POLTICA DE

SEGURIDAD DE LA
INFORMACIN
21 de diciembre de 2015 POL-01-03
 POLTICA FECHA
POLTICA DE SEGURIDAD 21/12/2015
DE LA INFORMACIN

INDICE

1. Antecedentes ...............................................................................................................2
2. Objeto .........................................................................................................................2
3. Contexto del Desarrollo del SGSI en ZERTIFIKA ..............................................................2
4. Partes Interesadas, sus necesidades y expectativas .......................................................2
5. Marco Legal y Regulatorio en el que se desarrollan las actividades ................................3
6. Alcance ........................................................................................................................3
7. Trminos y Definiciones ...............................................................................................4
8. Organizacin de la Seguridad de la Informacin ............................................................4
8.1. Roles y Responsabilidades........................................................................................................... 4

9. Objetivos de Seguridad de la Informacin y Planificacin para su Ejecucin ...................5

10. Establecimiento, Implantacin, Mantenimiento y Mejora del SGSI ................................6
11. Revisin de la Poltica de Seguridad de la Informacin ..................................................7
12. Aprobacin, Difusin y Aplicacin de la Poltica de Seguridad de la Informacin ............7

Autor: Jose Ramirez

Pgina | 1
 POLTICA FECHA
POLTICA DE SEGURIDAD 21/12/2015
DE LA INFORMACIN

1. Antecedentes
Este documento sustituye al documento denominado MC-09 Documento de Poltica de
Seguridad de la Informacin, en su edicin 2 de fecha 02 de marzo de 2015, los cambios se
producen debido a la adaptacin a la nueva versin de la norma UNE-ISO/IEC 27001:2014

2. Objeto

Establecer las directrices y principios que regirn el modo en que la empresa ZERTIFIKA
gestionar y proteger sus servicios, a travs de la implantacin, mantenimiento y mejora de
un Sistema de Gestin de la Informacin (en adelante SGSI) aplicando los requisitos de la
Norma UNE ISO/IEC 27001 y de sus partes interesadas.

3. Contexto del Desarrollo del SGSI en ZERTIFIKA

ZERTIFIKA ha determinado las cuestiones externas e internas que son pertinentes en el

propsito del desarrollo de su SGSI y son las siguientes:

Peligros de la red por el aumento continuo de los ataques informticos y accesos no

autorizados, que obligan a tomar medidas para proteger la informacin.
Los cambios continuos de la tecnologa.
El marco legal y regulatorio en el que se desarrollan las actividades de la compaa.
Las necesidades y expectativas de las partes interesadas de la compaa.

4. Partes Interesadas, sus necesidades y expectativas

ZERTIFIKA ha determinado las partes interesadas que son relevantes para el SGSI y son las
siguientes:

Clientes
Proveedores
Empleados
Consejo de Administracin
Administracin Pblica
Comit del SGSI
Organismos Regulatorios (AEPD Agencia Espaola de Proteccin de Datos)

Autor: Jose Ramirez

Pgina | 2
 POLTICA FECHA
POLTICA DE SEGURIDAD 21/12/2015
DE LA INFORMACIN

La informacin que requiera ZERTIFIKA para satisfacer sus necesidades y expectativas de las
partes interesadas antes mencionadas en el mbito de sus funciones, encomendadas por el
grupo de accionistas, deber estar protegida en sus dimensiones de disponibilidad, integridad
y confidencialidad, segn la clasificacin determinada por la Organizacin y las exigencias del
Real Decreto de la Ley Orgnica de Proteccin de Carcter Personal (LOPD) y la Ley de
Propiedad intelectual (LPI).

5. Marco Legal y Regulatorio en el que se desarrollan las

actividades

La definicin de un sistema idneo de la seguridad de la informacin ha de pasar por la

consideracin, de al menos, las siguientes disposiciones normativas:

Ley Orgnica 15/1999 de 13 de diciembre de Proteccin de Datos de Carcter

Personal.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de
carcter personal.
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informacin y de
comercio electrnico.
Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto
refundido de la Ley de Propiedad intelectual, regularizando, aclarando y armonizando
las disposiciones legales vigentes sobre la materia.

6. Alcance

El alcance de la presente poltica comprende las siguientes reas y procesos de ZERTIFIKA: La

Comercializacin y la prestacin de servicios de gestin de archivos, documentacin
(custodia, digitalizacin y destruccin) y gestin de notificaciones.

