junto al Responsable de la Seguridad, las tareas encomendadas al administrador de seguridad del sistema, especialmente si se trata de un rol externalizado.
Funciones del Comité de Seguridad de la Información El Comité de Seguridad tendrá las siguientes funciones:
- Asesorar, y atender a las principales solicitudes, en materia de Seguridad de la Información.
- Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes roles designados, en materia de seguridad de la información y los servicios.
- Promover la mejora continua del sistema de gestión de la seguridad de la información. Para ello se encargará de:
- Coordinar los esfuerzos de toda la Organización en materia de seguridad de la información, para asegurar que estos sean consistentes, alineados con esta Política y con la estrategia decidida en la materia, evitando duplicidades.
- Proponer planes de mejora de la seguridad de la información, con su dotación presupuestaria correspondiente, priorizando las actuaciones más necesarias en materia de seguridad, cuando los recursos sean limitados.
- Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales de seguridad que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
- Realizar un seguimiento del Plan de Tratamiento de Riesgos (PTR) de la Organización, recomendando posibles actuaciones si se detectan desviaciones respecto a lo previsto.
- Realizar un seguimiento de la gestión de los incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.
- Elaborar y revisar regularmente la Política de Seguridad de la Información para su aprobación por la Dirección General.
- Verificar los cambios realizados, o propuestos, por el Responsable de la Seguridad y el Responsable del Sistema, tanto en la normativa interna como en los procedimientos de seguridad de la información.
- Supervisar los programas de formación y sensibilización destinados al personal en materia de seguridad de la información y en materia de protección de datos de carácter personal.
7.4. Resolución de conflictos
El Comité de Seguridad de la Información, se encargará de la resolución de los conflictos y/o diferencias de opiniones, que pudieran surgir entre los roles de seguridad.
8. DATOS DE CARÁCTER PERSONAL
SBP SOFT 2007 SL únicamente recogerá datos de carácter personal cuando sean adecuados, pertinentes y no excesivos y éstos se correspondan con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa de Protección de Datos vigente en cada caso, apoyándose cuando sea posible en las medidas de seguridad del ENS, sin detrimento de otras medidas o requisitos específicos que se pudieran requerir.
A la vista de la entrada en aplicación directa para toda la Unión Europea, el día 25 de mayo de 2018, del Reglamento General de Protección de Datos (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y su traslación a la legislación española mediante la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD), SBP SOFT 2007 SL adoptará las medidas oportunas tales como, el análisis de legitimidad jurídica de cada uno de los tratamientos de datos que se lleven a cabo, el análisis de riesgos respecto a la protección de datos, la evaluación de impacto si el riesgo para los derechos y libertades de los afectados por determinado tratamiento es alto, el registro de las actividades de tratamiento y el nombramiento del Delegado de Protección de Datos.
9. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
El Comité de Seguridad de la Información ha aprobado el desarrollo de un sistema de gestión, que será establecido, implementado, mantenido y mejorado, conforme a los estándares de seguridad. Este sistema gestionará la seguridad de los sistemas de información de SBP SOFT 2007 SL El sistema estará documentado y ha de permitirá generar evidencias de las medidas de seguridad implantadas y del cumplimiento de los objetivos de seguridad determinados por el Comité de Seguridad acordes con el ENS, con la categoría del Sistema de Información y con esta Política. Existirá normativa de gestión documental que establecerá las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.
Corresponde al Comité de Seguridad de la Información la revisión anual de la presente Política proponiendo, en caso de que sea necesario, mejoras de esta para su aprobación por parte de la Dirección General de SBP SOFT 2007 SL
10. TERCERAS PARTES
Cuando se preste servicios a otros organismos públicos o entidades privadas, o se trate información, se les hará partícipe de esta Política de Seguridad de la Información. SBP SOFT 2007 SL. definirá y aprobará los canales para la coordinación de la información y los procedimientos de actuación para la reacción frente a incidentes de seguridad, así como el resto de actuaciones que SBP SOFT 2007 SL., lleve a cabo en materia de Seguridad en relación con otros organismos.
Cuando SBP SOFT 2007 SL., utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad existente que corresponda a estos servicios o información. Esta tercera parte quedará sujeta a las obligaciones establecidas en la citada normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de comunicación y resolución de incidencias. Se solicitará que el personal de terceros esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel establecido en esta Política de Seguridad.
