La Política de Calidad, PRL y de Seguridad de la Información de GMR Canarias se basa en los sistemas de calidad ISO 9001, ISO 27001 y Esquema Nacional de Seguridad (ENS). El Sistema de información de GMR es de categoría MEDIA ya que algunas dimensiones de seguridad alcanzan el nivel MEDIO, y ninguna alcanza un nivel superior. Responde a la inquietud de mejora e innovación en el desarrollo y gestión con alto nivel de prestaciones acorde a los requisitos reglamentarios y legales, así como los específicos de los beneficiarios de sus políticas y de sus clientes. La orientación y el valor para la sociedad y los clientes debe además facilitar las actividades con un consumo racional de los recursos ambientales, así como asegurar la información soportada en las Tecnologías de la Información.
Gestión del Medio Rural de Canarias, S.A.U. (GMR Canarias) es una sociedad mercantil pública adscrita a la Consejería de Agricultura, Ganadería, Pesca y Soberanía Alimentaria del Gobierno de Canarias, clasificada como medio propio del Gobierno de Canarias según define el artículo 32 de la LCSP.
En la actualidad, es medio propio y servicio técnico propio de la Administración Pública de la Comunidad Autónoma de Canarias, tal y como se reconoce en el Decreto 188/2001 del 15 de octubre, con el que se determina su finalidad de servir como instrumento para la ejecución de la política agropecuaria y pesquera del Gobierno de Canarias.
Es definida y revisada periódicamente por la Dirección.
GMR Canarias establece su:
· PROPÓSITO como Medio Propio: participar en la ejecución de las políticas fijadas por el Gobierno de Canarias.
· PROPÓSITO como Comercializadora: concentrar la oferta de pequeños productores para que puedan acceder al mercado.
· VISIÓN: empresa profesional, con personal técnico altamente cualificado, innovadora y eficaz en la prestación de servicios, además de responsable con las reglas de mercado en la actividad de comercialización enfocada a favorecer a los pequeños productores.
· VALORES: transparencia, entrega y vocación de servicio público.
VALORES CORPORATIVOS:
- Transparencia: responsabilidad ética de la organización que se traduce en la claridad en todos los actos y la absoluta ausencia de ambigüedad en las acciones, así como la información relevante sobre los objetivos, actuaciones y resultados de la empresa.
- Regulación: principio de cumplimiento estricto de las disposiciones legales y administrativas vigentes.
- Normalización: la empresa establece para sí misma y propone al sector actuaciones de normalización, procedimentación y buenas prácticas, que permitan racionalizar sus actuaciones corporativas.
- Profesionalidad: los trabajadores de la empresa como ejemplo de exigencia, conocimiento, capacidad y preparación adecuada y suficiente para garantizar el ejercicio de cada rol laboral para el cumplimiento de los propósitos de la empresa.
- Innovación: apuesta por la creatividad, la originalidad, la investigación y desarrollo y la superación en términos de gestión que sitúen a la empresa como puntera y ejemplo para el sector.
- Trabajo en equipo: filosofía de que alberga la voluntad colectiva para conseguir los objetivos comunes.
- Calidad: la calidad total debe constituir un axioma en la cultura de empresa, una exigencia en la gestión y una contribución esencial al cumplimiento de los objetivos.
- Generación de información: como herramienta de trabajo esencial que además debe ponerla al servicio del sector para facilitar su desarrollo y garantizar su competitividad.
- Cercanía: al productor, a los clientes, a los mercados, que garantice una relación estrecha y una comunicación constante que permitan conocer de primera mano las necesidades del sector para dar servicio y apoyo.
- Mejora continua: constituye la capacidad de la organización para mejorar a través del cambio, de la introducción de elementos que supongan el desarrollo de la organización y en su capacidad de adaptación al entorno.
Esta política se aplica a todos los sistemas -incluidos los TIC- de GMR Canarias y a todos los miembros de la organización, sin excepciones.
GMR Canarias depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas son administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad de la información tratada o los servicios prestados.
Se adoptan los principios básicos señalados en el capítulo II del Esquema Nacional de Seguridad, que tienen por objeto asegurar garantizar que una organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. Por ello, en materia de seguridad deberán tenerse en cuenta los siguientes principios básicos:
- Seguridad como proceso integral.
- Gestión de la seguridad basada en los riesgos.
- Prevención, detección, respuesta y conservación.
- Existencia de líneas de defensa.
- Vigilancia continua.
- Reevaluación periódica.