Se incluye dentro del alcance del SGSI y su certificacin, a todo el personal, sistemas
informticos y activos que ZERTIFIKA emplea para la prestacin de estos servicios, la
prestacin de los servicios se realiza desde las oficinas de ZERTIFIKA en:

Oficina principal de ZERTIFIKA ubicada en C/ Gremi Pagesos, 4, 1. Polgono Son Castell,

Palma. Islas Baleares.
Almacn en C/ Siurells, 1. Polgono Marratx. Islas Baleares.

Autor: Jose Ramirez

Pgina | 3
 POLTICA FECHA
POLTICA DE SEGURIDAD 21/12/2015
DE LA INFORMACIN

7. Trminos y Definiciones

Para los fines de este documento, se aplicarn los trminos y definiciones incluidos en la
Norma ISO/IEC 27000 y en la Norma ISO/IEC 31000

8. Organizacin de la Seguridad de la Informacin

La Direccin de ZERTIFIKA se compromete a facilitar y proporcionar los recursos necesarios

para el establecimiento, implantacin, mantenimiento y mejora del SGSI, as como a
demostrar liderazgo y compromiso respecto a este, a travs de la constitucin de un Comit
del SGSI que tendr la responsabilidad de:

Asegurar el establecimiento de la presente poltica y los objetivos de la seguridad de la

informacin, y que estos sean compatibles con la estrategia empresarial de la
compaa.
Asegurar la integracin de los requisitos del SGSI en los procesos de la entidad.
Asegurar que los recursos para el SGSI estn disponibles.
Comunicar la importancia de una gestin de la seguridad eficaz y conforme a los
requisitos del SGSI.
Asegurar que el SGSI consigue los resultados previstos.
Dirigir y apoyar a las personas para contribuir a la eficacia del SGSI.
Promover la mejora continua.

8.1. Roles y Responsabilidades

Todo personal de ZERTIFIKA, ser responsable de la implementacin de esta Poltica de

Seguridad de la Informacin, dentro sus reas de responsabilidad.

Se detallan los siguientes roles y responsabilidades dentro del SGSI:

COMIT DE SEGURIDAD, asume las siguientes funciones principales:

o Aprobar la poltica de seguridad y de autorizar sus modificaciones
o Gestionar cambios significativos de los riesgos que afecten a los recursos
de la informacin frente a las amenazas ms importantes.
o Tomar conocimiento y supervisar la gestin de incidentes de seguridad.
o Garantizar que la seguridad sea parte del proceso de planificacin de la
informacin.

Autor: Jose Ramirez

Pgina | 4
 POLTICA FECHA
POLTICA DE SEGURIDAD 21/12/2015
DE LA INFORMACIN

o Evaluar y coordinar la implementacin de controles especficos de

seguridad de la informacin para nuevos sistemas o servicios.
o Promover la difusin y apoyo a la seguridad de la informacin dentro de
la empresa.
o Nombrar y apoyar la figura del Responsable del SGSI.

RESPONSABLE DE SEGURIDAD, asume las siguientes funciones principales:

o Centralizar la direccin de las actividades del SGSI en ZERTIFIKA,
coordinando todas las actuaciones en materia de seguridad dentro del
alcance del SGSI.
o Determinar los niveles de seguridad de los servicios.
o Notificar la presente poltica a todo el personal, e informar de los cambios
que en ella se produzcan.
o Implementar la suscripcin de los Compromisos de Confidencialidad y las
tareas de capacitacin continua en materia de seguridad.
o Clasificar la informacin de acuerdo con el grado de sensibilidad y
criticidad de la misma, y de definir qu usuarios debern tener permisos
de acceso a la informacin de acuerdo a sus funciones y competencias.
o Notificar a todo el personal que ingresa sus obligaciones respecto del
cumplimiento de la Poltica de Seguridad de la Informacin y de todas las
normas, procedimientos y prcticas que de ella se deriven.
o Cubrir los requerimientos de seguridad informtica establecidos para la
operacin, administracin, desarrollo y comunicacin de los sistemas y
recursos tecnolgicos de la empresa.
o Verificar el cumplimiento de la presente Poltica de Seguridad de la
Informacin en la gestin de todos los contratos con terceros, dentro del
alcance del SGSI
o Organizar y planificar las auditoras peridicas sobres los sistemas y
actividades vinculadas con la tecnologa de la informacin.

El detalle de las funciones especficas del Comit de Seguridad de la Informacin, se

describirn la Normativa de la Organizacin de la Seguridad de la Informacin.