Del mismo modo, cuando algún aspecto de esta Política de Seguridad no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá informe del responsable de seguridad ENS que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
Nota: para su elaboración como soporte adicional se puede utilizar la Guía CCN-STIC 805 Esquema Nacional de Seguridad. Política de Seguridad de la Información.
Política de Seguretat de la Informació
1. OBJECTE, NORMA, ABAST
Objecte:
Aquest document té per objecte la creació de la Política de seguretat de la informació de SBP SOFT 2007 SL.
Abast:
S'aplica a tota la documentació i activitats del sistema de gestió.
Els usuaris d'aquest document són els membres de l'equip de SBP SOFT 2007 SL. afectats pel Sistema de Gestió.
Aquest document està subjecte a revisió, aprovació, distribució, derogació i destrucció tal com estableix el Responsable del Sistema de Gestió.
Rols i responsabilitat:
Document: Org.04-Art 13-PCD-Definició de Rols Responsabilitats i Comitè de Seguretat-INT
2. GUIES
Les que afecten els controls determinats estan recollides al document de la "Declaració d'aplicabilitat"
REG-Declaració d'aplicabilitat ENS RD311-2024-MEDI-INT
A causa del seu caràcter canviant ja que el CCN-CERT actualitza constantment les GUIES disposem del seu enllaç per a la consulta de la darrera versió.
Document: GUIES CCN-CERT (per consulta)
Altres guies SI PROCEDEIX:
No consten
3. OBJECTE D'AQUESTA POLÍTICA
A fi de dirigir i donar suport a la gestió de la informació i dels seus serveis, s'estableix a la present Política de Seguretat de la Informació de SBP SOFT 2007 SL. d'ara endavant SBP, per garantir la qualitat de la informació i la prestació continuada dels serveis a fi d'actuar preventivament davant de possibles incidències i reaccionant amb rapidesa davant la materialització de les mateixes.
Aquesta Política de Seguretat de la Informació, d'ara endavant Política de Seguretat, va alineada amb els requisits establerts dins dels corresponents articles de l'Esquema Nacional de Seguretat, d'ara endavant ENS.
4. OBJECTIU I MISSIÓ DE SBP SOFT 2007
SBP SOFT 2007 és una empresa que desenvolupa la seva activitat en el disseny, desenvolupament, fabricació, instal·lació i servei de Programes informàtics per a aplicacions clíniques i diagnòstiques d'acord amb la declaració d'aplicabilitat.
5. INTRODUCCIÓ
SBP SOFT 2007 SL es recolza en sistemes TIC (Tecnologies d'Informació i Comunicacions) per assolir els seus objectius. Aquests sistemes han de ser administrats amb diligència, prenent les mesures adequades per protegir-los davant de danys accidentals o deliberats que puguin afectar la disponibilitat, integritat, confidencialitat, traçabilitat i autenticitat de la informació tractada o els serveis prestats.
L'objectiu de la seguretat de la informació és garantir la qualitat de la informació i la prestació continuada dels serveis, actuant preventivament, supervisant l'activitat diària i reaccionant amb pretesa als incidents.
Els sistemes TIC han d'estar protegits contra amenaces de ràpida evolució amb potencial per incidir en la confidencialitat, integritat, disponibilitat, ús previst i valor de la informació i els serveis. Per defensar-se d'aquestes amenaces, cal una estratègia que s'adapti als canvis en les condicions de l'entorn per garantir la prestació continuada dels serveis. Això implica que l'Organització, incloent tots els seus departaments, ha d'aplicar almenys les mesures mínimes de seguretat exigides per l'Esquema Nacional de Seguretat, així com fer un seguiment continu dels nivells de prestació de serveis, seguir i analitzar les vulnerabilitats reportades, i preparar una resposta efectiva als possibles incidents de seguretat per garantir la continuïtat dels serveis prestats.
Els diferents departaments han d'assegurar-se que la seguretat és una part integral del cicle de vida dels sistemes d'informació, des de la concepció fins a la retirada de servei, passant per les decisions de desenvolupament o adquisició i les activitats d'explotació. Els requisits de seguretat, i no únicament les necessitats de finançament han de ser identificats i inclosos a la planificació, a la sol·licitud d'ofertes ia les adquisicions per a projectes que es posen a les TIC.
