1. APPROBATION ET ENTRÉE EN VIGUEUR

Texte approuvé le 21 juillet 2022 par la direction générale. La présente politique de sécurité de l’information est en vigueur à partir de cette date jusqu’à ce qu’elle soit remplacée par une nouvelle politique.

2. INTRODUCTION

SICOMORO SERVICIOS INTEGRALES, S.L. dépend des systèmes TIC (technologies de l’information et de la communication) pour atteindre ses objectifs. Ces systèmes doivent être gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés qui pourraient affecter la disponibilité, l’intégrité ou la confidentialité des informations traitées ou des services fournis.

L’objectif de la sécurité de l’information est de garantir la qualité de l’information et la poursuite de la fourniture de services en agissant de manière préventive, en surveillant l’activité quotidienne et en réagissant rapidement aux incidents.

Les systèmes TIC doivent être protégés contre les menaces en évolution rapide susceptibles d’avoir un impact sur la confidentialité, l’intégrité, la disponibilité, l’utilisation prévue et la valeur des informations et des services. Pour se défendre contre ces menaces, il faut une stratégie qui s’adapte à l’évolution des conditions environnementales afin de garantir la continuité de la prestation des services. Cela implique que les départements doivent mettre en œuvre les mesures de sécurité minimales requises par le schéma de sécurité nationale, ainsi que surveiller en permanence les niveaux de prestation de services, suivre et analyser les vulnérabilités signalées, et préparer une réponse efficace aux incidents afin de garantir la continuité des services fournis.

Les différents services doivent veiller à ce que la sécurité des TIC fasse partie intégrante de chaque étape du cycle de vie du système, de sa conception à son déclassement, en passant par les décisions de développement ou d’achat et les activités opérationnelles. Les exigences de sécurité et les besoins de financement doivent être identifiés et inclus dans la planification, les appels d’offres et les documents d’appel d’offres pour les projets TIC.

Les départements doivent être préparés à prévenir, détecter, réagir et se remettre des incidents, conformément à l’article 7 de l’ENS (article 8. Prévention, détection, réaction et préservation. Décret royal 311/2022, du 3 mai, qui régit le régime de sécurité nationale).

2.1. PRÉVENTION

Les services doivent éviter, ou du moins prévenir autant que possible, que les informations ou les services soient endommagés par des incidents de sécurité. À cette fin, les ministères doivent mettre en œuvre les mesures de sécurité minimales déterminées par l’ENS, ainsi que tout contrôle supplémentaire identifié par une évaluation des menaces et des risques. Ces contrôles, ainsi que les rôles et responsabilités de tout le personnel en matière de sécurité, doivent être clairement définis et documentés. Pour assurer la conformité à la politique, les ministères devraient : Autoriser les systèmes avant leur mise en service.

– Évaluer régulièrement la sécurité, y compris les évaluations des changements de configuration effectués de façon routinière.

– Demander un examen périodique par des tiers afin d’obtenir une évaluation indépendante.

2.2. DÉTECTION

Étant donné que les services peuvent se dégrader rapidement en raison d’incidents, allant du simple ralentissement à l’arrêt, les services doivent surveiller leur fonctionnement en permanence afin de détecter les anomalies dans les niveaux de prestation de services et agir en conséquence, comme le prévoit l’article 10 de l’ENS. (Article 9. Suivi continu et réévaluation périodique).

La surveillance est particulièrement pertinente lors de l’établissement des lignes de défense conformément à l’article 9 de l’ENS. (Article 8. Existence de lignes de défense).

Il convient d’établir des mécanismes de détection, d’analyse et de rapport qui atteignent les responsables de manière régulière et lorsqu’un écart significatif par rapport aux paramètres préétablis comme normaux se produit.

2.3. RÉPONSE

L’Entité a mis en place des mécanismes pour répondre efficacement aux incidents de sécurité.

Un point de contact a été désigné pour les communications concernant les incidents détectés dans d’autres départements ou d’autres organismes.

Des protocoles sont en place pour l’échange d’informations relatives aux incidents. Cela inclut les communications bidirectionnelles avec les équipes d’intervention d’urgence (CERT).

2.4. RÉCUPÉRATION

Pour garantir la disponibilité des services essentiels, l’entité a élaboré des plans de continuité des systèmes TIC dans le cadre de son plan global de continuité des activités et de ses activités de récupération.