- Diferenciación de responsabilidades.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC están protegidos contra amenazas de rápida evolución con potencial para incidir en la autenticidad, trazabilidad, confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para la defensa de estas amenazas, se dispone de una estrategia adaptada a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica aplicar las medidas mínimas de seguridad exigidas por el ENS y el SGSI, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos se cercioran de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación son identificadas e incluidas en la planificación y en la solicitud de ofertas TIC.
Dentro de las Políticas de Seguridad de la Información, GMR Canarias está preparado para prevenir, detectar, reaccionar y recuperarse de incidentes.
Alcance de la Política de Calidad
· Comercialización de productos agrarios y alimentarios en general de Canarias.
· Gestión de proyectos orientados al desarrollo de los sectores agropecuarios, pesquero, media ambiental y del entorno rural en el ámbito de la Comunidad Autónoma de Canarias.
Alcance del Sistema de Gestión de Seguridad de la Información
Alcance ISO 27001 SGSI (Sistema de Gestión de Seguridad de la Información) y el ENS (Esquema Nacional de Seguridad) de categoría media.
Los sistemas de información que dan soporte a los servicios de gestión de:
- Proyectos de pesca, ganadería, agricultura, políticas europeas y nuevas tecnologías,
- Las actividades de comercialización y promoción de productos agrarios y agroalimentarios,
- Así como los servicios centrales de recursos humanos, financiero, cumplimiento normativo, contratación y sistemas informáticos, de acuerdo con la vigente declaración de aplicabilidad.
Política de Calidad y Seguridad de la Información
La Dirección se compromete a proveer productos y servicios que satisfagan de manera consistente las necesidades y expectativas de la sociedad, del sector primario y de
nuestros clientes.
Todo el personal está involucrado en el cumplimiento de esta política.
La gestión de la Calidad y SGSI es parte integrante y fundamental de nuestra organización. Esta política es marco de referencia para el establecimiento de los objetivos de calidad y SGSI.
Para lograr el máximo nivel de calidad y seguridad en nuestros procesos y servicios, nos fundamentamos en los procesos establecidos y revisados de gestión de Calidad y SGSI, que tienen como finalidad lograr el cumplimiento de los siguientes compromisos, propósitos y objetivos:
· Cumplir con los requisitos contemplados en la norma ISO 9001 (Sistema de Gestión de la Calidad).
· Cumplir con los requisitos contemplados en la norma ISO 27001 (Sistema de Gestión de la Seguridad de la Información).
· Cumplir los requisitos del Esquema Nacional de Seguridad (ENS) de nivel medio, que se encuentra definido en los procesos del SGSI.
· Tener identificado el marco legal regulatorio del Esquema Nacional de Seguridad y su actualización continua en cumplimiento legal.
· Cumplir con los requisitos legales, reglamentarios y estatutarios del cliente, así como otros requisitos que afecten, asegurando el cumplimiento de dichos requisitos y seguridad de la información.
· Mejorar continuamente la eficacia del sistema de gestión, la toma de medidas para la prevención y la mejora continua de las medidas de seguridad y garantías de la salud de los trabajadores, facilitando la participación en las decisiones que les afecta, así como el derecho a ser consultados.
· Analizar y maximizar la satisfacción de los clientes con nuestros productos y servicios.
· Nuestra continua orientación hacia la excelencia está fundamentada en una temprana identificación y erradicación de las fuentes de los errores. La prevención y anticipación es prioritaria frente a la corrección.
· Lograr la motivación de nuestros recursos humanos, su capacitación, cualificación y experiencia, a través de las actividades apropiadas de selección, formación y adiestramiento.
· Establecer y mantener los cauces de comunicación e información permanente con nuestros clientes, empleados, proveedores y sociedad en general.
· La Política de Calidad y SGSI se pone a disposición del público y de las partes interesadas para su información y conocimiento.
· El propósito de esta Política de la Seguridad de la Información es proteger los activos de información de GMR Canarias y de nuestros clientes.
· El objetivo de esta Política de la Seguridad de la Información es trabajar en un entorno seguro y controlado siendo este objetivo fundamental el marco de referencia para todas las actividades y servicios que prestamos.
· La Dirección tiene el compromiso de cumplir los requisitos aplicables a la seguridad de la información y aportar los medios que se requieran para dicho cumplimiento.
Así mismo:
· La información almacenada y en tránsito está protegida contra pérdidas de: Disponibilidad, Autenticidad, Integridad, Confidencialidad y Trazabilidad (DAICT).
· La información está protegida contra accesos no autorizados.