SBP SOFT 2007 SL ha d'estar preparada per prevenir, detectar, reaccionar i recuperar-se d'incidents de seguretat.
6. MARC NORMATIU
El marc normatiu que afecta el desenvolupament de les activitats i competències de SBP SOFT 2007 SL, està constituït per les normes jurídiques estatals i europees, orientades a la seguretat de la informació i els serveis que la manegen, incloent-hi la ciberseguretat, així com la protecció de dades de naturalesa personal.
Les normes que constitueixen aquest marc es troben recollides en un registre a aquest efecte, el qual es manté actualitzat segons assenyala el corresponent procediment de gestió de requisits legals.
7. ORGANITZACIÓ DE LA SEGURETAT
L'organització de la Seguretat de la Informació a SBP SOFT 2007 SL s'estableix de la manera que s'indica a continuació.
7.1. Rols o perfils de seguretat
Per garantir el compliment i l'adaptació de les mesures exigides reglamentàriament, s'han creat rols de seguretat que es detallen a continuació, havent-se designat les persones concretes que els ocupen en un Acta del Comitè de Seguretat de la Informació, alhora que han acceptat individualment i formalment el seu rol, juntament amb les funcions associades a aquest, mitjançant un document específic.
- Responsable de la Informació i els Serveis.
- Delegat de Protecció de Dades (DPD).
- Responsable de la Seguretat.
- Responsable del sistema.
7.2. Comitè de Seguretat de la Informació
SBP SOFT 2007 SL ha constituït un Comitè de Seguretat de la Informació, com a òrgan col·legiat, i està format pels membres següents:
- President: El Responsable de la Informació i els Serveis.
- Secretari: El Responsable de la Seguretat.
- Altres membres:
- Responsable del sistema.
- Delegat de Protecció de Dades.
Tots els membres participaran amb veu i vot. En tot cas, si un assumpte requereix la participació d'altres persones, se'n podrà convocar perquè puguin assistir a determinada reunió del Comitè, amb veu, però sense dret a vot.
El Comitè de Seguretat de la Informació celebrarà les seves sessions a les dependències de SBP SOFT 2007 SL, o telemàticament, amb una periodicitat mínima anual per a les seves reunions ordinàries, prèvia convocatòria a aquest efecte realitzada pel secretari en nom del president del Comitè.
Davant d'incidents de seguretat de criticitat alta, o davant de qualsevol circumstància extraordinària relacionada amb la seguretat dels sistemes d'informació, i els serveis que s'hi recolzen, es convocarà el Comitè de Seguretat de la Informació sense dilació, de manera extraordinària.
7.3. Responsabilitats associades a l'Esquema Nacional de Seguretat
A continuació, es detallen i s'estableixen les funcions i responsabilitats de cadascun dels rols de seguretat ENS.
Funcions del responsable de la informació i dels serveis:
- Establir i aprovar els requisits de seguretat aplicables al servei i la informació dins el marc establert a l'annex I de l'Esquema Nacional de Seguretat, prèvia proposta en el marc del Comitè de Seguretat de la Informació
- Acceptar els nivells de risc residual que afectin els serveis i la informació.
Funcions del responsable de la Seguretat
- Mantenir i verificar el nivell adequat de seguretat de la informació manejada i dels serveis prestats pels sistemes d'informació.
- Promoure la formació i conscienciació en matèria de seguretat de la informació.
- Designar responsables de l'execució de l'anàlisi de riscos, de la declaració d'aplicabilitat, identificar mesures de seguretat, determinar configuracions necessàries, coordinar l'elaboració de la documentació de seguretat del sistema.
- Participar en l'elaboració i la implantació dels plans de millora de la seguretat, plans de tractament de riscos i, arribat el cas, en els plans de continuïtat, procedint a la seva validació.
- Gestionar les revisions i auditories externes o internes del sistema d'informació.
- Gestionar els processos de certificació de l'ENS.
- Elevar al Comitè de Seguretat l'aprovació de canvis i altres requisits del sistema.
Funcions del responsable del sistema
- Paralitzar o donar suspensió, en coordinació amb els altres membres del Comitè de Seguretat, a l'accés a informació o prestació de serveis, si té el coneixement que aquests presenten deficiències greus de seguretat.
- Coordinar el desenvolupament, l'operació i el manteniment del sistema d'informació durant tot el seu cicle de vida.
