1. Einleitung
Informationen sind zu einem der wichtigsten Werte unserer Organisation geworden, und es ist unser oberstes Ziel, diese zu pflegen und zu schützen.
Es ist ab sofort Teil unserer Strategie, die Informationssicherheit als kritisches und fundamentales Element zu betrachten. Diese Herausforderung wird in ihrer Anforderung und Bedeutung noch verstärkt, wenn wir sie auf ein so spezifisches und kritisches Umfeld wie unseres anwenden, wo die sichere Verarbeitung und Verwaltung von Informationen eine Notwendigkeit ist, um zukünftig wettbewerbsfähig zu sein und sich zu verbessern.
NAVILENS Y NAVILENS PROJECTS CORP. (im Folgenden NAVILENS Y NAVILENS PROJECT CORPS.) ist auf IKT-Systeme (Informations- und Kommunikationstechnologien) angewiesen, um ihre Ziele zu erreichen. Diese Systeme müssen sorgfältig verwaltet werden, indem angemessene Maßnahmen getroffen werden, um sie vor unbeabsichtigten oder absichtlichen Schäden zu schützen, die die Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität und Rückverfolgbarkeit der verarbeiteten Informationen oder der erbrachten Dienstleistungen beeinträchtigen könnten.
Das Ziel der Informationssicherheit ist es, die Qualität der Informationen und die kontinuierliche Bereitstellung der Dienste zu gewährleisten, präventiv zu handeln, die tägliche Aktivität zu überwachen und schnell auf Vorfälle zu reagieren.
IKT-Systeme müssen vor sich schnell entwickelnden Bedrohungen geschützt werden, die das Potenzial haben, die Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität und Rückverfolgbarkeit, den vorgesehenen Verwendungszweck und den Wert von Informationen und Diensten zu beeinträchtigen. Um sich gegen diese Bedrohungen zu verteidigen, ist eine Strategie erforderlich, die sich an Änderungen der Umgebungsbedingungen anpasst, um die kontinuierliche Bereitstellung von Diensten zu gewährleisten. Dies bedeutet, dass die Abteilungen die vom ENS (Esquema Nacional de Seguridad, Nationaler Sicherheitsrahmen) geforderten Mindestsicherheitsmaßnahmen sowie den internationalen Standard ISO27001 umsetzen müssen, eine kontinuierliche Überwachung der Service-Level durchführen, gemeldete Schwachstellen verfolgen und analysieren und eine effektive Reaktion auf Vorfälle vorbereiten müssen, um die Kontinuität der erbrachten Dienste zu gewährleisten.
Die verschiedenen Abteilungen müssen sicherstellen, dass die IKT-Sicherheit ein integraler Bestandteil jeder Phase des Systemlebenszyklus ist, von der Konzeption bis zur Außerbetriebnahme, einschließlich der Entscheidungen über Entwicklung oder Beschaffung und der Betriebsaktivitäten. Sicherheitsanforderungen und Finanzierungsbedürfnisse müssen in der Planung, in der Ausschreibung und in den Ausschreibungsunterlagen für IKT-Projekte identifiziert und berücksichtigt werden.
Die Abteilungen müssen gemäß Artikel 7 des ENS (Esquema Nacional de Seguridad) darauf vorbereitet sein, Vorfälle zu verhindern, zu erkennen, darauf zu reagieren und sich davon zu erholen.
1.1 Prävention
Die Abteilungen müssen verhindern oder zumindest so weit wie möglich einschränken, dass Informationen oder Dienste durch Sicherheitsvorfälle beeinträchtigt werden. Dazu müssen die Abteilungen die vom ENS (Esquema Nacional de Seguridad) festgelegten Mindestsicherheitsmaßnahmen sowie alle zusätzlichen Kontrollen, die durch eine Bedrohungs- und Risikobewertung identifiziert wurden, implementieren. Diese Kontrollen sowie die Sicherheitsrollen und -verantwortlichkeiten des gesamten Personals müssen klar definiert und dokumentiert werden. Um die Einhaltung der Richtlinie zu gewährleisten, müssen die Abteilungen:
- Systeme vor der Inbetriebnahme autorisieren.
- Die Sicherheit regelmäßig bewerten, einschließlich Bewertungen routinemäßig vorgenommener Konfigurationsänderungen.
- Regelmäßig externe Überprüfungen anfordern, um eine unabhängige Bewertung zu erhalten.
1.2 Erkennung
Da die Dienste durch Vorfälle, die von einer einfachen Verlangsamung bis zum Stillstand reichen können, schnell beeinträchtigt werden können, müssen die Dienste ihren Betrieb kontinuierlich überwachen, um Anomalien in den Dienstleistungsniveaus zu erkennen und entsprechend der Bestimmungen von Artikel 9 des ENS (Esquema Nacional de Seguridad) zu handeln. Die Überwachung ist besonders wichtig, wenn Verteidigungslinien gemäß Artikel 8 des ENS (Esquema Nacional de Seguridad) eingerichtet werden. Es werden Erkennungs-, Analyse- und Berichtsmechanismen eingerichtet, die regelmäßig an die Verantwortlichen weitergeleitet werden, wenn eine signifikante Abweichung von den vordefinierten Normalparametern auftritt.
1.3 Reaktion
Die Abteilungen müssen:
- Mechanismen zur effektiven Reaktion auf Sicherheitsvorfälle etablieren.
- Eine Kontaktstelle für die Kommunikation bezüglich in anderen Abteilungen oder anderen Organisationen entdeckten Vorfällen benennen.
- Protokolle für den Austausch vorfallsbezogener Informationen festlegen. Dies schließt die Kommunikation in beide Richtungen mit den Notfallteams (CERT) ein.
1.4 Wiederherstellung
Um die Verfügbarkeit kritischer Dienste zu gewährleisten, müssen die Abteilungen IKT-Systeme-Kontinuitätspläne als Teil ihres allgemeinen Geschäftskontinuitätsplans und ihrer Wiederherstellungsaktivitäten entwickeln.