3. SCOPE

Cette politique s’applique à tous les systèmes TIC de l’entité et à tous les membres de l’organisation impliqués dans les services et projets du secteur public nécessitant l’application de l’ENS, sans exception.

4. MISSION

Les principaux objectifs poursuivis sont :

– Promouvoir la relation électronique entre l’utilisateur et l’Entité ou ses Clients.

– Réduire les temps d’attente pour les services aux usagers.

– Réduire les délais d’attente dans la résolution des procédures demandées par l’usager.

– Développer un système de gestion de l’information documentaire qui facilite l’accès rapide du personnel de service aux informations demandées par l’utilisateur.

5. CADRE RÉGLEMENTAIRE

Cette politique s’inscrit dans le cadre de la législation suivante :

1. RD 311/2022 Décret royal 311/2022, du 3 mai, qui réglemente le Régime de sécurité nationale. BOE du 04 mai 2022.

2. Loi 30/1992, du 26 novembre, sur le régime juridique des administrations publiques et la procédure administrative commune.

3. Loi 40/2015, du 1er octobre, sur le régime juridique du secteur public.

4. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

5. Loi organique 3/2018, du 5 décembre, sur la protection des données personnelles et la garantie des droits numériques.

6. Loi 11/2007, du 22 juin, sur l’accès électronique des citoyens aux services publics.

7. Loi 7/1985, du 2 avril 1985, régissant les bases du régime local, modifiée par la loi 11/1999, du 21 avril 1999.

6. L’ORGANISATION DE LA SÉCURITÉ
6.1. COMITÉS : RÔLES ET RESPONSABILITÉS

Le comité de sécurité TIC est composé de :

– Le Directeur Général de la Société= Titulaire, Contrôleur des données, Responsable de l’information (RINFO), Responsable du service (RSER).

– Le responsable technique = le responsable du système (RSIS).

– Le gestionnaire des systèmes = administrateur de sécurité et administrateur de sécurité délégué (AS & AS-D).

– Le Responsable des systèmes de gestion = Responsable de la sécurité de l’information (RSEG), Responsable de la sécurité de l’information (CISO), Responsable de la sécurité de l’entreprise (CSO).

– Le gestionnaire de support = gestionnaire de système (RSIS).

– Le chef de l’administration = chef des mesures de sécurité spécifiques (RH), secrétaire du comité de sécurité des TIC.

Le secrétaire du comité de sécurité des TIC est le chef de l’administration, qui est chargé de convoquer les réunions du comité et d’en établir le procès-verbal.

Le comité de sécurité des TIC fait rapport à la direction de l’entité.

Le comité de sécurité des TIC a les fonctions suivantes :

– Coordonner et approuver les actions dans le domaine de la sécurité de l’information.

– Promouvoir la culture de la sécurité de l’information.

– Participer à la catégorisation des systèmes et à l’analyse des risques.

– Examiner la documentation relative à la sécurité du système.

– Résoudre les divergences et les problèmes qui peuvent survenir dans la gestion de la sécurité.

6.2. RÔLES : FONCTIONS ET RESPONSABILITÉS

Les responsabilités de la direction générale sont les suivantes :

– Il est chargé de fixer les objectifs stratégiques, d’organiser correctement ses éléments constitutifs, ses relations internes et externes, et de diriger son activité, y compris l’approbation de la politique de sécurité de l’information, ainsi que, le cas échéant, de la politique de protection des données, de fournir les ressources appropriées pour atteindre les objectifs proposés, de veiller à leur respect.

– Responsable du traitement des données personnelles.

– Le contrôleur des données est le responsable ultime de l’utilisation de certaines informations et, par conséquent, de leur protection. Le responsable du traitement des données est responsable en dernier ressort de toute erreur ou négligence entraînant un incident de confidentialité ou d’intégrité (en termes de protection des données) et de disponibilité (en termes de sécurité des informations).

– Gestionnaire du service : cette personne a le pouvoir de déterminer les niveaux de sécurité des services. Il peut s’agir d’une personne spécifique ou d’un organisme collégial.

Les responsabilités du comité de sécurité des TIC sont les suivantes

– Coordonner et approuver les actions de sécurité de l’information.

– Promouvoir la culture de la sécurité de l’information.

– Participer à la catégorisation des systèmes et à l’analyse des risques.

– Examiner la documentation relative à la sécurité du système.