- Elaborar, o coordinar l'elaboració, dels procediments operatius necessaris.
- Definir la topologia i la gestió del Sistema d'Informació establint els criteris d'ús i els serveis disponibles en aquest, en coordinació amb el Responsable de la Informació i els Serveis.
- Cerciorar-se que les mesures específiques de seguretat s'integrin adequadament dins del marc general de seguretat, en coordinació amb el Responsable de la Seguretat.
- Determinar la Categoria del Sistema sobre la base de les valoracions del Responsable de la Informació i els Serveis.
- Col·laborar, si així se li requereix, en l'elaboració i la implantació dels plans de millora de la seguretat i, arribat el cas, en els plans de continuïtat.
- Coordinar i supervisar, juntament amb el Responsable de la Seguretat, les tasques encomanades a l'administrador de seguretat del sistema, especialment si es tracta d'un rol externalitzat.
Funcions del Comitè de Seguretat de la Informació El Comitè de Seguretat tindrà les funcions següents:
- Assessorar i atendre les principals sol·licituds en matèria de Seguretat de la Informació.
- Resoldre els conflictes de responsabilitat que puguin aparèixer entre els diferents rols designats, en matèria de seguretat de la informació i els serveis.
- Promoure la millora contínua del sistema de gestió de la seguretat de la informació. Per això s'encarregarà de:
- Coordinar els esforços de tota l'Organització en matèria de seguretat de la informació, per assegurar que siguin consistents, alineats amb aquesta Política i amb l'estratègia decidida en la matèria, evitant duplicitats.
- Proposar plans de millora de la seguretat de la informació, amb la seva dotació pressupostària corresponent, prioritzant les actuacions més necessàries en matèria de seguretat, quan els recursos siguin limitats.
- Vetllar perquè la seguretat de la informació es tingui en compte en tots els projectes des de la seva especificació inicial fins a la posada en operació. En particular haurà de vetllar per la creació i utilització de serveis horitzontals de seguretat que redueixin duplicitats i donin suport a un funcionament homogeni de tots els sistemes TIC.
- Realitzar un seguiment del Pla de Tractament de Riscos (PTR) de l'Organització, recomanant possibles actuacions si es detecten desviacions respecte al previst.
- Realitzar un seguiment de la gestió dels incidents de seguretat i recomanar possibles actuacions respecte d'ells.
- Elaborar i revisar regularment la Política de Seguretat de la Informació per a la seva aprovació per la Direcció General.
- Verificar els canvis realitzats, o proposats, pel Responsable de la Seguretat i el Responsable del Sistema, tant a la normativa interna com als procediments de seguretat de la informació.
- Supervisar els programes de formació i sensibilització destinats al personal en matèria de seguretat de la informació i en matèria de protecció de dades de caràcter personal.
7.4. Resolució de conflictes
El Comitè de Seguretat de la Informació s'encarregarà de la resolució dels conflictes i/o diferències d'opinions, que poguessin sorgir entre els rols de seguretat.
8. DADES DE CARÀCTER PERSONAL
SBP SOFT 2007 SL únicament recollirà dades de caràcter personal quan siguin adequades, pertinents i no excessives i aquestes es corresponguin amb l'àmbit i les finalitats per als quals s'hagin obtingut. De la mateixa manera, adoptarà les mesures d'índole tècnica i organitzatives necessàries per al compliment de la normativa de protecció de dades vigent en cada cas, i es donarà suport quan sigui possible a les mesures de seguretat de l'ENS, sense detriment d'altres mesures o requisits específics que es puguin requerir.
A la vista de l'entrada en aplicació directa per a tota la Unió Europea, el dia 25 de maig de 2018, del Reglament General de Protecció de Dades (RGPD), relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals ia la lliure circulació d'aquestes dades i la seva translació a la legislació espanyola mitjançant la Llei (LOPD-GDD), SBP SOFT 2007 SL adoptarà les mesures oportunes tals com, l'anàlisi de legitimitat jurídica de cadascun dels tractaments de dades que es duguin a terme, l'anàlisi de riscos respecte a la protecció de dades, l'avaluació d'impacte si el risc per als drets i llibertats dels afectats per determinat tractament és alt, el registre de les activitats.
