Informazioaren Segurtasun Politika
Sarrera eta konpromisoa
IRIZAR, S. Coop.ek uste du informazioa dela bere aktibo baliotsuenetako bat, eta bere konfidentzialtasunari, osotasunari, erabilgarritasunari, trazabilitateari eta benetakotasunari eragin diezaiokeen edozein mehatxutik modu egokian babesteko konpromisoa hartzen du. Helburu horrekin, IRIZARek Informazioaren Segurtasuna Kudeatzeko Sistema (SGSI) ezarri du, UNE-EN ISO/IEC 27001 arauarekin eta maiatzaren 3ko 311/2022 Errege Dekretuak araututako Segurtasun Eskema Nazionalarekin (SEN) bat etorriz.
Informazioaren Segurtasun Politika hori IRIZARek emandako informazioa eta zerbitzuak babesteko erreferentziazko esparrua da, eta Zuzendaritzak segurtasuna etengabe hobetzeko konpromisoa duela adierazten du.
IRIZARek informazioaren kalitatea, konfidentzialtasuna eta zerbitzuen jarraitutasuna bermatzeko konpromisoa hartzen du, ikuspegi prebentibo baten bidez, eta, betiere, SENek, ISO/IEC 27001 arauak eta datu pertsonalak babesteko indarrean dagoen legediak eskatzen dituzten segurtasun neurriak aplikatuta. Segurtasuna informazio sistemen bizi zikloaren fase guztietan integratzen da, sortzen denetik desagertzen den arte, bai eta erakundearen plangintza estrategiko eta operatiboan ere.
Oinarrizko printzipioak
IRIZAReko informazioaren segurtasuna oinarrizko printzipio hauen arabera arautzen da:
- Irismen estrategikoa: segurtasunak zuzendaritza maila guztien konpromisoa eta laguntza jasotzen du, eta erakundearen gainerako ekimen estrategikoekin uztartzen da.
- Segurtasun integrala: segurtasuna elementu teknikoek, giza elementuek, materialek eta antolakuntzakoek osatutako prozesu integral gisa ulertzen da, eta sistemen hasierako diseinutik hartzen da aintzat.
- Arriskuen kudeaketa: arriskuen analisia eta kudeaketa segurtasun prozesuaren funtsezko parte dira; hala, ingurune kontrolatua izango dugu, eta arriskuak maila onargarrietaraino gutxituko ditugu.
- Proportzionaltasuna: babesteko, hautemateko eta berreskuratzeko neurriek arriskuekiko eta informazio eta zerbitzuen kritikotasun eta balioarekiko proportzionalak izan behar dute.
- Etengabeko hobekuntza: segurtasun neurriak aldian behin ebaluatzen eta eguneratzen dira, eraginkortasuna arriskuen bilakaerara egokitzeko.
- Segurtasuna lehenetsita: sistemak aurrez zehaztutako segurtasun maila nahikoa bermatzeko diseinatzen eta konfiguratzen dira.
Informazioaren segurtasuneko helburuak
IRIZARek informazioaren segurtasuneko helburu hauek ezartzen ditu, besteak beste:
- Informazioaren eta zerbitzuen kalitatea eta babesa bermatzea.
- Informazio aktiboak kudeatzea, inbentarioan jasota, kategoriatan bereizita eta arduradunak esleituta.
- Erabiltzaileak informazioaren segurtasun arloko erantzukizunei buruz kontzientziatzea.
- Aktiboak mehatxu fisiko, ingurumeneko eta logikoetatik babestea, duten kritikotasunaren araberako sarbide kontrolen bidez.
- Informaziorako trazabilitatea eta sarbide kontrola ziurtatzea, identifikazio, autentifikazio eta baimen mekanismoen bidez.
- Segurtasun gorabeherak behar bezala kudeatzea eta funtsezko zerbitzuen jarraitutasuna bermatzea.
- Informazioaren segurtasunaren eta datuen babesaren arloan indarrean dagoen lege araudia betetzea.
Segurtasunaren kudeaketa
Segurtasuna prebentzio, detekzio, erantzun eta errekuperazio ziklo baten inguruan antolatzen da. IRIZARek neurriak ezartzen ditu informazioak eta zerbitzuek gorabeherarik izan ez dezaten; era berean, irregulartasunak hautemateko eragiketa etengabe gainbegiratzen du, segurtasun gorabeherei eraginkortasunez erantzuteko mekanismoak ditu eta funtsezko zerbitzuen erabilgarritasuna ziurtatzeko jarraitutasun planak egiten ditu. Sistema guztiak arriskuen azterketa bati lotuta daude, eta gutxienez urtero berrikusten da, aldaketa esanguratsuak edo gorabehera larriak izanez gero.
Arau esparrua
Politika hau erreferentziako araudi hau betetzeko garatu da:
- UNE-EN ISO/IEC 27001 Araua, informazioaren segurtasuna kudeatzeko sistemei buruzkoa.
- 311/2022 Errege Dekretua, maiatzaren 3koa, Segurtasun Eskema Nazionala arautzen duena.
- 2016/679 (EB) Erregelamendua (DBEO) eta 3/2018 Lege Organikoa, abenduaren 5ekoa, datu pertsonalak babesteari eta eskubide digitalak bermatzeari buruzkoa.
- 2022/2555 (EB) Zuzentaraua (NIS 2 Zuzentaraua), Batasunean zibersegurtasun maila komun handia bermatzeko neurriei buruzkoa.
Etengabeko hobekuntza
Informazioaren segurtasuna kudeatzeko prozesua etengabe eguneratu behar da. IRIZARek aldizka berrikusi eta hobetzen ditu bere politika, segurtasun neurriak eta erakundearen eboluziora, mehatxuetara, teknologietara eta legeriara egokitzeko prozedurak.
Informazioaren Segurtasun Politika hau IRIZAR, S. Coop.eko Zuzendaritzak onartu du, eta erakunde osoari aplikatu behar zaio.