– Résoudre les divergences et les problèmes qui peuvent survenir dans la gestion de la sécurité.

Les responsabilités du responsable de la sécurité de l’information sont les suivantes :

– Maintenir le niveau de sécurité approprié des informations traitées et des services fournis par les systèmes.

– Effectuer ou promouvoir les audits périodiques requis par l’ENS pour vérifier le respect de ses exigences.

– Gérer la formation et la sensibilisation à la sécurité des TIC.

– Vérifiez que les mesures de sécurité existantes sont adaptées aux besoins de l’entité.

– Examiner, compléter et approuver toute la documentation relative à la sécurité du système.

– Surveiller l’état de sécurité du système grâce aux outils de gestion des événements de sécurité et aux mécanismes d’audit mis en place dans le système.

– Soutenir et superviser l’enquête sur les incidents de sécurité, de la notification à la résolution, en publiant des rapports périodiques sur les incidents les plus pertinents à l’intention du Comité.

Les responsabilités du gestionnaire du système sont les suivantes :

– Gérer le système tout au long de son cycle de vie, depuis la spécification, l’installation jusqu’au suivi de son fonctionnement.

– Définir les critères d’utilisation et les services disponibles dans le système.

– Définir les politiques d’accès des utilisateurs au système.

– Approuver les changements affectant la sécurité du mode de fonctionnement du système.

– Déterminer la configuration matérielle et logicielle autorisée à être utilisée dans le système et approuver les modifications majeures de cette configuration.

– Effectuer l’analyse et la gestion des risques dans le système.

– Préparer et approuver la documentation relative à la sécurité du système.

– Déterminer la catégorie du système selon la procédure décrite à l’annexe I de l’ENS et déterminer les mesures de sécurité à appliquer comme décrit à l’annexe II de l’ENS.

– Mettre en œuvre et contrôler les mesures de sécurité spécifiques du système.

– Établir des plans d’urgence et de secours, en organisant fréquemment des exercices pour familiariser le personnel avec ces plans.

– Suspendre le traitement de certaines informations ou la fourniture d’un certain service si des déficiences graves sont détectées.

Les responsabilités de l’administrateur de la sécurité sont les suivantes :

– Mise en œuvre, gestion et maintenance des mesures de sécurité.

– Gestion, configuration et mise à jour, le cas échéant, du matériel et des logiciels de sécurité, ainsi que leur supervision.

– Gestion des autorisations et des privilèges accordés aux utilisateurs du système.

– Application des procédures de sécurité et vérification de leur respect.

– Approuver les modifications de la configuration de la sécurité.

– Veiller à ce que les contrôles de sécurité soient respectés.

– Contrôle de l’état de sécurité du système.

– Signaler toute anomalie au RSEG et au RSIS.

– Contribuer à l’enquête et à la résolution des incidents de sécurité.

– Enregistrer, comptabiliser et gérer les incidents de sécurité.

– Isolez l’incident pour éviter sa propagation.

– Prenez des décisions à court terme si les informations ont été compromises d’une manière qui pourrait avoir de graves conséquences.

– Assurer l’intégrité des éléments critiques du système si leur disponibilité a été affectée.

– Maintenir et récupérer les informations stockées par le système et ses services associés.

– Enquêter sur l’incident : Déterminer la manière, les moyens, les raisons et l’origine de l’incident.

Les responsabilités du responsable des mesures de sécurité spécifiques aux RH sont les suivantes :

– Communiquer l’enregistrement et le désenregistrement des utilisateurs, selon la procédure décrite.

Les responsabilités des utilisateurs sont les suivantes :

– Appliquez les mesures de sécurité décrites dans le règlement.

6.3. PROCÉDURES DE NOMINATION

Le responsable de la sécurité de l’information est nommé par la direction de l’entité, sur proposition du comité de sécurité des TIC. La nomination est revue tous les 2 ans ou lorsque le poste devient vacant. Le service responsable d’un service fourni par voie électronique conformément à la loi 11/2007 désigne le gestionnaire du système, en précisant ses fonctions et responsabilités dans le cadre établi par la présente politique. Cette désignation doit être approuvée par la direction de l’Entité.

6.4. POLITIQUE DE SÉCURITÉ DE L’INFORMATION

Le comité de sécurité des TIC est chargé de l’examen annuel de la présente politique de sécurité de l’information et de proposer sa révision ou son maintien. La politique doit être approuvée par la direction de l’Entité et diffusée afin que toutes les parties concernées en aient connaissance.

