1. Sarrera
Informazioaren Segurtasuneko Politikak (aurrerantzean, Politika) neurri-multzo bat finkatzea du xede, informazioaren konfidentzialtasuna, osotasuna eta erabilgarritasuna babesteko asmoz. Hain zuzen ere, informazioaren segurtasunaren oinarrizko hiru osagaiak dira horiek. Bestalde, Politikaren helburua da informazioa babesteko baldintzak, ekipoak eta zerbitzu teknologikoak ezartzea, eta, halaber, negozioaren jarraitutasuna ziurtatzea ezbeharrik gertatuz gero; ELHUYARen negozio-prozesu gehienen sostengurako balio du horrek. Gaur egun, informazioaren teknologiek gero eta mehatxu gehiagorekin egiten dute topo; horren eraginez, ahalegin jarraitua egin behar da erakundeak egokitzeko eta ondoriozko mehatxuak kudeatzeko.
1.1. Helburua
Goi-mailako Politika honen helburu nagusia da informazioaren segurtasuna kudeatu eta negozioaren jarraitutasunerako printzipioak eta oinarrizko arauak definitzea. Azken xedea da ELHUYARek informazioaren segurtasuna ziurtatzea eta finantzarioak ez diren arriskuak minimizatzea, eraginik gabeko kudeaketak ekar dezakeen inpaktuaren ondorioz sortu daitezkeenak. Era berean, enpresa-jardueren etenaldiei aurre egin nahi zaie, negozio-prozesu kritikoak ELHUYARen informazio-sistemen akats larrien edo katastrofikoen eraginetatik babestu nahi dira, eta prozesu horiek behar bezala berriz hasten direla ziurtatu.
1.2. Irismena
Politika honen irismenean, ELHUYARen informazio guztia dago, alde batera utzita nola prozesatzen den, nork eskuratu dezakeen, zer bitartekotan jasota dagoen edo non dagoen, berdin du inprimatutako informazioa den edo elektronikoki biltegiratuta dagoen. Politika webgune korporatiboan agertu behar da, eta ELHUYAR osatzen duten guztiek eskuratzeko aukera izan behar dute. Negozioaren jarraitutasunari dagokionez, Politikaren irismena denboran zehar luzatzen diren zerbitzu-etenaldietara mugatuta dago. Hortaz, ez da aplikagarria erakundearen eguneroko lan arruntean, eta jarduera hauek kanpoan uzten dira:
- Erasoak arma kimiko edo nuklearrekin
- Terrorismo-erasoak
- Gerra
- Ekintza militarra edo agintari eskudunen ekintza eskatzen duen edozein gertaera edo gorabehera.
2. Informazioaren Politikaren printzipioak
Politika honek nazioarteko ISO estandarrean jasota dauden informazioaren segurtasuneko jardunbiderik onenen gomendioei jarraitzen die. Orobat, datu pertsonalei buruzko indarreko legeria eta informazioaren segurtasunaren alorrean ELHUYARi dagozkion araudiak betetzen ditu.
Gainera, ELHUYARek jarraian adierazitako oinarrizko printzipioak finkatzen ditu segurtasunaren informazioaren funtsezko ildo gisa, informazioaren tratamenduarekin lotutako edozein jardueratan kontuan hartu behar direnak:
- Irismen estrategikoa: ELHUYAReko zuzendaritza-maila guztietako kideek konpromisoa eta babesa erakutsi behar dituzte informazioaren segurtasunarekin, gainerako ekimen estrategikoekin koordinatuta eta bateratuta egoteko, eta, hala, lan-esparru guztiz koherentea eta eraginkorra osatzeko.
- Segurtasun osoa: Informazioaren segurtasuna prozesu oso bat dela ulertzen da, eta elementu teknikoz, giza elementuz, elementu materialez eta antolakuntza-elementuz osatuta dago. Larrialdietan edo beharra dagoenean izan ezik, ez da modu puntualean jardungo eta ez da egoeraren araberako tratamendurik egingo. Informazioaren segurtasuna ohiko operatiboaren zatitzat jo beharko da, eta, halatan, informazio-sistemak diseinatu, garatu eta mantentzeko prozesu osoan kontuan hartu eta aplikatuko da.