9. DESENVOLUPAMENT DE LA POLÍTICA DE SEGURETAT DE LA INFORMACIÓ
El Comitè de Seguretat de la Informació ha aprovat el desenvolupament d'un sistema de gestió, que serà establert, implementat, mantingut i millorat, d'acord amb els estàndards de seguretat. Aquest sistema gestionarà la seguretat dels sistemes dinformació de SBP SOFT 2007 SL El sistema estarà documentat i ha de permetrà generar evidències de les mesures de seguretat implantades i del compliment dels objectius de seguretat determinats pel Comitè de Seguretat acords amb lENS, amb la categoria del Sistema dInformació i amb aquesta Política. Hi haurà normativa de gestió documental que establirà les directrius per a l'estructuració de la documentació de seguretat del sistema, la gestió i l'accés.
Correspon al Comitè de Seguretat de la Informació la revisió anual de la present Política proposant, en cas que sigui necessari, millores d'aquesta per a la seva aprovació per part de la Direcció General de SBP SOFT 2007 SL
10. TERCERES PARTS
Quan es presti serveis a altres organismes públics o entitats privades, o es tracti informació, se'ls farà partícip d'aquesta Política de Seguretat de la Informació. SBP SOFT 2007 SL. definirà i aprovarà els canals per a la coordinació de la informació i els procediments dactuació per a la reacció davant incidents de seguretat, així com la resta dactuacions que SBP SOFT 2007 SL., dugui a terme en matèria de Seguretat en relació amb altres organismes.
Quan SBP SOFT 2007 SL., utilitzi serveis de tercers o cedeixi informació a tercers, se'ls farà partícip d'aquesta Política de Seguretat i de la Normativa de Seguretat existent que correspongui a aquests serveis o informació. Aquesta tercera part quedarà subjecta a les obligacions establertes a la normativa esmentada, i podrà desenvolupar els seus propis procediments operatius per satisfer-la. Sestabliran procediments específics de comunicació i resolució dincidències. Se sol·licitarà que el personal de tercers estigui adequadament conscienciat en matèria de seguretat, almenys al mateix nivell establert en aquesta política de seguretat.
De la mateixa manera, quan algun aspecte d'aquesta Política de Seguretat no pugui ser satisfet per una tercera part segons es requereix en els paràgrafs anteriors, es requerirà informe del responsable de seguretat ENS que necessiti els riscos en què s'incorre i la manera de tractar-los. Es requerirà l'aprovació d'aquest informe pels responsables de la informació i els serveis afectats abans de continuar.
Nota: per a la seva elaboració com a suport addicional es pot utilitzar la Guia CCN-STIC 805 Esquema Nacional de Seguretat. Política de Seguretat de la Informació.
Information Security Policy
1. OBJECT, STANDARD, SCOPE
Object:
This document aims to create the Information Security Policy of SBP SOFT 2007 SL.
Scope:
Applies to all documentation and activities of the Management System.
The users of this document are the members of the SBP SOFT 2007 SL team affected by the Management System.
This document is subject to review, approval, distribution, repeal, and destruction as established by the Management System Manager.
Roles and responsibilities:
Document: Org.04-Art 13-PCD-Definition of Roles, Responsibilities and Security Committee-INT
2. GUIDES
Those that affect specific controls are included in the "Statement of Applicability" document.
REG-Statement of Applicability ENS RD311-2024-MEDIO-INT
Due to its changing nature and the fact that the CCN-CERT constantly updates the GUIDES, we have a link to consult the latest version.
Document: CCN-CERT GUIDES (for your consultation)
Other guides IF APPLICABLE:
Not included
3. PURPOSE OF THIS POLICY
In order to direct and support the management of information and its services, this Information Security Policy of SBP SOFT 2007 SL, hereinafter SBP, is established to guarantee the quality of the information and the continued provision of services in order to act preventively against possible incidents and react quickly when they materialize.
This Information Security Policy, hereinafter Security Policy, is aligned with the requirements established within the corresponding articles of the National Security Scheme, hereinafter ENS.
4. OBJECTIVE AND MISSION OF SBP SOFT 2007
SBP SOFT 2007 is a company that develops its activity in the design, development, manufacturing, installation and service of computer programs for clinical and diagnostic applications in accordance with the declaration of applicability.
