Política del Sistema Integrado de Gestión

 

SIA tiene como misión aportar soluciones IT y firma digital a sus Clientes y colaborar en su evolución. Su  Dirección ha desarrollado e implementado un Sistema Integrado de Gestión (SIG),  sometido a un proceso de mejora continua, de acuerdo con los requisitos del Sistema de Gestión de la Seguridad de la Información (ISO/IEC 27001), el Sistema de Gestión Ambiental (ISO/IEC 14001), el Sistema de Gestión de la Calidad (ISO/IEC 9001), el Sistema de Gestión de la Continuidad del Negocio (ISO/IEC 22301), el Sistema de Gestión de Servicios TI (ISO/IEC 20000) y la legislación aplicable por la que se regula el Esquema Nacional de Seguridad y la Protección de los Datos de Carácter Personal, así como la normativa eIDAS aplicable a las entidades que proveen servicios de confianza en el ámbito de firma digital (Trusted Service Provider), como es el caso de SIACERT.

 

La presente Política se desarrolla con la finalidad de establecer un marco de actuación único que permita alinear cada uno de los ámbitos del SIG y el compromiso de la Dirección de proveer los recursos necesarios para su implementación y mejora continua.

 

La Dirección de SIA designa al Comité del Sistema Integrado de Gestión como máximo responsable encargado de revisarla, mantenerla y difundirla. En el documento “Roles, responsabilidades y autoridad” se define el marco organizativo, su estructura, miembros, y los roles, responsabilidades y autoridades pertinentes para asegurar la conformidad, adecuación y buen comportamiento del SIG, de acuerdo con la presente Política, así como el procedimiento para su designación y renovación.

 

Esta Política será comunicada, difundida y seguida por todo el personal de la Organización y demás partes interesadas (clientes, contratistas, proveedores,…) que compartan servicios con SIA o trate su información, siendo de obligado cumplimiento dentro de su ámbito de responsabilidad.

 

Su incumplimiento podrá acarrear el inicio de las medidas disciplinarias oportunas y, en su caso, las responsabilidades legales correspondientes.

 

La Política se desarrolla y complementa mediante un conjunto normas, guías y procedimientos que afrontan aspectos específicos. Esta documentación, así como el resto de documentación del SIG (procesos, registros, informes, evidencias, programas,…) es mantenida en sus últimas versiones aprobadas mediante un sistema de gestión documental en la intranet de la Organización y accesible al personal y partes interesadas pertinentes en base a la clasificación de la misma y la necesidad de conocer de cada colectivo o persona. Las directrices para estructuración, gestión y acceso de esta documentación se encuentran en el documento “Control y gestión documental SIG”.

 

La Dirección de SIA asume como compromisos estratégicos los siguientes objetivos:

 

1. Implementar un sistema de gestión documentado y medible, garantizando la mejora continua de los procesos, procedimientos, productos y servicios, con el fin de prestar servicios que satisfagan los requisitos de los clientes.
2. Asignar las funciones y responsabilidades necesarias para el correcto funcionamiento del SIG, en base a los procedimientos correspondientes para su designación. Desarrollar la gestión del personal, programas de formación y concienciación sobre el personal que garanticen el nivel de capacitación, competencia e implicaciones en el SIG adecuadas a sus funciones.
3. Cumplir con la legislación vigente aplicable, en especial aquella que se desprenda de la prestación de servicios al ciudadano por las Administraciones Públicas y del tratamiento de datos de carácter personal que realiza la organización. En el sistema de gestión documental, en la intranet, se mantendrá actualizado el correspondiente documento de seguridad que recoge los ficheros y tratamientos afectados, los responsables correspondientes y las medidas de seguridad aplicables, que serán implantadas y revisadas periódicamente de acuerdo con la naturaleza, finalidad y tratamiento de los datos de carácter personal.
4. Analizar y gestionar los riesgos a los que está expuesta la Organización mediante metodologías reconocidas internacionalmente.
5. Establecer las medidas y evaluación continua de las mismas, necesarias para mantener niveles adecuados de integridad, confidencialidad, disponibilidad, trazabilidad y autenticación de la información propia y aquella de proveedores y los clientes relacionados, así como de los sistemas y personal que la tratan y mantienen.
6. Prevenir los incidentes y planificar una reacción eficaz junto con un análisis posterior en el caso de que ocurran. Así como velar por la continuidad de las operaciones críticas de la Organización en caso de producirse dichos incidentes.
7. Orientar la actividad de la Organización y sus proveedores hacia el Cliente cumpliendo con los requisitos, explícitos e implícitos, de los términos y condiciones acordados.
8. Alcanzar los niveles adecuados de los servicios TI que ofrece la Organización a sus clientes, y exigir lo mismo a sus proveedores, de forma que certifiquen y garanticen la calidad, satisfacción y cooperación mutua.
9. Contribuir a la prevención de la contaminación y establecer una adecuada gestión de los residuos ambientales ya sean generados internamente o a través de nuestros suministradores.
10. Garantizar la continuidad de la operativa ante la ocurrencia de incidentes disruptivos.
11. Prestar servicios de firma digital conforme a los estándares ETSI y normativas legales aplicables para los TSPs.

 

La Política estará vigente desde la fecha de su aprobación por la Dirección de SIA, quedando anulada la versión anterior, y será revisada anualmente.