- Arriskuen kudeaketa: Arriskuak aztertu eta kudeatzea informazioaren segurtasun-prozesuko funtsezko zati bat izango da. Arriskuak kudeatuz, ingurunea kontrolatu ahalko da, eta arriskuak maila onargarrietaraino minimizatu. Maila horiek lortzeko, segurtasun-neurriak gauzatuko dira, eta oreka bat ezarriko da elementu hauen artean: datuen eta tratamenduen izaera, sortu daitezkeen arriskuen inpaktua eta probabilitatea, eta segurtasun-neurrien eraginkortasuna eta kostua.
- Proportzionaltasuna: Babes-, detekzio- eta berreskuratze-neurrek proportzionalak izan behar dute, sortu daitezkeen arriskuak eta dagokion informazio eta zerbitzuen kritikotasuna eta balioa aintzakotzat hartuta.
- Etengabeko hobekuntza: Segurtasun-neurriak aldian behin ebaluatu eta eguneratuko dira, eraginkortasuna arriskuen eta babes-sistemen etengabeko bilakaerara egokitzeko. Langile kualifikatuek artatu, zaindu eta ikuskatuko dute informazioaren segurtasuna.
- Segurtasun nahikoa ezer adierazi gabe: Sistemak diseinatu eta konfiguratu behar dira segurtasun-maila nahikoa izateko moduan ezer adierazi gabe.
ELHUYARek uste du informazioaren segurtasuneko funtzioek txertatuta egon behar dutela langileen maila hierarkiko guztietan.
Informazioaren segurtasuna ELHUYAReko langile guztien ardura denez, enplegatu guztiek ezagutu, ulertu eta beren gain hartu behar dute Politika.
Politikaren helburuak erdiesteko, ELHUYARek sortu daitezkeen arriskuak aztertzeko prebentzio-estrategia bat finkatu beharko du. Estrategian, arriskuak identifikatuko dira, arintzeko kontrolak ezarriko dira eta ebaluatzeko aldian behingo prozedurak finkatuko dira. Etengabeko hobekuntza-ziklo horren baitan, ELHUYARek hondar-arriskuaren maila (arrisku-gogoa) eta tolerantzia-atalaseak mantenduko ditu.
3. Zuzendaritzaren konpromisoa
ELHUYAReko Zuzendaritza jabetzen da informazioaren segurtasuna eta negozioaren jarraitutasuna garrantzitsuak direla negozio-helburuak lortzeko. Beraz, konpromiso hauek hartzen ditu:
- Informazioaren segurtasuneko funtzioak eta erantzukizunak sustatzea erakundean.
- Informazioaren segurtasuneko eta negozioaren jarraitutasuneko helburuak erdiesteko baliabide egokiak ematea.
- Informazioaren segurtasun-politika ELHUYAReko enplegatuen artean zabaltzen dela eta kontzientziazioa lantzen dela bultzatzea.
- Politika, indarreko legeria eta informazioaren segurtasuneko erregulatzaileen baldintzak betetzeko exijitzea.
- Erabakiak hartzen direnean, informazioaren segurtasuneko arriskuak kontuan hartzea.
- Enpresan egiten diren lan-prozesuak dokumentatzea, kritikotasun-maila zehazteko eta, ezbeharrik gertatuz gero, estrategiak, antolakuntza-neurriak eta neurri teknikoak aurreratzeko.
- Negozioaren jarraitutasuna ziurtatzea.
- Informazioaren konfidentzialtasuna, osotasuna eta erabilgarritasuna egoki babesten direla ziurtatzea.
- Erakundearen etengabeko hobekuntzarako konpromisoa sustatzea.
SINATUTA ZUZENDARITZA