Aller au contenu principal

La traduction a été créée automatiquement (elia.eus)

 

1. Introduction

La Politique de sécurité de l'information (ci-après dénommée «Politique») vise l'adoption d'un ensemble de mesures visant à préserver la confidentialité, l'intégrité et la disponibilité de l'information, qui constituent les trois composantes essentielles de la sécurité de l'information, et vise à définir les exigences pour la protection de l'information, des équipements et des services technologiques et à assurer la continuité des activités en cas de catastrophe, ce qui sert de support à la plupart des processus métier d'ELHUYAR. À l'heure actuelle, les technologies de l'information font face à un nombre croissant de menaces, ce qui exige un effort constant pour s'adapter et gérer les risques qu'elles comportent.

1.1. Objectif

L'objectif principal de la présente politique de haut niveau est de définir les principes et les règles de base pour la gestion de la sécurité de l'information et de la continuité des activités. L'objectif ultime est de faire en sorte qu'ELHUYAR assure la sécurité de l'information et minimise les risques de nature non financière résultant d'un impact provoqué par une gestion inefficace de celle-ci. En outre, contrecarrer les interruptions des activités commerciales et protéger les processus d'entreprise critiques contre les effets des défaillances majeures ou catastrophiques des systèmes d'information d'ELHUYAR, et assurer leur reprise en temps voulu.

1.2. Portée

Le champ d'application de la présente politique couvre toutes les informations d'ELHUYAR, quelle que soit la manière dont elles sont traitées, qui y accède, le moyen qui les contient ou le lieu où elles se trouvent, qu'il s'agisse d'informations imprimées ou stockées électroniquement. La politique doit être disponible sur le site Web de l’entreprise et accessible par tous les membres d’ELHUYAR. En ce qui concerne la continuité des activités, la portée de cette politique est limitée à des coupures de service prolongées dans le temps. Ce plan ne s’applique donc pas au travail quotidien normal de l’organisation et exclut des activités telles que:

  • Attaques à l'arme chimique ou nucléaire.
  • Attaques terroristes
  • Guerre
  • Tout autre acte ou incident nécessitant une action militaire ou des autorités compétentes.

 

2. Principes de la politique de l'information

La présente Politique répond aux recommandations des meilleures pratiques de sécurité de l'information contenues dans la norme internationale ISO, ainsi qu'au respect de la législation en vigueur en matière de protection des données personnelles et des réglementations qui, dans le domaine de la sécurité de l'information, peuvent affecter ELHUYAR.

En outre, ELHUYAR établit les principes de base suivants en tant que lignes directrices fondamentales pour la sécurité de l'information, qui doivent toujours être pris en compte dans toute activité liée au traitement de l'information:

  • Portée stratégique: La sécurité de l’information doit être assurée par l’engagement et le soutien de tous les niveaux de direction d’ELHUYAR de manière à pouvoir être coordonnée et intégrée avec les autres initiatives stratégiques visant à mettre en place un cadre de travail totalement cohérent et efficace.
  • Sécurité intégrale: La sécurité de l’information s’entend comme un processus complet constitué d’éléments techniques, humains, matériels et organisationnels, en évitant, sauf cas d’urgence ou de nécessité, toute action ponctuelle ou tout traitement conjoncturel. La sécurité de l'information doit être considérée comme faisant partie de l'exploitation courante, étant présente et appliquée tout au long du processus de conception, de développement et de maintenance des systèmes d'information.
  • Gestion des risques: L’analyse et la gestion des risques constitueront une partie essentielle du processus de sécurité de l’information. La gestion des risques permettra le maintien d'un environnement contrôlé, réduisant les risques à des niveaux acceptables. La réduction de ces niveaux se fera par le déploiement de mesures de sécurité, qui établira un équilibre entre la nature des données et les traitements, l’impact et la probabilité des risques auxquels elles sont exposées et l’efficacité et le coût des mesures de sécurité.
  • Proportionnalité: L'établissement de mesures de protection, de détection et de récupération doit être proportionnel aux risques potentiels ainsi qu'à la criticité et à la valeur des informations et des services concernés.
  • Amélioration continue: Les mesures de sécurité sont réévaluées et mises à jour régulièrement afin d’adapter leur efficacité à l’évolution constante des risques et des systèmes de protection. La sécurité de l’information est assurée, examinée et contrôlée par du personnel qualifié.
  • Sécurité par défaut: Les systèmes doivent être conçus et configurés de manière à garantir un niveau de sécurité suffisant par défaut.

ELHUYAR estime que les fonctions de sécurité de l'information doivent être intégrées à tous les niveaux hiérarchiques de son personnel.

Étant donné que la sécurité de l'information incombe à tout le personnel d'ELHUYAR, cette politique doit être connue, comprise et assumée par tous ses employés.

Pour atteindre les objectifs de cette politique, ELHUYAR devra mettre en place une stratégie préventive d’analyse des risques qui pourraient l’affecter, en les identifiant, en mettant en place des contrôles pour leur atténuation et en établissant des procédures régulières de réévaluation. Au cours de ce cycle d’amélioration continue, ELHUYAR maintiendra la définition du niveau de risque résiduel accepté (appétit au risque) et de ses seuils de tolérance.

 

3. Engagement de la direction

La direction d'ELHUYAR, consciente de l'importance de la sécurité de l'information et de la continuité des activités pour mener à bien ses objectifs commerciaux, s'engage à:

  • Promouvoir au sein de l’organisation les rôles et responsabilités dans le domaine de la sécurité de l’information.
  • Fournir les ressources adéquates pour atteindre les objectifs de sécurité de l'information et de continuité des activités.
  • Sensibiliser les employés d’ELHUYAR à la politique de sécurité de l’information et les sensibiliser.
  • Exiger le respect de la politique, de la législation en vigueur et des exigences réglementaires en matière de sécurité de l'information.
  • Prendre en compte les risques de sécurité de l'information dans la prise de décision.
  • Documenter les processus de travail menés dans l'entreprise pour déterminer le niveau de criticité de ceux-ci et anticiper les stratégies et les mesures organisationnelles et techniques de l'entreprise en cas de catastrophe.
  • Assurer la continuité des activités.
  • Assurer une protection adéquate de la confidentialité, de l’intégrité et de la disponibilité des informations.
  • Promouvoir l’engagement d’amélioration continue de l’organisation.

SIGNÉ LA DIRECTION