EJIE S.A., Sociedad Informática del Gobierno Vasco

Políticas Generales de Seguridad

La Dirección General de EJIE, se compromete a velar por la seguridad de la información que genera, custodia y gestiona, así como a ofrecer a sus clientes la máxima confianza sobre sus servicios. Para ello, establece como principios básicos garantizar la confidencialidad, integridad y disponibilidad de la información y los sistemas que la soportan, además de minimizar el impacto de cualquier tipo de incidente de seguridad que pueda producirse.

La Dirección ha designado un Responsable de Seguridad que la apoyará en el diseño de las políticas y las estrategias de seguridad de la información. Este Responsable de Seguridad, en dependencia directa del Director General, dispone de la responsabilidad y autoridad necesaria para desarrollar el Sistema de Gestión de la Seguridad de la Información, implantarlo y mantenerlo al día.

La Dirección de EJIE, además de proporcionar los medios materiales adecuados, apoya y alienta acciones de formación y comunicación para que todo el personal de la empresa entienda, acepte y aplique las directrices, procedimientos y demás instrucciones que se derivan de los documentos: “Políticas de Seguridad”, “Manual de Gestión de la Seguridad de la Información” y de cualquier otro documento aplicable.

La dirección de EJIE , como política general de la empresa, garantiza la adecuada gestión de la seguridad de la información procesada y/o albergada por los sistemas y servicios contemplados en el alcance.

Para desarrollar esta política, la dirección de EJIE se compromete a:

• Llevar a cabo un análisis de riesgos periódico que permita mantener una adecuada visión de los riesgos de seguridad de la información a los que están expuestos los activos y desarrollar las medidas necesarias para limitar y reducir dichos riesgos, definiendo las medidas de seguridad a establecer.
• Desarrollar una completa normativa de seguridad que regule las condiciones en las que la empresa, dentro del alcance establecido, debe desarrollar su actividad para respetar los requerimientos de seguridad establecidos.
• Destinar los recursos y medios necesarios para desarrollar todas las medidas de seguridad que se determinen, manteniendo un adecuado balance entre coste y beneficio.
• Establecer un plan de formación y concienciación en materia de seguridad de la información que ayude a todo el personal implicado a conocer y cumplir las medidas de seguridad establecidas y a participar de forma proactiva en la gestión de la seguridad de la información.
• Desarrollar todas las medidas necesarias para garantizar la adecuada gestión de los incidentes de seguridad que puedan producirse, y que permitan la resolución tanto de las incidencias menores como de las situaciones que puedan poner en riesgo la continuidad de las actividades contempladas.
• Impulsar y velar por el desarrollo, cumplimiento y mantenimiento del Plan de Continuidad de Negocio (PCN) de EJIE como máxima responsable del mismo. La Dirección entiende el PCN de EJIE como un proceso de carácter cíclico y continuo, con responsables asignados, y con procedimientos técnicos y organizativos, definidos y auditables.
• Definir e implantar un Proceso de Continuidad orientado a proteger tanto los servicios y procesos de negocio de terceros gestionados por EJIE como los suyos propios.
• Propiciar y facilitar la participación y asunción de responsabilidades de los empleados y colaboradores en la preparación, implantación, mantenimiento y ejecución del PCN de EJIE.
• Extender el PCN a todos aquellos servicios y procesos de negocio gestionados por EJIE y cuya arquitectura y configuración se ajusta a los estándares tecnológicos definidos, asumidos y soportados por EJIE.
• Establecer periódicamente un conjunto de objetivos e indicadores en materia de seguridad de la información que permitan el adecuado seguimiento de la evolución de la seguridad dentro de la empresa.
• Establecer una metodología de revisión, auditoría y mejora continua del sistema, siguiendo un ciclo PDCA que garantice el mantenimiento continuo de los niveles de seguridad deseados.

EJIE establece los procedimientos y formas de actuación necesarias para garantizar el correcto desarrollo de esta política, que se plasman en un sistema de seguridad, documentado y conocido por todo el personal de EJIE, y que cumple los requisitos establecidos en la norma ISO/IEC 27001:2005.