5. INTRODUCTION
SBP SOFT 2007 SL relies on ICT (Information and Communications Technology) systems to achieve its objectives. These systems must be managed diligently, taking appropriate measures to protect them against accidental or deliberate damage that may affect the availability, integrity, confidentiality, traceability, and authenticity of the information processed or the services provided.
The objective of information security is to ensure the quality of information and the continued provision of services by acting preventively, monitoring daily activity, and reacting promptly to incidents.
ICT systems must be protected against rapidly evolving threats that have the potential to impact the confidentiality, integrity, availability, intended use, and value of information and services. Defending against these threats requires a strategy that adapts to changing environmental conditions to ensure the continued provision of services. This means that the organization, including all its departments, must implement at least the minimum security measures required by the National Security Framework, as well as continuously monitor service delivery levels, track and analyze reported vulnerabilities, and prepare an effective response to potential security incidents to ensure the continuity of the services provided.
Different departments must ensure that security is an integral part of the information systems lifecycle, from conception to decommissioning, including development or acquisition decisions and operational activities. Security requirements, not just funding needs, must be identified and included in planning, requests for proposals, and procurement for ICT-based projects.
SBP SOFT 2007 SL must be prepared to prevent, detect, react to, and recover from security incidents.
6. REGULATORY FRAMEWORK
The regulatory framework that affects the development of the activities and responsibilities of SBP SOFT 2007 SL is made up of national and European legal standards, aimed at the security of information and the services that manage it, including cybersecurity, as well as the protection of personal data.
The standards that constitute this framework are collected in a registry for this purpose, which is kept up to date as indicated by the corresponding legal requirements management procedure.
7. SECURITY ORGANIZATION
The organization of Information Security at SBP SOFT 2007 SL is established as follows.
7.1. Security roles or profiles
To ensure compliance with and adaptation to the measures required by regulations, security roles have been created, which are detailed below. The specific people who occupy them have been designated in a Minutes of the Information Security Committee, while they have individually and formally accepted their role, along with the functions associated with it, through a specific designation document.
- Information and Services Manager.
- Data Protection Officer (DPD).
- Responsible for Security.
- System Manager.
7.2. Information Security Committee
SBP SOFT 2007 SL has established an Information Security Committee, as a collegiate body, consisting of the following members:
- President: The person responsible for information and services.
- Secretary: The person responsible for security.
- Other members:
- System Manager.
- Data Protection Officer.
All members will participate with voice and vote. In any case, if a matter requires the participation of other persons, they may be summoned to attend a specific Committee meeting, with voice but no voting rights.
The Information Security Committee will hold its sessions at the premises of SBP SOFT 2007 SL, or electronically, with a minimum frequency of one year for its ordinary meetings, after prior notice to that effect made by the secretary on behalf of the president of said Committee.
In the event of high-criticality security incidents, or any extraordinary circumstance related to the security of information systems and the services that rely on them, the Information Security Committee will be convened without delay, on an extraordinary basis.
7.3. Responsibilities associated with the National Security Scheme
The roles and responsibilities of each ENS security role are detailed and established below.
Duties of the Information and Services Manager:
- Establish and approve the security requirements applicable to the service and information within the framework established in Annex I of the National Security Scheme, upon proposal within the framework of the Information Security Committee
- Accept the levels of residual risk that affect the Services and Information.
Duties of the Security Officer
- Maintain and verify the appropriate level of security of the information managed and the services provided by the information systems.
- Promote information security training and awareness.
- Designate those responsible for carrying out the risk analysis and the declaration of applicability, identify security measures, determine necessary configurations, and coordinate the preparation of system security documentation.
- Participate in the development and implementation of security improvement plans, risk treatment plans, and, where appropriate, continuity plans, proceeding with their validation.
- Manage external or internal reviews and audits of the information system.
- Manage ENS certification processes.
- Submit approval of changes and other system requirements to the Security Committee.
Duties of the System Manager
- Paralyze or suspend, in coordination with the other members of the Security Committee, access to information or the provision of services, if it becomes aware that these present serious security deficiencies.
- Coordinate the development, operation, and maintenance of the information system throughout its life cycle.
- Develop, or coordinate the development of, the necessary operating procedures.
- Define the topology and management of the Information System, establishing the usage criteria and the services available in it, in coordination with the Information and Services Manager.
- Ensure that specific security measures are appropriately integrated into the overall security framework, in coordination with the Security Manager.
- Determine the System Category based on the assessments of the Information and Services Manager.
