SG Calidad – SG Medioambiente – SG Servicios TI – SG Seguridad Información
El modelo reconoce que la excelencia en todo lo referente a resultados y rendimiento de una organización se puede lograr de manera sostenida:
Los buenos resultados (operación) se consiguen guiando a las personas (liderazgo) para obtener los objetivos marcados (mejora) y combinando de forma adecuada las personas, los recursos materiales, y las mejores prácticas (estructura).
Todo ello nos debe llevar a un proceso de cambio continuo, que garantice el no retorno a viejas formas. Nuestro sistema es dinámico: la evolución y el aprendizaje potencian los procesos dando lugar a una mejora de resultados.
Consecuencia de aplicar el Modelo:
Satisfaciendo a TODOS los componentes la empresa CRECE
Enfocar nuestras acciones hacia la satisfacción de nuestros clientes. El cliente es nuestra guía. No nos importa su tamaño pero sí su confianza en la tecnología para mejorar su funcionamiento.
Cumplir los requisitos de nuestros clientes relativos a la seguridad de la información. Hacerles partícipes de nuestro compromiso con la seguridad de la información, establecer canales para reporte y coordinación de los respectivos Comités de Seguridad y procedimientos de actuación para la reacción ante incidentes de seguridad en la medida que se requiera.
Colaborar con nuestros proveedores para que nos aporten soluciones tecnológicas idóneas y satisfacer las necesidades de nuestros clientes.
Transmitir los requisitos del SG de Seguridad de la Información y de la Normativa de Seguridad que ataña a dichos servicios o información.
Establecer procedimientos específicos de reporte y resolución de incidencias. Garantizar que nuestros proveedores estén adecuadamente concienciados en materia de seguridad. Adoptar las medidas oportunas en caso de incumplimiento de estos requerimientos.
Potenciar la formación continua de todas nuestras Personas, incluyendo la sensibilización y concienciación ambiental en materia de seguridad de la información y de prevención de riesgos laborales.
Cumplir con los requisitos legales y reglamentarios que son de aplicación a nuestra actividad, especialmente a los que regulan la seguridad de la información, así como los compromisos voluntariamente adoptados, incluyendo las normativas de gestión ambiental.
Adoptar el compromiso de prevenir la contaminación y proteger el medio ambiente. Asumir dentro de nuestra actividad el compromiso de poner en marcha medidas para mitigar el cambio climático.
Revisar continuamente nuestro compromiso para asegurar su continua adecuación.
Mantener, mejorar y potenciar el enfoque a la gestión por procesos en todos los ámbitos de la organización. Nuestro Sistema Integrado de Gestión adopta un enfoque basado en procesos: el primer gran proceso resulta ser el propio Sistema de Gestión. A partir de él, y con una estructura jerárquica relacional se construyen todos los procesos de Sothis. Un sistema único.
Tomar medidas técnicas y organizativas necesarias para proteger la disponibilidad, confidencialidad e integridad de la información así como a restringir y controlar el acceso a la información y los medios para su tratamiento.
Establecer los mecanismos necesarios para conseguir que la mejora continua del Sistema Integrado de Gestión (SG Calidad-SG Seguridad de la información–SG Servicios IT –SG Seguridad y Salud) forme parte del hábito de todas las personas.
Mantener un entorno controlado, minimizando los riesgos hasta niveles aceptables en materia de seguridad de la información, actualizando permanentemente el análisis y gestión riesgos de seguridad.
Reducir la probabilidad de ocurrencia y los efectos de la materialización de amenazas sobre la seguridad del sistema, contemplando medidas orientadas a su prevención, detección y corrección.
Proporcionar y asignar los recursos necesarios para una correcta ejecución de los trabajos y para cumplir con los requisitos establecidos.
Establecer las medidas necesarias para prevenir, estudiar y eliminar, siempre que sea posible, los factores que puedan afectar de un modo negativo a la gestión de los servicios.
Mantener actualizada la relación completa de servicios en el catálogo de servicios, y ponerla a disposición de todas nuestras Personas, Clientes y Proveedores.
Comunicar y difundir nuestro compromiso a todas nuestras Personas y ponerlo a disposición de todo aquel que lo solicite.
Garantizar la protección de la información, mediante la correcta aplicación de las medidas de seguridad, el correcto uso de los sistemas que la procesan que son responsabilidad de la organización, y la limitación de accesos según la necesidad de conocer de las personas.
Mantener el secreto respecto a la información y no divulgarla a terceros, salvo que las comunicaciones formen parte de la relación laboral y en cumplimiento de las debidas garantías de confidencialidad. Únicamente cederá información a terceros que ofrezcan garantías suficientes de manera que el tratamiento sea conforme con los requisitos establecidos.
Para el correcto funcionamiento de Seguridad de la Información se necesita de la creación y puesta en marcha del equipo que ejecute algunos procesos clave de este sistema de gestión. Definimos el equipo sus integrantes, responsabilidades y su forma de operar en el procedimiento ST-PRO-494.
Este comité tiene la función de coordinar todas las funciones de seguridad de Sothis, vela por el cumplimiento de la normativa de aplicación legal, regulatoria y sectorial. Asimismo, este comité se encarga de velar por el alineamiento de las actividades de seguridad y los objetivos de la organización.
En el marco de cumplimiento del ENS y la ISO27001, y a fin de conformar la estructura de responsables en materia de seguridad, se han determinado los siguientes roles principales:
Representado por los responsables de cada uno de los equipos operativos.
Responsable de la infraestructura de sistemas y comunicaciones.
Representado por el Director del Área de Instalaciones y Medioambiente de la organización.
Responsable de establecer y mantener el SG de Seguridad de la Información, estándares, directivas y procedimientos, representado por el Director del Área de Sistema de Información Corporativos.
Representado por miembros del equipo de dirección como máximos responsables de la seguridad de la información.
Auditores internos, la atención, revisión y auditoría de la seguridad de los sistemas será realizada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida. Definido en proceso ST-PRO-650.
Sothis dispone de mecanismos de coordinación y resolución de conflictos,
recayendo en el Equipo de Dirección la responsabilidad de su gestión y toma de decisiones. El detalle de las atribuciones, roles y sus respectivas funciones, así como los procesos están detallados en el documento de Roles y responsabilidades ST-SIS-237.
ST-SIS-1
19/11/2021
Tu formulario se ha enviado correctamente-