2. Zweck und Geltungsbereich
Der Zweck dieser übergeordneten Richtlinie ist es, Ziel, Richtung, Prinzipien und grundlegende Regeln für das Management der Informationssicherheit festzulegen.
Diese Richtlinie gilt für das gesamte Informationssicherheits-Managementsystem (ISMS) sowie für alle Mitarbeiter von NAVILENS Y NAVILENS PROJECTS CORP. und erstreckt sich auf Dritte, die Eigentum von NAVILENS Y NAVILENS PROJECTS CORP. verarbeitende Informationen behandeln.
Die Sicherheitsrichtlinie gilt für das gesamte Unternehmen und seine Informationswerte:
- Für alle Abteilungen, sowohl deren Führungskräfte als auch Mitarbeiter.
- Für Auftragnehmer, Kunden oder jede andere dritte Partei, die Zugang zu den Informationen oder Systemen der Organisation hat.
- Für Datenbanken, elektronische und Papierdateien, Verarbeitungen, Geräte, Träger, Programme und Systeme.
- Für erzeugte, verarbeitete und gespeicherte Informationen, unabhängig von ihrem Träger und Format, die in operativen oder administrativen Aufgaben verwendet werden.
- Für Informationen, die im Rahmen einer gesetzlich festgelegten Bestimmung überlassen werden und die ausschließlich zum Zweck ihres Schutzes als eigene Informationen betrachtet werden.
- Für alle Systeme, die zur Verwaltung und Handhabung der Informationen verwendet werden, unabhängig davon, ob sie eigene, gemietete oder lizenzierte Systeme sind.
3. Referenzen und regulatorischer Rahmen
Die Geschäftsführung von NAVILENS Y NAVILENS PROJECT CORPS. stellt sicher, dass externe Dokumentationen, die für den Betrieb des Unternehmens von Interesse sind, den Mitarbeitern des Unternehmens, die sie benötigen, bekannt sind und jederzeit aktuell und verfügbar gehalten werden.
Dazu werden die in diesem Dokument definierten Mittel und die zugehörigen Verfahren verwendet.
Hinsichtlich der zur Formalisierung der verschiedenen Sicherheitsverfahren verwendeten Normen wurden die Kriterien der folgenden internationalen Normen befolgt:
- Informationstechnik. Sicherheitstechniken. Managementsysteme für Informationssicherheit (ISMS). Anforderungen. UNE-ISO/IEC 27001
- Informationstechnik. Sicherheitstechniken. Verhaltenskodex für das Management der Informationssicherheit. UNE-ISO/IEC 27002
- Anforderungen interessierter Parteien
Zusätzlich wird das Register „SGSI84_RE07_Register der anwendbaren Vorschriften“ erstellt, um alle Informationen, interessanten Links und verwandten Informationen zu den angewandten Vorschriften bereitzustellen. Im Folgenden wird ein Auszug der allgemeinen anwendbaren Vorschriften erstellt:
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (Datenschutz-Grundverordnung, DSGVO) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, die Prinzipien wie Rechtmäßigkeit, Transparenz, Datenminimierung, Sicherheit und proaktive Rechenschaftspflicht festlegt.
- Organisches Gesetz 3/2018 über den Schutz personenbezogener Daten und die Gewährleistung digitaler Rechte (LOPDGDD), das die DSGVO ergänzt und Rechte wie die digitale Off-Time und den Schutz vor der Verwendung biometrischer Daten einführt.
- Gesetz 34/2002 über Dienste der Informationsgesellschaft und des elektronischen Handels (LSSI-CE), das digitale Dienste, die Verwendung von Cookies und kommerzielle elektronische Kommunikation regelt.
- Gesetz 31/1995 über die Prävention von Arbeitsrisiken, das den Rechtsrahmen für die Sicherheit und Gesundheit der Arbeitnehmer festlegt.
- Königlicher Erlass 39/1997, mit dem die Verordnung über Präventionsdienste genehmigt wird, die die Organisation und den Betrieb von Präventionsdiensten regelt.
- Verordnung TIN/2504/2010, die die Verordnung über Präventionsdienste bezüglich der Akkreditierung spezialisierter Einrichtungen und der Audittätigkeit entwickelt.
- Gesetz 10/2010 zur Verhinderung der Geldwäsche und der Terrorismusfinanzierung, das Sorgfaltspflichten, Schulungen, Meldepflichten für Transaktionen und interne Kontrollen festlegt.
- Königlicher Erlass 304/2014, mit dem die Durchführungsverordnung zum Gesetz 10/2010 genehmigt wird, die die erforderlichen Verfahren, Kontrollen und Maßnahmen detailliert.
- Königlicher Gesetzeserlass 2/2015, mit dem der konsolidierte Text des Arbeitnehmerstatuts genehmigt wird, das die Arbeitsrechte und -pflichten regelt.
- Königlicher Gesetzeserlass 28/2020 über Telearbeit, der die Bedingungen für die Telearbeit regelt.
- Königlicher Gesetzeserlass 8/2015, mit dem der konsolidierte Text des Allgemeinen Gesetzes über die Sozialversicherung genehmigt wird, der Leistungen und Rechte im Bereich der Beiträge und Absicherung enthält.
- Verordnung ESS/86/2015, die die Regeln für Sozialversicherungsbeiträge, den Schutz bei Arbeitsunterbrechung, den Garantiefonds für Löhne und die berufliche Bildung entwickelt.
- Arbeitsrechtsreform 2021, die Änderungen in der Zeitarbeit, Untervergabe, Kollektivverhandlungen und Arbeitsplatzstabilität einführt.
- Recht auf digitale Abmeldung, gesetzlich anerkannt als das Recht des Arbeitnehmers, außerhalb der Arbeitszeit keine Geräte zu bedienen.
