POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
La Dirección de IEAISA, consciente de la importancia de una buena gestión de la seguridad de la información para su negocio y la satisfacción del cliente, ha decidido diseñar e implementar un Sistema de Gestión de Seguridad de la Información (SGSI), según ISO-27001:2013 y ISO 27017: Information technology – Security techniques – Code of practice for information security control for cloud services.
IEAISA reconoce la importancia de identificar y proteger sus activos de información, evitando la pérdida, la divulgación, modificación y utilización no autorizada de toda su información, comprometiéndose a desarrollar, implantar, mantener y mejorar continuamente el (SGSI).
Es responsabilidad de la Dirección de IEAISA:
- Establecer periódicamente objetivos sobre la gestión de la Seguridad de la Información, y las acciones necesarias para su desarrollo.
- Establecer la sistemática de análisis del riesgo, evaluando el impacto y las amenazas.
- Implementar las acciones necesarias para reducir los riesgos identificados que se consideren inaceptables, según los criterios establecidos por el Comité de Seguridad.
- Aplicar los controles necesarios y sus correspondientes métodos de seguimiento.
- Cumplir con los requisitos asumidos por IEAISA, legales, reglamentarios, de cliente y las obligaciones contractuales de seguridad.
- Garantizar a cada Cliente que su información será procesada de acuerdo con los requisitos fundamentales de confidencialidad, integridad y disponibilidad
- Promover la concientización y formación en materia de seguridad de la información a todo el personal de IEAISA.
- Aportar los recursos necesarios para garantizar la continuidad del negocio de la empresa.
La Seguridad de la Información aplicada a los servicios Cloud ofrecidos por IEAISA se caracteriza por:
- Requisitos básicos de seguridad de la información aplicados en el diseño e implementación del servicio CLOUD.
- Gestión del riesgo de las personas con acceso autorizado.
- Arquitectura de aislamiento de clientes (multi-tenancy) en la virtualización.
- Gestión del acceso a los activos del cliente en el CLOUD por parte del personal de IEAISA.
- Establecimiento de procedimientos de control de acceso robustos.
- Gestión de cambios y comunicación al cliente de servicios CLOUD.
- Seguridad en la virtualización.
- Acceso y protección de los datos en el CLOUD del cliente.
- Gestión del ciclo de vida de las cuentas de clientes de IEAISA.
- Comunicación sobre incidencias y brechas de seguridad, incluyendo pautas de investigación y análisis forense.
La dirección de IEAISA nombra al Responsable de Seguridad de la Información como responsable directo en el mantenimiento de esta política.
Esta política aplica a todo el personal de IEAISA, así como a colaboradores y proveedores con los que trabajan conjuntamente.
La presente Política de seguridad de la información podrá, según disponga el Comité de Seguridad, ser comunicada a las partes interesadas, en particular clientes y proveedores, con el fin de involucrarlos en la mejora continua del sistema.
31/12/18
Dirección de IEAISA, SA.