Modelo Sistema Integrado de Gestión Sothis

SG Calidad – SG Medioambiente – SG Servicios TI – SG Seguridad  Información

El modelo reconoce que la excelencia en todo lo referente a resultados y rendimiento de una organización se puede lograr de manera sostenida:

Los buenos resultados (operación) se consiguen guiando a las personas (liderazgo) para obtener los objetivos marcados (mejora) y combinando de forma adecuada las personas, los recursos materiales, y las mejores prácticas (estructura).

Todo ello nos debe llevar a un proceso de cambio continuo, que garantice el no retorno a viejas formas. Nuestro sistema es dinámico: la evolución y el aprendizaje potencian los procesos dando lugar a una mejora de resultados.

Consecuencia de aplicar el Modelo:

Satisfaciendo a TODOS los componentes la empresa CRECE

Mente abierta
Pasión
Esfuerzo

En Sothis nos
comprometemos

Clientes

Enfocar nuestras acciones hacia la satisfacción de nuestros clientes. El cliente es nuestra guía. No nos importa su tamaño pero sí su confianza en la tecnología para mejorar su funcionamiento.

Cumplir los requisitos de nuestros clientes relativos a la seguridad de la información. Hacerles partícipes de nuestro compromiso con la seguridad de la información, establecer canales para reporte y coordinación de los respectivos Comités de Seguridad y procedimientos de actuación para la reacción ante incidentes de seguridad en la medida que se requiera.

Proveedores

Colaborar con nuestros proveedores  para que nos aporten soluciones tecnológicas idóneas y satisfacer las necesidades de nuestros clientes.

Transmitir los requisitos del SG de Seguridad de la Información y de la Normativa de Seguridad que ataña a dichos servicios o información.

Establecer procedimientos específicos de reporte y resolución de incidencias. Garantizar que nuestros proveedores estén adecuadamente concienciados en materia de seguridad. Adoptar las medidas oportunas en caso de incumplimiento de estos requerimientos.

Personas

Potenciar la formación continua de todas nuestras Personas, incluyendo la sensibilización y concienciación ambiental en materia de seguridad de la información y de prevención de riesgos laborales.

Sociedad

Cumplir con los requisitos legales y reglamentarios que son de aplicación a nuestra actividad, especialmente a los que regulan la seguridad de la información, así como los compromisos voluntariamente adoptados, incluyendo las normativas de gestión ambiental.

Adoptar el compromiso de prevenir la contaminación y proteger el medio ambiente. Asumir dentro de nuestra actividad el compromiso de poner en marcha medidas para mitigar el cambio climático.

Capital

Revisar continuamente nuestro compromiso para asegurar su continua adecuación.

En Sothis nos
comprometemos

Procesos

Mantener, mejorar y potenciar el enfoque a la gestión por procesos en todos los ámbitos de la organización. Nuestro Sistema Integrado de Gestión adopta un enfoque basado en procesos: el primer gran proceso resulta ser el propio Sistema de Gestión. A partir de él, y con una estructura jerárquica relacional se construyen todos los procesos de Sothis. Un sistema único.

Tomar medidas técnicas y organizativas necesarias para proteger la disponibilidad, confidencialidad e integridad de la información así como a restringir y controlar el acceso a la información y los medios para su tratamiento.

Mejora

Establecer los mecanismos necesarios para conseguir que la mejora continua del Sistema Integrado de Gestión (SG Calidad-SG Seguridad de la información–SG  Servicios IT –SG Seguridad y Salud) forme parte del hábito de todas las personas.

Mantener un entorno controlado, minimizando los riesgos hasta niveles aceptables en materia de seguridad de la información, actualizando permanentemente el análisis y gestión riesgos de seguridad.

Reducir la probabilidad de ocurrencia y los efectos de la materialización de amenazas sobre la seguridad del sistema, contemplando medidas orientadas a su prevención, detección y corrección.

Estructura

Proporcionar y asignar los recursos necesarios para una correcta ejecución de los trabajos y para cumplir con los requisitos establecidos.

Establecer las medidas necesarias para prevenir, estudiar y eliminar, siempre que sea posible, los factores que puedan afectar de un modo negativo a la gestión de los servicios.

Mantener actualizada la  relación completa de servicios en el catálogo de servicios, y ponerla a disposición de todas nuestras Personas, Clientes y Proveedores.

Liderazgo

Comunicar y difundir nuestro compromiso a todas nuestras Personas y ponerlo a disposición de todo aquel que lo solicite.

Garantizar la protección de la información, mediante la correcta aplicación de las medidas de seguridad, el correcto uso de los sistemas que la procesan que son responsabilidad de la organización, y la limitación de accesos según la necesidad de conocer de las personas.

Mantener el secreto respecto a la información y no divulgarla a terceros, salvo que las comunicaciones formen parte de la relación laboral y en cumplimiento de las debidas garantías de confidencialidad. Únicamente cederá información a terceros que ofrezcan garantías suficientes de manera que el tratamiento sea conforme con los requisitos establecidos.

Marco normativo y Legal
SG Seguridad de la Información:

  • Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
  • Seguridad en el ámbito de la Administración Electrónica.
  • Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Ley 1/2019, de 20 de febrero, de Secretos Empresariales y lo relativo a los mismos en la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
  • En materia de protección de datos de carácter personal, SOTHIS cumple con los dispuesto en el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
  • Normas de la Autoridad Nacional para la Protección de la Información Clasificada.
  • UNE-EN ISO/IEC 27001, tecnología de la información, técnicas de seguridad, sistemas de gestión de la seguridad de la Información y requisitos. Que contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI).

Organización de la
Seguridad de la Información

Para el correcto funcionamiento de Seguridad de la Información se necesita de la creación y puesta en marcha del equipo que ejecute algunos procesos clave de este sistema de gestión. Definimos el equipo sus integrantes, responsabilidades y su forma de operar en el procedimiento ST-PRO-494.

 

Este comité tiene la función de coordinar todas las funciones de seguridad de Sothis, vela por el cumplimiento de la normativa de aplicación legal, regulatoria y sectorial. Asimismo, este comité se encarga de velar por el alineamiento de las actividades de seguridad y los objetivos de la organización.

Roles y Responsabilidades:

En el marco de cumplimiento del ENS y la ISO27001, y a fin de conformar la estructura de responsables en materia de seguridad, se han determinado los siguientes roles principales:

Responsable de Servicio

Representado por los responsables de cada uno de los equipos operativos.

Responsable de Sistemas

Responsable de la infraestructura de sistemas y comunicaciones.

Responsable de Instalaciones

Representado por el Director del Área de Instalaciones y Medioambiente de la organización.

Responsable de Seguridad de la Información

Responsable de establecer y mantener el SG de Seguridad de la Información, estándares, directivas y procedimientos, representado por el Director del Área de Sistema de Información Corporativos.

Responsable de la Información

Representado por miembros del equipo de dirección como máximos responsables de la seguridad de la información.

Auditores internos, la atención, revisión y auditoría de la seguridad de los sistemas será realizada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida. Definido en proceso ST-PRO-650.

Sothis dispone de mecanismos de coordinación y resolución de conflictos,

recayendo en el Equipo de Dirección la responsabilidad de su gestión y toma de decisiones. El detalle de las atribuciones, roles y sus respectivas funciones, así como los procesos están detallados en el documento de Roles y responsabilidades ST-SIS-237.

ST-SIS-1
19/11/2021

¡Gracias!

Tu formulario se ha enviado correctamente-