- Königlicher Gesetzeserlass 1/1996, mit dem der konsolidierte Text des Gesetzes über geistiges Eigentum genehmigt wird, der Urheberrechte und den Schutz von Originalwerken regelt.
- Gesetz 17/2001 über Marken, das die Registrierung und den Schutz von Kennzeichen auf dem Markt regelt.
- Organisches Gesetz 10/1995, das Strafgesetzbuch, das insbesondere bei Computerkriminalität, Geheimnisverrat, Systemschäden und strafrechtlicher Verantwortung juristischer Personen anwendbar ist.
- Handelsgesetzbuch, das Handelsgeschäfte, Buchführungspflichten und Handelsbeziehungen regelt.
- Gesetz 1/2010 über Kapitalgesellschaften, das die Gründung, den Betrieb und die Auflösung von Handelsgesellschaften regelt.
- Gesetz 3/2004 über Maßnahmen zur Bekämpfung des Zahlungsverzugs bei Geschäftsbeziehungen, das Zahlungsfristen und Maßnahmen zur Verhinderung des Zahlungsverzugs festlegt.
- Spanische Verfassung von 1978, insbesondere Artikel 18, der die Ehre, die persönliche und familiäre Privatsphäre und das eigene Bild sowie den Schutz personenbezogener Daten schützt.
- Gesetz 14/2011 über Wissenschaft, Technologie und Innovation, das Forschung, technologische Entwicklung und Innovation fördert.
- Gesetz 38/2003 über öffentliche Subventionen und seine durch Königlichen Erlass 887/2006 genehmigte Verordnung, die die rechtliche Regelung öffentlicher Hilfen und Subventionen, Begründungspflichten und Kontrollen regeln.
- Königlicher Gesetzeserlass 12/2018 über die Sicherheit von Netzen und Informationssystemen, der nach seinem derzeitigen Anwendungsbereich nicht auf das Unternehmen anwendbar ist.
ITS (Technische Sicherheitsanweisungen) ENS (Esquema Nacional de Seguridad):
- ITS für die Prüfung der Sicherheit von Informationssystemen durch Beschluss vom 27. März 2018 des Staatssekretariats für öffentliche Verwaltung (BOE Nr. 81 vom 3. April 2018).
- ITS für die Konformität mit dem ENS (Esquema Nacional de Seguridad) durch Beschluss vom 13. Oktober 2016 des Staatssekretärs für öffentliche Verwaltungen (BOE-A-2016-10109).
- ITS für den Sicherheitsstatusbericht durch Beschluss vom 7. Oktober 2016 des Staatssekretariats für öffentliche Verwaltungen (BOE-A-2016-10108).
- ITS für die Meldung von Sicherheitsvorfällen durch Beschluss vom 13. April 2018 des Staatssekretariats für öffentliche Verwaltung (BOE Nr. 95 vom 19. April 2018).
Gemäß dem Königlichen Erlass 311/2022 vom 3. Mai, der den Nationalen Sicherheitsrahmen (ENS) regelt, ist das Informationssicherheitsmanagementsystem (ISMS) strukturiert, zu dem sich die Organisation mit dieser Richtlinie verpflichtet, indem sie die Beachtung aller folgenden Sicherheitsanforderungen ohne Ausnahme gewährleistet:
- Organisation und Implementierung des Sicherheitsprozesses.
- Analyse und Management von Risiken.
- Personalmanagement.
- Professionalität.
- Autorisierung und Kontrolle des Zugangs.
- Schutz der Einrichtungen.
- Beschaffung von Sicherheitsprodukten und Beauftragung von Sicherheitsdienstleistungen.
- Minimalprinzip (Minimum Privilege).
- Integrität und Aktualisierung des Systems.
- Schutz der gespeicherten und im Transit befindlichen Informationen.
- Prävention bei anderen miteinander verbundenen Informationssystemen.
- Protokollierung der Aktivität und Erkennung schädlichen Codes.
- Sicherheitsvorfälle.
- Geschäftskontinuität.
- Kontinuierliche Verbesserung des Sicherheitsprozesses.
4. Sicherheitsorganisation
4.1 Ausschüsse: Funktionen und Verantwortlichkeiten
Es wird ein Sicherheitsausschuss gebildet, dessen Mitglieder und E-Mail-Adressen aus Sicherheitsgründen hier nicht veröffentlicht werden. Er wird jedoch im Intranet bekannt gegeben und kann auf Anfrage an interessierte Parteien weitergegeben werden.
Es gibt eine E-Mail-Verteilerliste namens comiteseguridad@navilens.com, um auf alle internen/externen Informationssicherheitsbedürfnisse zu reagieren.
Jeder Verantwortliche seines Bereichs kann Dokumente oder Verfahren, die in seinen Zuständigkeitsbereich fallen, ohne die ausdrückliche Zustimmung des restlichen Ausschusses ändern und anpassen, solange diese Änderungen den Betrieb des ISMS nicht wesentlich beeinträchtigen. In jedem Fall muss der Ausschuss über diese Änderungen informiert werden.
Im Folgenden sind die Funktionen und Verantwortlichkeiten des Sicherheitsausschusses aufgeführt.
- Die Koordination der Informationssicherheit (IS) durch Sicherstellung der Einhaltung der Informationssicherheitsrichtlinie, Genehmigung von Methodologien, Verfahren und technischen Anweisungen im Bereich des Informationssicherheitsschutzes und Etablierung einer Sensibilisierungskultur für Informationssicherheit in der gesamten Organisation.
- Die notwendigen Maßnahmen ergreifen oder vorschlagen, damit das Personal die Sicherheitsvorschriften kennt, die ihre Aufgaben betreffen, und die Konsequenzen, die im Falle der Nichteinhaltung entstehen könnten.