- Collaborate, if required, in the development and implementation of security improvement plans and, where appropriate, in continuity plans.
- Coordinate and supervise, together with the Security Manager, the tasks assigned to the system security administrator, especially if it is an outsourced role.
Functions of the Information Security Committee The Security Committee will have the following functions:
- Provide advice and respond to major requests regarding Information Security.
- Resolve any conflicts of responsibility that may arise between the different designated roles, in matters of information and service security.
- Promote continuous improvement of the information security management system. To this end, the following will be implemented:
- Coordinate the efforts of the entire Organization in terms of information security, to ensure that they are consistent, aligned with this Policy and with the strategy decided on the matter, avoiding duplication.
- Propose information security improvement plans, with their corresponding budget allocation, prioritizing the most necessary security actions when resources are limited.
- Ensure that information security is considered in all projects, from their initial specification to their operational implementation. In particular, it should ensure the creation and use of horizontal security services that reduce duplication and support the seamless operation of all ICT systems.
- Monitor the Organization's Risk Treatment Plan (RTP), recommending possible actions if deviations from the plan are detected.
- Monitor the management of security incidents and recommend possible actions regarding them.
- Prepare and regularly review the Information Security Policy for approval by the General Management.
- Verify the changes made, or proposed, by the Security Officer and the System Manager, both in internal regulations and in information security procedures.
- Oversee training and awareness programs for staff on information security and personal data protection.
7.4. Conflict Resolution
The Information Security Committee will be responsible for resolving conflicts and/or differences of opinion that may arise between security roles.
8. PERSONAL DATA
SBP SOFT 2007 SL will only collect personal data when it is adequate, relevant, and not excessive, and when it corresponds to the scope and purposes for which it was obtained. Likewise, it will adopt the necessary technical and organizational measures to comply with the Data Protection regulations in force in each case, relying where possible on the security measures of the ENS, without detriment to other specific measures or requirements that may be required.
In view of the entry into direct application for the entire European Union, on May 25, 2018, of the General Data Protection Regulation (GDPR), regarding the protection of natural persons with regard to the processing of personal data and the free circulation of these data and its translation into Spanish legislation through the Organic Law on the Protection of Personal Data and Guarantee of Digital Rights (LOPD-GDD), SBP SOFT 2007 SL will adopt the appropriate measures such as, the analysis of legal legitimacy of each of the data processing processes carried out, the risk analysis with respect to data protection, the impact assessment if the risk to the rights and freedoms of those affected by a certain treatment is high, the registration of the processing activities and the appointment of the Data Protection Officer.
9. DEVELOPMENT OF THE INFORMATION SECURITY POLICY
The Information Security Committee has approved the development of a management system, which will be established, implemented, maintained, and improved in accordance with security standards. This system will manage the security of SBP SOFT 2007 SL's information systems. The system will be documented and must allow for the generation of evidence of the security measures implemented and compliance with the security objectives determined by the Security Committee in accordance with the ENS, the category of the Information System, and this Policy. Document management regulations will exist that will establish guidelines for structuring the system's security documentation, its management, and access.
The Information Security Committee is responsible for the annual review of this Policy, proposing, if necessary, improvements to it for approval by the General Management of SBP SOFT 2007 SL
10. THIRD PARTIES
When services are provided to other public bodies or private entities, or information is processed, they will be made aware of this Information Security Policy. SBP SOFT 2007 SL. will define and approve the channels for coordinating information and the procedures for responding to security incidents, as well as any other actions that SBP SOFT 2007 SL. carries out in the area of Security in relation to other bodies.
When SBP SOFT 2007 SL. uses third-party services or provides information to third parties, they will be made aware of this Security Policy and the existing Security Regulations that apply to these services or information. This third party will be subject to the obligations established in the aforementioned regulations and may develop its own operating procedures to comply with them. Specific procedures will be established for reporting and resolving incidents. Third-party personnel will be required to be adequately aware of security issues, at least to the same level as established in this Security Policy.
Similarly, when any aspect of this Security Policy cannot be satisfied by a third party as required in the preceding paragraphs, a report from the ENS security officer will be required specifying the risks involved and how to address them. Approval of this report by those responsible for the information and services affected will be required before proceeding.
Note: For additional support, you can use the CCN-STIC 805 National Security Framework. Information Security Policy Guide.