· Se cumplen los requisitos del negocio respecto a la seguridad de la información y los sistemas de información.
· Las incidencias de seguridad son comunicadas y tratadas apropiadamente.
La Dirección dota al Sistema de Gestión de todas las herramientas precisas, documental e informáticamente establecidas, para asegurar que la Política de Calidad y de SGSI sea: comprendida, desarrollada, aplicada y continúe vigente en todos los niveles de la organización.
Para poder cumplir con estos compromisos, la empresa establece anualmente (aprovechando la revisión y análisis del Sistema de Gestión por la Dirección, así como el análisis de Riesgos/Oportunidades con las partes interesadas y los procesos), una serie de objetivos y metas de Calidad y SGSI, relacionados de forma directa con nuestro compromiso y objetivos de gestión relacionado con el incremento y consolidación del negocio, y seguridad de la información, que pueden tener carácter cualitativo o cuantitativo, pero en cualquier caso, deben ser verificables en cuanto a cumplimiento y efectividad.
La Dirección, evalúa el avance en la consecución de estos objetivos cuando efectúa la revisión periódica del Sistema de Gestión.
Dentro de las Políticas de Seguridad de la Información, GMR Canarias está preparado para prevenir, detectar, reaccionar y recuperarse de incidentes.
PREVENCIÓN
GMR Canarias evita que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos tienen implementadas las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, están claramente definidos y documentados.
Para garantizar el cumplimiento de la política, GMR Canarias:
- Autoriza los sistemas antes de entrar en operación.
- Evalúa regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
- Solicita la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
DETECCIÓN
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios monitorizan las operaciones de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido.
Están establecidos mecanismos de detección, análisis y reporte que llegan a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.
RESPUESTA
Se dispone de mecanismos para responder eficazmente a los incidentes de seguridad. El punto de contacto para las comunicaciones con respecto a incidentes es infosgsi@gmrcanarias.com. El protocolo para el intercambio de información relacionada con el incidente se establece por medio del proceso de gestión de No Conformidades e incidentes del SGSI. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CCCN-CERT).
RECUPERACIÓN
Para garantizar la disponibilidad de los servicios críticos, GMR Canarias dispone de planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.
Principios básicos
Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información y, por tanto, la presente política de seguridad se establece de acuerdo a los siguientes principios:
Alcance estratégico
La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas de GMR Canarias para conformar un todo coherente y eficaz.
La seguridad como un proceso integral
- La seguridad se entiende como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural.
- La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas de información.
- Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y la de los responsables jerárquicos, para evitar que, la ignorancia, la falta de organización y de coordinación o de instrucciones adecuadas, constituyan fuentes de riesgo para la seguridad.
Gestión de la seguridad basada en los riesgos
- El análisis y la gestión de los riesgos es parte esencial del proceso de seguridad, debiendo constituir una actividad continua y permanentemente actualizada.
- La gestión de los riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos a niveles aceptables. La reducción a estos niveles se realizará mediante una apropiada aplicación de medidas de seguridad, de manera equilibrada y proporcionada a la naturaleza de la información tratada, de los servicios a prestar y de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad.
Prevención, detección, respuesta y conservación
- La seguridad del sistema debe contemplar las acciones relativas a los aspectos de prevención, detección y respuesta, al objeto de minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo no se materialicen o que, en el caso de hacerlo, no afecten gravemente a la información que maneja o a los servicios que presta.
- Las medidas de prevención, que podrán incorporar componentes orientados a la disuasión o a la reducción de la superficie de exposición, deben eliminar o reducir la posibilidad de que las amenazas lleguen a materializarse.
- Las medidas de detección irán dirigidas a descubrir la presencia de un ciberincidente.
- Las medidas de respuesta, que se gestionarán en tiempo oportuno, estarán orientadas a la restauración de la información y los servicios que pudieran haberse visto afectados por un incidente de seguridad.
- Sin merma de los restantes principios básicos y requisitos mínimos establecidos, el sistema de información garantizará la conservación de los datos e información en soporte electrónico.
De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.
Existencia de líneas de defensa
- El sistema de información ha de disponer de una estrategia de protección constituida por múltiples capas de seguridad, dispuesta de forma que, cuando una de las capas sea comprometida, permita:
- Desarrollar una reacción adecuada frente a los incidentes que no han podido evitarse, reduciendo la probabilidad de que el sistema sea comprometido en su conjunto.
- Minimizar el impacto final sobre el mismo.
- Las líneas de defensa han de estar constituidas por medidas de naturaleza organizativa, física y lógica.