- Die ISMS-Dokumentation aktualisieren und an die geltenden Bestimmungen anpassen.
- Als beratendes Organ für die Festlegung neuer Maßnahmen im Zusammenhang mit der Informationssicherheit und dem Datenschutz dienen.
- Korrekturmaßnahmen aufgrund von bei Auditprozessen festgestellten Mängeln sowie von der Geschäftsführung genehmigte Maßnahmen ergreifen oder der Geschäftsführung zur Genehmigung vorschlagen.
- Die Einhaltung der festgelegten Verfahren zur Genehmigung der Nutzung mobiler Geräte und der Telearbeit überwachen.
- Überwachen, dass in Übereinstimmung mit den festzulegenden Verfahren eine Liste des Personals mit Zugriff auf personenbezogene Daten, eine Liste des zur Vergabe, Aufhebung oder Änderung von Zugriffsrechten autorisierten Personals gemäß den festgelegten Kriterien und eine Liste des Personals mit autorisiertem Zugriff auf die Orte, an denen Datenträger und Dokumente gespeichert sind, geführt wird.
- Die Organisation und das Personal, das mit der Verarbeitung der sie betreffenden Verpflichtungen im Bereich des Datenschutzes und der Informationssicherheit (IS) befasst ist, informieren und beraten.
- Die Einhaltung der Bestimmungen der anwendbaren Vorschriften überwachen, einschließlich der Zuweisung von Verantwortlichkeiten, der Sensibilisierung und Schulung des an Verarbeitungsvorgängen beteiligten Personals sowie der entsprechenden Audits.
- Die ordnungsgemäße Pflege und Aktualisierung der Verzeichnisse von Verarbeitungstätigkeiten und anderer dokumentarischer Träger zur Einhaltung der DSGVO-Gesetzgebung überwachen.
4.2 Rollen: Funktionen und Verantwortlichkeiten
Geschäftsleitung. Beteiligt sich an der Festlegung von Zielen und Messungen. Genehmigt Richtlinien. Genehmigt die Managementreviews des ISMS. Bestätigt die Ergebnisse der Systemaudits. Die Geschäftsleitung legt die Organisationsstruktur fest, die mehr Funktionen und Rollen enthält, als hier angegeben. In dieser Richtlinie werden die Verantwortlichen im Bereich Informationssicherheit detailliert beschrieben.
Sicherheitsbeauftragter.
- Die Sicherheit der verwalteten Informationen und der von den Informationssystemen bereitgestellten elektronischen Dienste fördern, mit der Verantwortung und Befugnis sicherzustellen, dass das Informationssicherheits-Managementsystem die Anforderungen des Nationalen Sicherheitsrahmens (ENS) erfüllt.
- Die Einhaltung dieser Richtlinie, ihrer Vorschriften, abgeleiteten Verfahren und der Sicherheitskonfiguration der Systeme überwachen.
- Angemessene und wirksame Sicherheitsmaßnahmen festlegen, um die vom Dienst- und Informationsverantwortlichen festgelegten Sicherheitsanforderungen zu erfüllen, stets die Vorgaben von Anhang II des ENS (Esquema Nacional de Seguridad) befolgend, und die Anwendbarkeit dieser Maßnahmen erklären.
- Sensibilisierungs- und Schulungsmaßnahmen im Bereich Sicherheit in seinem Verantwortungsbereich fördern.
- Die Koordination und Überwachung der Umsetzung von ENS-Anpassungsprojekten in Zusammenarbeit mit dem Systemverantwortlichen durchführen.
- In Zusammenarbeit mit dem Systemverantwortlichen die vorgeschriebenen Risikoanalysen durchführen, die zu implementierenden Schutzmaßnahmen auswählen und den Risikomanagementprozess überprüfen. Ebenso, zusammen mit dem Systemverantwortlichen, die im Risikobereich berechneten Restrisiken akzeptieren.
- Regelmäßige Audits fördern, um die Einhaltung der Informationssicherheitspflichten zu überprüfen, und die Auditberichte analysieren, um Schlussfolgerungen zu erarbeiten und diese dem Systemverantwortlichen zur Einleitung geeigneter Korrekturmaßnahmen vorzulegen.
- Den Sicherheitsprozess in Zusammenarbeit mit dem Systemverantwortlichen koordinieren.
- Die Systemkategorie gemäß dem in Anhang I des ENS (Esquema Nacional de Seguridad) beschriebenen Verfahren und die gemäß Anhang II des ENS (Esquema Nacional de Seguridad) anzuwendenden Sicherheitsmaßnahmen festlegen.
- Überprüfen, ob die Sicherheitsmaßnahmen für den Schutz von Informationen und Diensten angemessen sind.
Systemverantwortlicher.
- Das Informationssystem während seines gesamten Lebenszyklus entwickeln, betreiben und warten, einschließlich seiner Spezifikationen, Installation und Überprüfung seiner ordnungsgemäßen Funktion.
- Sicherstellen, dass die spezifischen Sicherheitsmaßnahmen angemessen in den allgemeinen Sicherheitsrahmen integriert sind.
- Übungen und Tests der betrieblichen Sicherheitsverfahren und der vorhandenen Kontinuitätspläne durchführen.
- Die notwendigen Maßnahmen zur Gewährleistung der Systemsicherheit während des gesamten Lebenszyklus in Absprache mit dem Sicherheitsbeauftragten implementieren.
- In Zusammenarbeit mit dem Sicherheitsbeauftragten die vorgeschriebenen Risikoanalysen durchführen, die zu implementierenden Schutzmaßnahmen auswählen und den Risikomanagementprozess überprüfen. Ebenso, zusammen mit dem Sicherheitsbeauftragten, die im Risikobereich berechneten Restrisiken akzeptieren.
- In Zusammenarbeit mit dem Sicherheitsbeauftragten die Sicherheitsdokumentation der dritten Ebene (Betriebsverfahren IKT und Technische Anweisungen IKT) erstellen.
