EJIE S.A., Eusko Jaurlaritzaren Informatika Elkartea

Segurtasunerako politika orokorra

EJIEko Zuzendaritza orokorrak sortu, zaindu eta kudeatzen duen informazioaren segurtasuna bermatzera konprometitzen da, eta bere bezeroei zerbitzuen gaineko konfiantza maximoa eskaintzera ere bai. Horretarako, informazioa eta hori biltzen duten sistemen konfidentzialtasuna, osotasuna eta eskuragarritasuna bermatzea eta gerta daitekeen edozein segurtasun-gertakariren inpaktua minimizatzea oinarrizko irizpide bezala ezartzen ditu.

Zuzendaritzak Segurtasuneko Arduradun bat izendatu du eta horrek informazioaren segurtasuneko politiketan eta estrategietan lagunduko dio. Segurtasuneko Arduradun horrek, Zuzendari Orokorra bere nagusi zuzena dela, Informazioaren Segurtasuneko Kudeaketa Sistema garatzeko, ezartzeko eta eguneratua mantentzeko erantzukizuna eta beharrezko autoritatea du.

EJIEko Zuzendaritzak, baliabide material egokia emateaz gain, enpresako langile guztiek “Segurtasuneko Politikak”, “Informazioaren Segurtasuneko Kudeaketako Eskuliburua” eta aplikagarri den beste edozein dokumentutik eratortzen diren gidalerroak, prozedurak eta beste jarraibideak ulertu, onartu eta aplika ditzaten beharrezkoak diren prestakuntza eta komunikazio ekintza guztiak bultzatzen ditu.

EJEIko Zuzendaritzak, enpresako politika orokor gisara, bertan jasotzen diren sistemetan eta zerbitzuetan prozesatutako edota gordetako informazioaren segurtasuneko kudeaketa egoki bat bermatzen du.

Politika hori garatzeko, EJEIko Zuzendaritzak honako konpromisoak hartzen ditu:

• Aldizkako arriskuen analisi bat aurrera eramatea, egon daitezkeen informazioaren segurtasuneko arriskuen ikusmen egoki bat mantentzeko eta aipatutako arrisku horiek mugatzeko edo murrizteko beharrezko neurriak garatzeko, ezarri beharreko segurtasuneko neurriak definituz.
• Enpresak, bere irismenaren barruan, ezarritako segurtasuneko eskakizunak errespetatzeko garatu behar dituen jardueren baldintzak arautzen duen segurtasuneko araudi oso bat garatzea.
• Zehazten diren segurtasun neurri guztiak garatzeko beharrezkoa dira baliabide eta tresnak ematea, kostu eta etekinaren arteko oreka egoki bat mantenduz.
• Informazioaren segurtasunaren arloan prestakuntza eta kontzientziazio plan bat ezartzea, inplikaturiko langile guztiei ezarritako segurtasuneko neurriak ezagutzen eta betetzen lagundu diezaien eta informazioaren segurtasunaren kudeaketan era proaktiboan parte hartzen lagundu diezaien.
• Gerta daitezkeen segurtasuneko gertakarien kudeaketa egoki bat bermatzeko beharrezkoak diren neurriak garatzea, eta gertakari txikien zein aipatutako jardueren jarraipena arriskuan jarrai ditzaketen egoerak konpontzeko aukera ematen duena.
• EJEIko Negozioaren Jarraipen Plana (NJP) bultzatzea, eta garapena, betetzea eta mantenua zaintzea, arduradun nagusi bezala. Zuzendaritzak NJP izaera ziklikoa eta jarraitua duen prozesua dela ulertzen du, izendatutako arduradunak, eta prozedura tekniko eta antolaketakoak, definituak eta auditagarriak dituena.
• Jarraipeneko Prozesu bat definitzea eta ezartzea, EJEI-k kudeatutako hirugarren pertsonen negozioen zerbitzua keta prozesuak eta baita EJEI-enak diren prozesuak eta zerbitzuak babestera zuzentzen dena.
• Langileak EJEiko NJParen prestaketan, ezarpenean, mantenuan eta egikaritzan parte hartzearen eta beren erantzukizunak onartzearen alde egitea eta hori guztia erraztea.
• NJP EJEIk kudeatutako negozioko zerbitzu eta prozesu guztietan ezartzea. Horien arkitektura era konfigurazioa EJEI-k definitutako, onartutako eta jasandako teknologia-estandarretara egokitzen denean.
• Informazioaren segurtasunaren arloan helburu eta adierazle multzo bat aldizka ezartzea, enpresa barruan segurtasunaren eboluzioaren jarraipen on bat egiteko aukera ematen dutenak.
• Sistemaren berrikuspen, auditoria eta etengabeko hobekuntzako metodologia bat ezartzea, nahi diren segurtasun mailen etengabeko mantenu bat bermatze duen PDCA ziklo bat jarraituz.

EJIEk politika hori egoki garatzen dela bermatzeko beharrezkoak diren ekintza-prozedurak eta -moduak ezartzen ditu, eta horiek segurtasuneko sistema batean islatzen dira. Hori dokumentatua dago eta EJEIko langile guztiek ezagutzen dute, eta aldi berean, ISO/IEC 27001:2005 arauan ezartzen diren eskakizun guztiak betetzen ditu.