9. Objetivos de Seguridad de la Informacin y Planificacin para

su Ejecucin

Anualmente, el Comit de Seguridad de la Informacin, establecer y comunicar los

objetivos de seguridad de la informacin, enfocados a la mejora, utilizando como marco
de referencia:

Autor: Jose Ramirez

Pgina | 5
 POLTICA FECHA
POLTICA DE SEGURIDAD 21/12/2015
DE LA INFORMACIN

Cambios en las necesidades de las partes interesadas que lleven a una mejora del
alcance del sistema.
Requisitos de la seguridad de la informacin aplicables y los resultados de la
apreciacin y del tratamiento de los riesgos para garantizar la confidencialidad,
integridad, disponibilidad y autenticidad de la informacin.
Factores internos como la aplicacin de tcnicas organizativas que mejoren el
seguimiento y resolucin de los incidentes de seguridad.
Factores externos como los avances tecnolgicos, cuya aplicacin mejoren la
eficacia del tratamiento de riesgos.
La mejora de la eficacia de la formacin y concienciacin del personal que trabaja
en ZERTIFIKA y afecta a su desempeo en seguridad de la informacin.

As mismo, la planificacin para la consecucin de los objetivos de seguridad de la

informacin establecidos, se realizar teniendo en cuenta los siguientes elementos:

Lo que se va a hacer.
Los recursos necesarios.
El responsable.
Plazo de consecucin.
Indicadores para evaluar el resultado/cumplimiento.

10. Establecimiento, Implantacin, Mantenimiento y Mejora del

SGSI
El despliegue del SGSI se iniciar a partir del Anlisis de Riesgos, que permitir determinar
el nivel de riesgo de seguridad de la informacin en que se encuentra la entidad e
identificar los controles necesarios para el tratamiento del riesgo y llevarlo a un nivel
aceptable.

Los controles de seguridad, debern implementarse, mantenerse y mejorarse

continuamente, y estar disponibles como informacin documentada, mediante
procedimientos, normativas, registros e instrucciones tcnicas. Estos sern revisados por
la Direccin de la Compaa y aprobados por el Comit de Seguridad y desarrollados a
travs de cuatro niveles:

a. Primer Nivel: Poltica de Seguridad de la Informacin.

b. Segundo Nivel: Normativa de Seguridad.
c. Tercer Nivel: Procedimiento e Instrucciones Tcnicas.
d. Cuarto Nivel: Informes, Registros y evidencias electrnicas.

Ser comunicada la informacin documentada de los controles de seguridad al personal

que trabaja en la compaa (empleados y proveedores), que tendr la obligacin de

Autor: Jose Ramirez

Pgina | 6
 POLTICA FECHA
POLTICA DE SEGURIDAD 21/12/2015
DE LA INFORMACIN

aplicarla en la realizacin de sus actividades laborales, comprometindose de ese modo,

al cumplimiento de los requisitos del SGSI.

Se realizarn auditoras que revisen y verifiquen el cumplimiento del SGSI con los
requisitos de la Norma ISO/IEC 27001 dentro del marco regulatorio legal aplicable en
materia de seguridad de la informacin, por lo que, en caso necesario, el personal
afectado por el alcance del SGSI deber colaborar en estas, as como en la aplicacin de
las acciones correctivas que se deriven para el mejoramiento continuo.

11. Revisin de la Poltica de Seguridad de la Informacin

La presente Poltica de Seguridad de la Informacin ser examinada en las revisiones del

Sistema por la Direccin, a travs del Comit de Seguridad, siempre que se produzcan
cambios significativos, como mnimo, una vez al ao.

12. Aprobacin, Difusin y Aplicacin de la Poltica de Seguridad

de la Informacin

La presente Poltica de Seguridad de la Informacin ser aprobada por el Comit de

Seguridad mediante firma y difundida a las partes interesadas de ZERTIFIKA. As mismo, la
Direccin de ZERTIFIKA dotar de los recursos necesarios para la aplicacin efectiva de
esta poltica, y para su buen desarrollo, tanto en las actividades de implantacin como en
su posterior mantenimiento y mejora del SGSI.

Autor: Jose Ramirez

Pgina | 7
 POLTICA FECHA
POLTICA DE SEGURIDAD 21/12/2015
DE LA INFORMACIN

13. Control documental

Nombre Funcin Fecha Firma

Elaborado Jose A. Responsable 21/12/2015

Ramrez de SGSI

Revisado Joaqun CEO Zertifika 22/12/2015

Gonzlez

Aprobado Jose A. Comit de 24/12/2015

Ramrez seguridad

Joaqun
Gonzalez

Luis Pueyo

Autor: Jose Ramirez

Pgina | 8