- Anwendung der operativen Sicherheitsverfahren.
- Sicherstellen, dass die festgelegten Sicherheitskontrollen streng eingehalten werden und dass die genehmigten Verfahren zur Verwaltung des Informationssystems angewendet werden.
- Die Installationen von Hardware und Software, deren Änderungen und Verbesserungen überwachen, um sicherzustellen, dass die Sicherheit nicht beeinträchtigt wird und sich jederzeit an die relevanten Genehmigungen halten.
- Den Sicherheitsstatus des Systems überwachen, der von den Tools zur Verwaltung von Sicherheitsereignissen und den im System implementierten technischen Auditmechanismen bereitgestellt wird.
- Die jeweiligen Verantwortlichen über Anomalien, Kompromittierungen oder Schwachstellen im Zusammenhang mit der Sicherheit informieren.
- Bei der Untersuchung und Behebung von Sicherheitsvorfällen von der Erkennung bis zur Behebung zusammenarbeiten.
Datenschutzbeauftragter.
- Den Verantwortlichen für die Informationen und seine Mitarbeiter über die ihnen obliegenden Pflichten im Zusammenhang mit der DSGVO und anderen Datenschutzbestimmungen informieren und beraten.
- Die Einhaltung der Bestimmungen dieser Verordnung, anderer Datenschutzbestimmungen der Union oder der Mitgliedstaaten und der Leitlinien des Verantwortlichen oder des Auftragsverarbeiters in Bezug auf den Schutz personenbezogener Daten überwachen, einschließlich der Zuweisung von Verantwortlichkeiten, der Sensibilisierung und Schulung des an Verarbeitungsvorgängen beteiligten Personals sowie der entsprechenden Audits.
- Auf Anfrage Beratung bei der Datenschutz-Folgenabschätzung anbieten und deren Anwendung gemäß Artikel 35 überwachen.
- Mit der Aufsichtsbehörde zusammenarbeiten.
- Als Kontaktstelle für die Aufsichtsbehörde in Fragen der Verarbeitung fungieren, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls weitere Fragen konsultieren.
Verantwortlicher für den Dienst.
- Die Anforderungen des Dienstes an die Sicherheit festlegen, einschließlich der Anforderungen an Interoperabilität, Zugänglichkeit und Verfügbarkeit.
- Die Sicherheitsstufen des Dienstes in Absprache mit dem Sicherheitsbeauftragten und dem Systemverantwortlichen festlegen.
- Die Sicherheit der verwalteten Informationen und der von den Informationssystemen in seinem Verantwortungsbereich bereitgestellten Dienste aufrechterhalten.
Verantwortlicher für Informationen.
- Die korrekte Verwendung der Informationen und somit deren Schutz gewährleisten.
- Die Sicherheitsanforderungen für die Informationen festlegen.
- Die Sicherheitsstufen der verarbeiteten Informationen bestimmen und die Folgen einer negativen Auswirkung bewerten.
Benutzer und Mitarbeiter.
- Die Informationssicherheitsrichtlinie sowie die ergänzenden Regeln, Verfahren und Anweisungen einhalten.
- Die Unternehmensinformationen schützen und verwahren, um deren Offenlegung, externe Weitergabe, Modifikation, versehentliches oder unbefugtes Löschen oder Zerstören oder deren Missbrauch zu vermeiden, unabhängig vom Medium oder den Mitteln, über die darauf zugegriffen oder Kenntnis davon erlangt wurde.
- Die Informationssicherheitsrichtlinie, die Nutzungsregeln für Informationssysteme und die übrigen anwendbaren Richtlinien, Regeln, Verfahren und Sicherheitsmaßnahmen kennen und anwenden.
4.3 Benennungsverfahren
Der Informationssicherheitsbeauftragte wird von der Geschäftsleitung auf Vorschlag des Sicherheitsausschusses ernannt. Die Ernennung wird alle 2 Jahre oder bei Vakanz der Stelle überprüft. Die für einen elektronisch gemäß Gesetz 39/2015 (Gesetz über das gemeinsame Verwaltungsverfahren) und Gesetz 40/2015 (Rechtsordnung des öffentlichen Sektors) erbrachten Dienst zuständige Abteilung benennt den Systemverantwortlichen und präzisiert dessen Funktionen und Verantwortlichkeiten innerhalb des durch diese Richtlinie festgelegten Rahmens.
4.4 Informationssicherheitsrichtlinie
Der Informationssicherheitsausschuss ist für die Erstellung und Pflege der Informationssicherheitsrichtlinie zuständig, wobei die Geschäftsleitung von NAVILENS Y NAVILENS PROJECTS CORP. für die Genehmigung und Veröffentlichung dieser Richtlinie sowie für deren Verteilung an alle Mitarbeiter und betroffenen Dritten verantwortlich ist.
Jede Änderung oder Entwicklung, die den Inhalt der Informationssicherheitsrichtlinie beeinflusst oder beeinflussen könnte, wird in einer neuen Unterschrift des Genehmigungsdokuments festgehalten. Auf diese Weise wird das Engagement dieser Einrichtungen für die Informationssicherheit konkretisiert und bestätigt.
In regelmäßigen Abständen, und in jedem Fall spätestens nach einem Jahr, wird die Gültigkeit und Angemessenheit dieser Richtlinie überprüft und gegebenenfalls erforderliche Verbesserungen, Anpassungen oder Änderungen entsprechend organisatorischen, technischen oder regulatorischen Änderungen vorgenommen.
4.5 Verteilung der Sicherheitsrichtlinie
Die Sicherheitsrichtlinie wird je nach der Zielgruppe auf folgende Weise verteilt:
Mitarbeiter und Führungskräfte des Unternehmens NaviLens. Die Verteilung der Sicherheitsrichtlinie erfolgt per E-Mail. Um den Empfang sicherzustellen, wird eine Empfangsbestätigung des entsprechenden Dokuments unterzeichnet.
