Política de Seguridad de Ancert OBJETIVOS El objetivo de esta política es proteger los activos de información de la Agencia Notarial de Certificación S.L.U. (ANCERT) de amenazas internas, externas, intencionadas o accidentales, minimizando el riesgo mediante una gestión formal de este; lo que desemboca en la implantación de controles que reduzcan su impacto potencial, tales como la prevención y respuesta ante incidentes. Esta Política será de aplicación para todo el Sistema de Gestión de la Seguridad de la Información (SGSI). Adicionalmente, para los sistemas de información en el alcance del Esquema Nacional de Seguridad (ENS) se aplicará lo dispuesto en la “Política de Seguridad para los Sistemas de Información afectados por el ENS”. Por su carácter de Política General, es de obligado conocimiento y cumplimiento para todo el personal de ANCERT de todas las áreas, departamentos y direcciones, así como en sus relaciones internas y con otras organizaciones y/o colaboradores. La Dirección espera así mismo que esta política sea promovida de forma activa por todos los que trabajen o actúen en nombre y/o representación de ANCERT. POLÍTICA La Seguridad de la información es el conjunto de procesos y medidas, tanto técnicas como organizativas, destinadas a proteger y preservar la información en sus tres dimensiones principales, siendo éstas: - DISPONIBILIDAD
-
- Los activos de información, y aquellos activos que los soportan, deben estar accesibles para los usuarios autorizados siempre que se necesiten (en la forma y tiempo requeridos).
-
- La organización debe ser capaz de responder diligentemente a incidentes que afecten la disponibilidad de los activos
- CONFIDENCIALIDAD
-
- Los activos, en particular la información, sólo deben ser accesibles a los usuarios autorizados.
-
- Deben existir medidas que prevengan el acceso no autorizado, ya sea intencionado o accidental, a los activos.
-
- INTEGRIDAD
-
- Se debe proteger la exactitud y completitud de la información y los procesos asociados, como procesos de tratamiento, comunicación y almacenamiento.
-
- Deben existir medidas que prevengan la modificación o destrucción, total o parcial, accidental o intencionada, de los activos.
Con este propósito, en relación a la seguridad de la información en la organización: -
- El presente documento establece el compromiso para garantizar la seguridad de los activos de información de ANCERT.
-
- Del mismo modo, el presente documento se compromete a cumplir los objetivos de seguridad indicados en el documento de objetivos del SGSI
-
- La seguridad de la información establecida debe asegurar que el SGSI consigue los resultados previstos por la Organización
-
- La seguridad de la información debe de cumplir con los requerimientos legales y normativos aplicables, y alinearse con los estándares y buenas prácticas internacionalmente reconocidos. Se toma como base el conjunto de estándares ISO 27000, en concreto los controles se han diseñado siguiendo las recomendaciones del estándar ISO 27002. Para los sistemas de información afectados por el ENS se añaden las medidas de seguridad definidas en el Anexo II del ENS de acuerdo con la clasificación del sistema.
-
- La seguridad de la información debe de entenderse como un proceso definido e integral orientado a la mejora continua y enmarcado dentro del ciclo de PDCA (Planificar, Hacer, Verificar y Actuar).
-
- La dirección de ANCERT manifiesta su soporte a lo establecido en la presente política, así como a las medidas concretas que se deriven, con el objetivo de preservar la seguridad de los activos de información.
-
- La seguridad de la Información debe de trasladar los principios mencionados a un Cuerpo Normativo de Seguridad de la Información, que establecerá las directrices y medidas de Seguridad de la Información a cumplir en la Organización en sus diferentes ámbitos. Es por ello que en ANCERT se dispone de las políticas, estándares, guías, normativas y procedimientos necesarios para dar cumplimiento a la presente política y sus objetivos.
-
- Los documentos de normativa de seguridad de ANCERT detallan el conjunto de directrices y principios que se deben seguir para el alineamiento con los requerimientos de seguridad de la organización. La mayoría de los controles se alinearán con estos documentos.
-
- Todos los empleados internos y externos deben cumplir con la presente política, así como el conjunto de controles que la implementen. Se llevarán a cabo las acciones necesarias para su divulgación. El no cumplimiento de la presente política puede suponer medidas disciplinarias de diversa índole, siempre de forma proporcional a la infracción, lo que incluye la revocación de empleo en los casos más graves, en los que se hayan perpetrado acciones que ataquen directamente a la confidencialidad, integridad o disponibilidad de los activos de la empresa
-
- El comité de seguridad revisará periódicamente la presente política, y velará por el desarrollo, implantación, mantenimiento y revisión de las políticas, estándares, guías, normativas y procedimientos que dan cumplimiento con la política.
-
- Todos los empleados deben notificar a su superior o al comité de seguridad cualquier violación de la política que detecten.
La Dirección de ANCERT ha establecido las líneas de la Política de Seguridad de la información, al mismo tiempo que manifiesta su apoyo y compromiso en todo lo relativo a la seguridad de la información; aprobando, publicando y manteniendo la presente política, lo que incluye revisiones periódicas; y aplicable a toda la Organización. Cualquier excepción de lo establecido aquí, deberá ser autorizada formalmente por la Dirección. Política de Seguridad de información de los servicios del Notariado |