Vigilancia continua y reevaluación periódica
- La vigilancia continua permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta.
- La evaluación permanente del estado de la seguridad de los activos permitirá medir su evolución, detectando vulnerabilidades e identificando deficiencias de configuración.
- Las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario
Diferenciación de responsabilidades
- En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.
- Responsable de la información que determina los requisitos de seguridad de la información tratada.
- Responsable del servicio que determina los requisitos de seguridad de los servicios prestados.
- Responsable del sistema que se encargará de desarrollar la forma concreta de implementar la seguridad del sistema.
- Responsable de seguridad que determina las decisiones para satisfacer los requisitos de seguridad.
- La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos.
La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.
Principios particulares y responsabilidades específicas
La política de seguridad se establecerá de acuerdo con los principios básicos señalados en el apartado 1.2 y se desarrollará aplicando los siguientes requisitos mínimos:
Organización e implantación del proceso de seguridad
- La seguridad de los sistemas de información deberá comprometer a todos los miembros de la organización.
- La política de seguridad, en aplicación del principio de diferenciación de responsabilidades deberá ser conocida por todas las personas que formen parte de la organización e identificar de forma inequívoca a los responsables de velar por su cumplimiento, los cuales tendrán las siguientes funciones entre otras que se amplían en el apartado 1.6:
-
- El responsable de la información determinará los requisitos de seguridad de la información tratada.
- El responsable del servicio determinará los requisitos de seguridad de los servicios prestados.
- El responsable de la seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.
- El responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.
- El responsable de la seguridad será distinto del responsable del sistema, no debiendo existir dependencia jerárquica entre ambos.
Análisis y gestión de los riesgos
El análisis y gestión de riesgos será parte esencial del proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales.
Gestión de personal
El personal, propio o ajeno, relacionado con los sistemas de información sujetos a lo dispuesto en este real decreto, deberá ser formado e informado de sus deberes, obligaciones y responsabilidades en materia de seguridad. Su actuación, que deberá ser supervisada para verificar que se siguen los procedimientos establecidos, aplicará las normas y procedimientos operativos de seguridad aprobados en el desempeño de sus cometidos.
El significado y alcance del uso seguro del sistema se concreta y plasma en la instrucción técnica «IT32 Normativa de seguridad en el puesto de trabajo».
Profesionalidad
La seguridad de los sistemas de información estará atendida y será revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición, construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento.
Autorización y control de los accesos
El acceso controlado a los sistemas de información comprendidos en el ámbito de aplicación de este real decreto deberá estar limitado a los usuarios, procesos, dispositivos u otros sistemas de información, debidamente autorizados, y exclusivamente a las funciones permitidas.
Protección de las instalaciones
En GMR Canarias los sistemas de información y su infraestructura de comunicaciones asociada está en áreas controladas y dispone de los mecanismos de acceso adecuados y proporcionales en función del análisis de riesgos.
Adquisición de productos de seguridad y contratación de servicios de seguridad
GMR Canarias para la adquisición de productos de seguridad o contratación de servicios de seguridad de las tecnologías de la información y la comunicación que vayan a ser empleados en los sistemas de información del ámbito de aplicación de este real decreto, se utilizarán, de forma proporcionada a la categoría del sistema y el nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.
Mínimo privilegio
Los sistemas de información de GMR Canarias se han diseñado y configurado otorgando los mínimos privilegios necesarios para su correcto desempeño.
Integridad y actualización del sistema
La inclusión de cualquier elemento físico o lógico en el catálogo actualizado de activos del sistema, o su modificación, requerirá autorización formal previa.
Protección de la información almacenada y en tránsito
En GMR Canarias se presta especial atención a la información almacenada o en tránsito a través de los equipos o dispositivos portátiles o móviles, los dispositivos periféricos, los soportes de información y las comunicaciones sobre redes abiertas, analizándolas especialmente para lograr una adecuada protección.
Prevención ante otros sistemas de información interconectados
En GMR Canarias se analizan los riesgos derivados de la interconexión, en caso de que los hubiera, de nuestro sistema con otros sistemas y se controlará su punto de unión.
Registro de la actividad y detección de código dañino
Con el propósito de satisfacer el objeto del ENS , con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información estrictamente necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
Incidentes de seguridad
En GMR Canarias se dispone de mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como de los cauces de comunicación a las partes interesadas y el registro de las actuaciones. Este registro se emplea para la mejora continua de la seguridad del sistema.