Kunden, Partner, Lieferanten und weitere interessierte Gruppen: Die Sicherheitsrichtlinie wird als Abschnitt auf der Website des Unternehmens (www.navilens.com) bereitgestellt, wo sie jederzeit eingesehen werden kann.
4.6 Informationssicherheitsstufe
Die Organisation verfügt über eine Richtlinie „SGSI05_PO02-Richtlinie zur Klassifizierung, Kennzeichnung und Handhabung von Informationen“, die das Klassifizierungssystem, die Zuweisekriterien basierend auf Art, Sensibilität, Auswirkungen und rechtlichen Anforderungen sowie die mit jeder Stufe verbundenen Kontrollen definiert.
Die Organisation verfügt über ein formell definiertes Systemkategorisierungsverfahren, basierend auf dem CCN-STIC 803 Leitfaden: Bewertung von Systemen, wonach SGSI192_PR029-Systemkategorisierungsverfahren zu dem Schluss kommt: „Gemäß Königlichem Erlass 311/2022 vom 3. Mai und den Richtlinien des CCN-STIC 803 Leitfadens wird die Kategorie eines Systems durch die höchste Stufe der bewerteten Dimensionen (Vertraulichkeit, Integrität, Verfügbarkeit, Rückverfolgbarkeit und Authentizität) in allen Diensten und den zugehörigen Informationen bestimmt.
In diesem Fall:
- Dimensionen auf hoher Ebene werden identifiziert, die die maximal zu befolgende Stufe darstellen. Folglich erfolgt eine Anpassung auf ENS (Esquema Nacional de Seguridad)-Niveau Hoch.
- Daher ist die Systemkategorie gemäß ENS (Esquema Nacional de Seguridad) Hoch, was bedeutet, dass die in Anhang II des ENS (Esquema Nacional de Seguridad) enthaltenen Sicherheitsmaßnahmen dieser Kategorie implementiert werden müssen.
5. Sanktionen
Jeder vorsätzliche oder fahrlässige Verstoß gegen die Sicherheitsrichtlinien und -vorschriften, der einen potenziellen Schaden, ob eingetreten oder nicht, für NAVILENS Y NAVILENS PROJECTS CORP. darstellt, wird gemäß den im Unternehmensvertrag und den geltenden rechtlichen, vertraglichen und unternehmensinternen Vorschriften vorgesehenen Mechanismen sanktioniert.
Alle Handlungen, die die Sicherheit von NAVILENS Y NAVILENS PROJECTS CORP. gefährden und nicht in dieser Richtlinie vorgesehen sind, müssen von der Geschäftsleitung und dem Informationssicherheitsbeauftragten überprüft werden, um eine Entscheidung im Einklang mit den Unternehmenskriterien und der vorgesehenen Gesetzgebung zu treffen.
Disziplinarmaßnahmen als Reaktion auf die Nichteinhaltung der Informationssicherheitsrichtlinie sind die Zuständigkeit der Geschäftsleitung von NAVILENS Y NAVILENS PROJECTS CORP. und der Regierungsorgane gemäß geltendem Recht.
Es gibt einen Beschwerdekanal und ein Protokoll zur Vorfallsbearbeitung, das den Mitarbeitern zur Verfügung steht, über das jedes Mitglied des Unternehmens einen möglichen Vorfall oder Verstoß dem Sicherheitsausschuss oder dem Sicherheitsbeauftragten melden kann.
Dieser Verstoß und die entsprechende Sanktion werden dem Übertreter von einem Mitglied der Geschäftsleitung per E-Mail mit Empfangsbestätigungsanforderung mitgeteilt.
6. Mission
Als Reaktion auf ein neues technologisches Umfeld, in dem die Konvergenz zwischen Informatik und Kommunikation ein neues Produktivitätsparadigma für Unternehmen ermöglicht, ist NAVILENS Y NAVILENS PROJECTS CORP. hoch engagiert, die Förderung von Forschungs-, Technologieentwicklungs- und Innovationsprojekten in einem Qualitätsumfeld aufrechtzuerhalten, in dem die Entwicklung bewährter Verfahren im Bereich der Informationssicherheit von grundlegender Bedeutung ist, um die Ziele der Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität und Rückverfolgbarkeit sowie Rechtmäßigkeit aller verwalteten Informationen zu erreichen. Infolgedessen definiert NAVILENS Y NAVILENS PROJECTS CORP. die folgenden Anwendungsprinzipien, die im Rahmen des Informationssicherheits-Managementsystems (ISMS) zu berücksichtigen sind:
Die Geschäftsleitung von NAVILENS Y NAVILENS PROJECTS CORP. betrachtet ihre Pflicht zur Gewährleistung der Informationssicherheit als wesentlichen Bestandteil für die ordnungsgemäße Erbringung der Dienstleistungen der Organisation und unterstützt daher die folgenden Ziele und Prinzipien:
- Den Wert der Informationssicherheit in der gesamten Organisation zu implementieren.
- Jeder einzelne Mitarbeiter von NAVILENS Y NAVILENS PROJECTS CORP. trägt zum Schutz der Informationssicherheit bei.
- Die Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität, Rückverfolgbarkeit und Resilienz von Informationen zu gewährleisten, um sicherzustellen, dass die rechtlichen, regulatorischen und kundenseitigen Anforderungen an die Informationssicherheit erfüllt werden; und spezifisch in Bezug auf personenbezogene Daten:
- Die Daten werden dem Betroffenen gegenüber rechtmäßig, fair und transparent verarbeitet (Rechtmäßigkeit, Fairness und Transparenz).
- Sie werden für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet (Zweckbindung).
- Die Daten sind sachlich richtig und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt (Datenminimierung).
