POLÍTICA DE SEGURETAT DE LA INFORMACIÓ (SGSI)
La Direcció de IEAISA, conscient de la importància d’una bona gestió de la seguretat de la informació per al seu negoci i la satisfacció del client, ha decidit dissenyar i implementar un Sistema de Gestió de Seguretat de la Informació (SGSI), segons ISO-27001 : 2013 i ISO 27017: information technology – Security techniques – Code of practice for information security control for cloud services.
IEAISA reconeix la importància d’identificar i protegir els seus actius d’informació, evitant la pèrdua, la divulgació, modificació i utilització no autoritzada de tota la seva informació, comprometent-se a desenvolupar, implantar, mantenir i millorar contínuament el (SGSI).
És responsabilitat de la Direcció de IEAISA:
- Establir periòdicament objectius sobre la gestió de la Seguretat de la Informació, i les accions necessàries per al seu desenvolupament.
- Establir la sistemàtica d’anàlisi del risc, avaluant l’impacte i les amenaces.
- Implementar les accions necessàries per reduir els riscos identificats que es considerin inacceptables, segons els criteris establerts pel Comitè de Seguretat.
- Aplicar els controls necessaris i els seus corresponents mètodes de seguiment.
- Complir amb els requisits assumits per IEAISA, legals, reglamentaris, de client i les obligacions contractuals de seguretat.
- Garantir a cada Client que la seva informació serà processada d’acord amb els requisits fonamentals de confidencialitat, integritat i disponibilitat.
- Promoure la conscienciació i formació en matèria de seguretat de la informació a tot el personal de IEAISA.
- Aportar els recursos necessaris per garantir la continuïtat del negoci de l’empresa.
La Seguretat de la Informació aplicada als serveis Cloud oferts per IEAISA es caracteritza per:
- Requisits bàsics de seguretat de la informació aplicats en el disseny i implementació del servei CLOUD.
- Gestió del risc de les persones amb accés autoritzat.
- Arquitectura d’aïllament de clients (multi-tenancy) a la virtualització.
- Gestió de l’accés als actius del client en el CLOUD per part del personal de IEAISA.
Establiment de procediments de control d’accés robustos. - Gestió de canvis i comunicació al client de serveis CLOUD.
Seguretat en la virtualització. - Accés i protecció de les dades en el CLOUD del client.
- Gestió del cicle de vida dels comptes de clients de IEAISA.
- Comunicació sobre incidències i bretxes de seguretat, incloent pautes d’investigació i anàlisi forense.
- La direcció de IEAISA nomena al responsable de Seguretat de la Informació com a responsable directe en el manteniment d’aquesta política.
Aquesta política s’aplica a tot el personal de IEAISA, així com a col·laboradors i proveïdors amb els quals treballen conjuntament.
La present Política de seguretat de la informació podrà, segons disposi el Comitè de Seguretat, de comunicar a les parts interessades, en particular clients i proveïdors, per tal de involucrar-los en la millora contínua del sistema.
31/12/18
Direcció de IEAISA, SA.