Política de seguridad

La seguridad de la información se consigue implantando un conjunto adecuado de controles, tales como la política, buenas prácticas, procedimientos, estructuras organizativas y funciones de software, que se seleccionan y aplican en función de los resultados del análisis de riesgos en materia de Seguridad de la Información, realizado periódicamente, teniendo en cuenta los criterios de aceptación establecidos en el “Manual del SGSI”.

Es política de la Asociación que:

  • Se establezcan anualmente objetivos de seguridad de la información, coherentes con la política, el contexto, cuestiones internas y externas y las expectativas de las partes interesadas, y se evalúe su grado de cumplimiento y eficacia.

  • Se cumplan con los requisitos legales, reglamentarios y contractuales aplicables al tratamiento de la información, así como con los códigos de buenas prácticas y otros compromisos voluntarios asumidos por la organización.

  • Se proporcione la formación, concienciación y sensibilización necesarias al personal para que conozca y cumpla con sus obligaciones y responsabilidades en materia de seguridad de la información, y se fomente una cultura de seguridad en toda la organización.

  • Se establezcan los medios necesarios para garantizar la continuidad del negocio ante posibles incidentes o situaciones de emergencia que afecten a la seguridad de la información, y se ensayen y revisen periódicamente los planes de contingencia y recuperación.

  • Se promueva la mejora continua del SGSI mediante la realización de auditorías internas, revisiones por la dirección y acciones correctivas y preventivas.

  • Se sancione cualquier violación a esta política y a cualquier política o procedimiento del SGSI, y se adopten las medidas oportunas para evitar su repetición.

La revisión de esta política se basa en los siguientes criterios:

  • El grado de cumplimiento de los objetivos de seguridad de la información establecidos.

  • La eficacia de los controles implantados para mitigar los riesgos identificados.

  • El resultado de las auditorías internas y externas realizadas sobre el SGSI.

  • El análisis de los incidentes de seguridad ocurridos y las acciones correctivas y preventivas adoptadas.

  • El feedback de las partes interesadas sobre la seguridad de la información.

  • Las oportunidades de mejora detectadas en el SGSI.

  • Los cambios en el contexto, los requisitos o los riesgos de la organización que puedan afectar a la seguridad de la información.

La revisión de esta política da lugar a un informe que recoge las conclusiones, las recomendaciones y las acciones a tomar para mejorar el SGSI, que se valida por el Comité de Seguridad de la Información y Tecnología de la Asociación y se comunica a todo el personal y a las partes interesadas pertinentes.