- Die Daten müssen genau und, falls erforderlich, auf dem neuesten Stand sein; alle zumutbaren Maßnahmen werden getroffen, um personenbezogene Daten, die im Hinblick auf die Zwecke, für die sie verarbeitet werden, unrichtig sind, unverzüglich zu löschen oder zu berichtigen (Richtigkeit).
- So gespeichert, dass die Identifizierung der betroffenen Personen nicht länger möglich ist, als es für die Zwecke der Verarbeitung der personenbezogenen Daten erforderlich ist; personenbezogene Daten können für längere Zeiträume gespeichert werden, sofern sie ausschließlich zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet werden (Begrenzung der Speicherdauer).
- So verarbeitet, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung durch geeignete technische oder organisatorische Maßnahmen (Integrität und Vertraulichkeit).
Diese Richtlinie wird gepflegt, aktualisiert und an die Ziele der Organisation angepasst, wobei sie sich am Risikomanagementkontext dieser ausrichtet. Sie wird in geplanten Intervallen oder bei wesentlichen Änderungen überprüft, um sicherzustellen, dass ihre Eignung, Angemessenheit und Wirksamkeit erhalten bleiben.
Ebenso wird zur Bewältigung der Risiken, denen NAVILENS Y NAVILENS PROJECTS CORP. gegenübersteht, ein formell definiertes Risikobewertungsverfahren festgelegt. Alle im ISMS enthaltenen Richtlinien und Verfahren werden von der Geschäftsleitung von NAVILENS Y NAVILENS PROJECTS CORP. überprüft, genehmigt und gefördert.
- Die Informationswerte von NAVILENS Y NAVILENS PROJECTS CORP. vor internen oder externen, vorsätzlichen oder unbeabsichtigten Bedrohungen zu schützen, um die Kontinuität des unseren Kunden angebotenen Dienstes und die Informationssicherheit zu gewährleisten.
- Einen Informationssicherheitsplan zu erstellen, der präventive und minimierende Maßnahmen gegen Sicherheitsvorfälle basierend auf den von NAVILENS Y NAVILENS PROJECTS CORP. festgelegten Risikomanagementkriterien integriert.
- Die notwendigen Mittel zur Verfügung zu stellen, um relevante Maßnahmen zur Bewältigung identifizierter Risiken durchführen zu können.
- Die Verantwortung für die Sensibilisierung und Schulung im Bereich der Informationssicherheit zu übernehmen, als Mittel zur Gewährleistung der Einhaltung dieser Richtlinie.
- Unser Engagement für Informationssicherheit auf unsere Mitarbeiter und Lieferanten auszudehnen.
- Die Sicherheit durch die Festlegung und regelmäßige Überwachung von Informationssicherheitszielen kontinuierlich zu verbessern.
7. Risikomanagement
Alle unter diese Richtlinie fallenden Systeme müssen eine Risikoanalyse durchführen und die Bedrohungen und Risiken bewerten, denen sie ausgesetzt sind. Diese Analyse wird wiederholt:
- regelmäßig, mindestens einmal im Jahr;
- wenn sich die verwendeten Informationen ändern;
- wenn sich die erbrachten Dienstleistungen ändern;
- wenn ein schwerwiegender Sicherheitsvorfall eintritt;
- wenn schwerwiegende Schwachstellen gemeldet werden.
Zur Harmonisierung der Risikoanalysen legt der IKT-Sicherheitsausschuss eine Referenzbewertung für die verschiedenen Arten von verarbeiteten Informationen und erbrachten Dienstleistungen fest. Der IKT-Sicherheitsausschuss fördert die Verfügbarkeit von Ressourcen, um die Sicherheitsanforderungen der verschiedenen Systeme zu erfüllen, indem er horizontale Investitionen fördert.
8. Entwicklung der Informationssicherheitsrichtlinie
Diese Richtlinie wird durch Sicherheitsvorschriften, die spezifische Aspekte behandeln, sowie durch weitere ergänzende Richtlinien entwickelt. Die Sicherheitsvorschriften stehen allen Mitgliedern der Organisation zur Verfügung, die sie kennen müssen, insbesondere denen, die die Informations- und Kommunikationssysteme nutzen, betreiben oder verwalten.
9. Pflichten des Personals
Alle Mitglieder von NAVILENS Y NAVILENS PROJECT CORPS. und NAVILENS PROJECTS CORP. sind verpflichtet, diese Informationssicherheitsrichtlinie und die Sicherheitsvorschriften zu kennen und einzuhalten, wobei es in der Verantwortung des IKT-Sicherheitsausschusses liegt, die notwendigen Mittel bereitzustellen, damit die Informationen die Betroffenen erreichen. Alle Mitglieder von NAVILENS Y NAVILENS PROJECT CORPS. und NAVILENS PROJECTS CORP. werden mindestens einmal jährlich an einer Sensibilisierungssitzung zum Thema IKT-Sicherheit teilnehmen. Es wird ein kontinuierliches Sensibilisierungsprogramm eingerichtet, um alle Mitglieder der Organisation, insbesondere neue Mitarbeiter, zu erreichen. Personen mit Verantwortung für die Nutzung, den Betrieb oder die Verwaltung von IKT-Systemen erhalten Schulungen zur sicheren Handhabung der Systeme in dem Maße, wie sie diese für ihre Arbeit benötigen. Die Schulung ist obligatorisch, bevor eine Verantwortung übernommen wird, sei es bei der ersten Zuweisung oder bei einem Wechsel des Arbeitsplatzes oder der Verantwortlichkeiten innerhalb desselben.
Informationssicherheit ist eine gemeinsame Anstrengung und erfordert daher die Beteiligung und Mitwirkung aller Mitarbeiter der Organisation, die mit den Informationssystemen der Organisation arbeiten. Daher muss jeder Mitarbeiter die Anforderungen der Sicherheitsrichtlinie und der zugehörigen Dokumentation erfüllen.