7. DONNÉES PERSONNELLES

L’Entité traite des données à caractère personnel. Le « Manuel de protection des données personnelles », auquel seules les personnes autorisées peuvent avoir accès, énumère les traitements concernés et les responsables du traitement des données correspondants. Tous les systèmes d’information de l’Entité doivent respecter les mesures de sécurité requises par son analyse de risques et par la réglementation relative à la nature et à la finalité des données personnelles incluses dans le manuel susmentionné et la documentation dudit système. 

8. LA GESTION DU RISQUE

Tous les systèmes soumis à la présente politique doivent effectuer une analyse des risques, en évaluant les menaces et les risques auxquels ils sont exposés. Cette analyse doit être répétée :

– Régulièrement, au moins une fois par an, lorsque les informations traitées changent.

– Lorsque les services fournis changent.

– Lorsqu’un incident de sécurité grave se produit.

– Lorsque des vulnérabilités sérieuses sont signalées.

Pour l’harmonisation des analyses de risques, le comité de sécurité des TIC établit une évaluation de base pour les différents types d’informations traitées et les différents services fournis. Le comité de sécurité des TIC rationalisera la disponibilité des ressources pour répondre aux besoins de sécurité des différents systèmes, en favorisant les investissements horizontaux.

9. ÉLABORATION DE LA POLITIQUE DE SÉCURITÉ DE L’INFORMATION

La présente politique de sécurité de l’information complète les politiques de sécurité de l’Entité dans différents domaines :

– Politiques de sécurité en matière de protection des données personnelles, disponibles dans le document « Politique de confidentialité – Loi sur la protection des données ».

Cette politique sera développée au moyen de règlements de sécurité qui abordent des aspects spécifiques. La politique de sécurité sera mise à la disposition de tous les membres de l’organisation qui ont besoin de la connaître, en particulier ceux qui utilisent, exploitent ou administrent les systèmes d’information et de communication. La politique de sécurité doit être disponible sur l’intranet : https://helpdesk.iacpos.com.

10. OBLIGATIONS DU PERSONNEL

Tous les membres de l’organisation sont tenus de connaître et de respecter cette politique de sécurité de l’information et le règlement de sécurité. Le comité de sécurité des TIC est chargé d’organiser les moyens nécessaires pour que les informations parviennent aux personnes concernées.

Tous les membres de l’organisation doivent assister à une session de sensibilisation à la sécurité des TIC au moins une fois par an. Un programme de sensibilisation permanent est établi pour couvrir tous les membres de l’organisation, en particulier les nouvelles recrues.

Les personnes responsables de l’utilisation, du fonctionnement ou de l’administration des systèmes TIC sont formées au fonctionnement sécurisé des systèmes dans la mesure où elles en ont besoin pour effectuer leur travail. La formation est obligatoire avant de prendre une responsabilité, qu’il s’agisse d’une première affectation ou d’un changement de poste ou de responsabilités professionnelles.

11. TROISIÈMES PARTIES

Lorsque l’entité fournit des services à d’autres organisations ou traite des informations provenant d’autres organisations, celles-ci sont informées de la présente politique de sécurité de l’information, des canaux sont mis en place pour le signalement et la coordination des comités de sécurité des TIC respectifs, et des procédures sont établies pour réagir aux incidents de sécurité.

Lorsque l’Entité utilise des services de tiers ou transfère des informations à des tiers, ceux-ci doivent être informés de la présente politique de sécurité et du règlement de sécurité qui s’applique à ces services ou informations. Ce tiers est soumis aux obligations énoncées dans ces règlements et peut élaborer ses propres procédures opérationnelles pour s’y conformer. Des procédures spécifiques de signalement et de résolution des incidents sont établies. Il convient de veiller à ce que le personnel des tiers soit suffisamment sensibilisé à la sécurité pour atteindre au moins le même niveau que celui défini dans la présente politique.

Lorsqu’un aspect de la politique ne peut être satisfait par un tiers comme l’exigent les paragraphes ci-dessus, un rapport du responsable de la sécurité précisant les risques encourus et la manière dont ils seront traités est requis. L’approbation de ce rapport sera requise de la part des responsables des informations et des services concernés avant de poursuivre.