Continuidad de la actividad
Los sistemas de GMR Canarias disponen de copias de seguridad y se establecen los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales.
Mejora continua del proceso de seguridad
La gestión de la seguridad de la información es un proceso sujeto a permanente actualización y mejora.
Los cambios en la organización, las amenazas, las tecnologías y/o la legislación son un ejemplo en los que es necesaria una mejora continua de los sistemas.
Por ello, es necesario implantar un proceso permanente que comportará, entre otras acciones:
- Revisión de la Política de Seguridad de la Información.
- Revisión de los servicios e información y su categorización.
- Ejecución con periodicidad anual del análisis de riesgos.
- Realización de auditorías internas o, cuando procedan, externas.
- Revisión de las medidas de seguridad.
- Revisión y actualización de las normas y procedimientos.
Seguridad desde el diseño y por defecto
Los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto, debiendo tener en cuenta la protección de datos personales en los supuestos en que aplique.
Marco legal y regulatorio
El marco normativo en que se desarrollan las actividades de GMR Canarias y, en particular, la prestación de sus servicios electrónicos sin perjuicio de la legislación específica, se compone de:
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
- Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
- Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
- Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
- Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos
- Ley 39/2015, de 1 de octubre , del Procedimiento Administrativo Común de las Administraciones Públicas
- Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Estructura organizativa
La estructura organizativa para la gestión de la seguridad de la información en el ámbito descrito por la PSI de GMR Canarias está compuesta por los siguientes agentes:
- Responsable de Coordinación (en representación de la dirección como responsable de la Información): Directora del Departamento de Cumplimiento Normativo.
- Comité de Seguridad de la Información.
- Responsables de los Servicios y Responsables de la Información: Directores de departamento y Consejero Delegado respectivamente.
- Responsable de Seguridad de la Información: Responsable del área de Nuevas Tecnologías.
- Responsable del Sistema de Información: Responsable de Sistemas informáticos y Comunicaciones.
- Comité de Seguridad de la Información
El Comité de Seguridad de la Información (en adelante CSI) coordina la seguridad de la información y está compuesto por:
Miembros permanentes
-
-
- Responsable del Sistema de Información.
- Responsable de Seguridad de la Información.
- Responsable de Coordinación (en representación de la dirección como responsable de la Información).
-
Miembros no permanentes
-
-
- Representantes de Información y Servicios.
- Asesores que se consideren oportunos para los temas en cuestión, cuya presencia, por razón de su experiencia o vinculación con los asuntos tratados, sea necesaria o aconsejable.
-
Política de Prevención de Riesgos Laborales
La Dirección de GMR Canarias declara su absoluto compromiso para asegurar los niveles de seguridad y salud e incrementar el bienestar de todos sus trabajadores en el desarrollo de sus funciones.
Atendiendo a esta declaración GMR CANARIAS asume la Política de Prevención de Riesgos Laborales (PRL) fundamentada en los siguientes principios:
1. La PRL y la mejora continua de las condiciones de seguridad y salud de los trabajadores son una prioridad en todas y cada una de las actividades que desarrolle la empresa, cuyo estricto cumplimiento condicionará la ejecución de cualquier tarea productiva, tarea que, en caso de duda, quedará en suspenso hasta que se garanticen las medidas de PRL necesarias.
2. Todo el personal de la empresa -operarios, mandos intermedios y personal directivo-, respecto a la PRL, asumirá su propia responsabilidad y la del personal a su cargo, y velará por el cumplimiento de la legislación, normas y procedimientos internos implantados para garantizarla.
3. Todo el personal de la empresa prestará especial atención para minimizar la exposición a accidentes laborales que, salvo incidentes fortuitos provocados por causas incontrolables, obedecen a situaciones predecibles, exceso de confianza y/o la inobservancia de los protocolos de actuación y, por tanto, son evitables.
4. El personal que debe desplazarse para el ejercicio de sus funciones -el más expuesto a incidentes causados por terceros- deberá tener especial atención a las condiciones de la conducción y planificar metódicamente las salidas con rutas realizables.
5. La formación continua, el acceso a la información y adiestramiento del personal son primordiales para trabajar con salud y seguridad, y por tanto, deben se ofertados por la empresa y exigidos por los trabajadores.
6. Es responsabilidad de todo el personal tratar de solucionar y comunicar cualquier deficiencia detectada que afecte al desarrollo de su trabajo que pueda ocasionar daños a las personas, a los medios de producción que utiliza o a las instalaciones, con el fin de que puedan ser corregidas lo antes posibles.
Fecha de aprobación: 14/02/2023