Mitarbeiter, die vorsätzlich oder fahrlässig gegen die Sicherheitsrichtlinie verstoßen, unterliegen Disziplinarmaßnahmen, wie in diesem Dokument vorgesehen.
9.1 Definition der Verantwortlichen für Informationen
Kundeninformationen. Verantwortlich: Vertriebsleitung. Aufgaben: Sicherstellung der Genauigkeit, ordnungsgemäßen Nutzung und Aktualisierung der Kundeninformationen. Sicherheit: Der Informationssicherheitsbeauftragte (ISB) sorgt für deren Schutz gemäß der festgelegten Klassifizierung. Zugang: Zugang nur für autorisiertes Personal, unter Einhaltung der Vertraulichkeitsverpflichtungen und nach dem Need-to-know-Prinzip.
Finanzinformationen. Verantwortlich: Finanzielle Leitung. Aufgaben: Sicherstellung der Integrität, Verfügbarkeit und Richtigkeit der buchhalterischen, steuerlichen und budgetären Informationen. Zugang: Beschränkt auf autorisiertes Personal, Anwendung des Prinzips der geringsten Privilegien. Sicherheit: der ISB überprüft die Anwendung geeigneter Kontrollen (Verschlüsselung, Funktionstrennung, Zugriffsverfolgbarkeit).
Informationen über menschliche Ressourcen (HR). Verantwortlich: HR-Leitung. Funktionen: Verwaltung und Aufbewahrung personenbezogener Daten von Mitarbeitern gemäß DSGVO und LOPDGDD (Organisches Gesetz zum Schutz personenbezogener Daten und zur Gewährleistung digitaler Rechte). Zugang: Beschränkt auf das HR-Team und speziell autorisierte Verantwortliche. Sicherheit: Der ISB überwacht, dass aufgrund der sensiblen Natur dieser Daten verstärkte Kontrollen vorhanden sind.
Informationen zu Entwicklung / F&E / Quellcode. Verantwortlich: Technische Leitung (CTO) oder die für den Entwicklungsbereich zuständige Person. Aufgaben: Schutz von Quellcode, Algorithmen, Designs und technischer Dokumentation. Zugang: Beschränkt auf autorisiertes technisches Personal; es werden Authentifizierungskontrollen und eine sichere Verwaltung von Repositories angewendet. Sicherheit: Der ISB gewährleistet Schutzmaßnahmen, Umgebungsseparation und die Verhinderung von Informationslecks.
Operative und Projektinformationen. Verantwortlich: Operations-Bereich oder die für das Projekt zuständige Person. Aufgaben: Aktualisierung der operativen Dokumentation, Projekt- und Lieferdokumente. Zugang: Nur für das in jedem Projekt beteiligte Personal autorisiert. Sicherheit: Der ISB gewährleistet Kontrollen zur Verhinderung unbefugter Zugriffe.
Marketing- und Kommunikationsinformationen. Verantwortlich: Marketing-Bereich. Aufgaben: Verwaltung interner und externer Unternehmenskommunikation. Zugang: Marketingpersonal und Management, je nach Bedarf. Sicherheit: Der ISB überprüft, dass keine sensiblen Informationen unbeabsichtigt verbreitet werden.
Sicherheits- und Systeminformationen. Verantwortlich: Informationssicherheitsbereich / Systembereich. Aufgaben: Verwaltung und Aufbewahrung von Protokollen, Konfigurationen, Richtlinien und sensiblen Aufzeichnungen. Zugang: Beschränkt auf speziell autorisiertes Personal. Sicherheit: Verstärkte Kontrollen, regelmäßige Audits und Sicherung gegen unbefugte Zugriffe.
10. Dritte Parteien
Diese Sicherheitsrichtlinie ist für alle externen Personen, die zu Dritten gehören und jegliche Art von Verarbeitung der im Eigentum von NAVILENS Y NAVILENS PROJECTS CORP. befindlichen Informationen durchführen, in vollem Umfang bekannt und einzuhalten.
Wenn NAVILENS Y NAVILENS PROJECT CORPS. und NAVILENS PROJECTS CORP. Dienstleistungen für andere Organisationen erbringen oder Informationen von anderen Organisationen verwalten, werden sie über diese Informationssicherheitsrichtlinie informiert, es werden Kanäle für die Berichterstattung und Koordination der jeweiligen IKT-Sicherheitsausschüsse eingerichtet und es werden Verfahren für die Reaktion auf Sicherheitsvorfälle festgelegt. Wenn NAVILENS Y NAVILENS PROJECT CORPS. und NAVILENS PROJECTS CORP. Dienstleistungen Dritter nutzen oder Informationen an Dritte weitergeben, werden diese über diese Sicherheitsrichtlinie und die Sicherheitsvorschriften, die diese Dienstleistungen oder Informationen betreffen, informiert. Der Dritte unterliegt den in diesen Vorschriften festgelegten Verpflichtungen und kann eigene Betriebsverfahren zur Erfüllung dieser entwickeln. Es werden spezifische Verfahren für die Berichterstattung und Lösung von Vorfällen festgelegt. Es wird sichergestellt, dass das Personal Dritter angemessen in Sicherheitsfragen geschult ist, zumindest auf dem in dieser Richtlinie festgelegten Niveau. Wenn ein Aspekt der Richtlinie von einem Dritten nicht wie in den vorherigen Absätzen gefordert erfüllt werden kann, ist ein Bericht des Sicherheitsbeauftragten erforderlich, der die eingegangenen Risiken und deren Behandlung präzisiert. Die Genehmigung dieses Berichts durch die Verantwortlichen der betroffenen Informationen und Dienstleistungen ist erforderlich, bevor fortgefahren wird.
11. Genehmigung und Gültigkeit
Dieses Dokument wurde von der Geschäftsleitung genehmigt und tritt am 19. Dezember 2025 in Kraft.