1. 緒言
情報は当組織の主要な資産のひとつとなっており、その保護と保全は絶対的な優先事項となります。
情報セキュリティを危機的で基本的な要素として維持することは、当社の戦略の一部となりました。この課題は、情報処理と安全な管理が競争し、将来を向上させるために必要不可欠である当社の特定の重要な環境に適用される場合、その要件と重要性が増大します。
NAVILENS Y NAVILENS PROJECTS CORP. (以下、NAVILENS Y NAVILENS PROJECT CORPS.) は、その目標を達成するためにICTシステム(情報通信技術)に依存しています。これらのシステムは、処理される情報または提供されるサービスの可用性、完全性、機密性、認証性、および追跡可能性に影響を与える可能性のある偶発的または意図的な損害から保護するために、適切な措置を講じて慎重に管理されなければなりません。
情報セキュリティの目的は、情報の品質を保証し、サービスの継続的な提供を行うことです。これには、予防措置を講じ、日常的な活動を監視し、インシデントに迅速に対応することが含まれます。
ICTシステムは、情報およびサービスの可用性、完全性、機密性、認証性、追跡可能性、意図された用途、および価値に影響を与える可能性のある急速に進化する脅威から保護されなければなりません。これらの脅威から防御するためには、サービスの継続的な提供を保証するために、環境条件の変化に適応する戦略が必要です。これは、各部門が国家安全保障基本計画(ENS)および国際標準ISO27001によって要求される最小限のセキュリティ対策を実施し、サービス提供レベルを継続的に監視し、報告された脆弱性を追跡および分析し、提供されるサービスの継続性を保証するためにインシデントに対する効果的な対応を準備することを意味します。
各部門は、ICTセキュリティがシステムのライフサイクルの各段階、すなわち構想からサービスからの撤退まで、開発または取得の決定と運用活動を通じて不可欠な部分であることを確認しなければなりません。セキュリティ要件と資金調達の必要性は、ICTプロジェクトの計画、入札依頼、および契約書に特定され、含まれなければなりません。
各部門は、ENSの第7条に従い、インシデントを防止、検知、対応、および回復する準備ができていなければなりません。
1.1 予防
各部門は、情報またはサービスがセキュリティインシデントによって損害を受けることを、可能な限り避け、または少なくとも防止しなければなりません。このため、各部門はENSによって定められた最小限のセキュリティ対策、および脅威とリスクの評価を通じて特定された追加的な制御を実装しなければなりません。これらの制御、およびすべての職員のセキュリティに関する役割と責任は、明確に定義され、文書化されなければなりません。ポリシーの順守を保証するために、各部門は以下のことを行わなければなりません。
- 運用開始前にシステムの承認を行う。
- 定期的にセキュリティを評価する。これには、ルーチン的に行われる構成変更の評価も含まれる。
- 独立した評価を得るために、第三者による定期的なレビューを要求する。
1.2 検知
インシデントによりサービスが単純な減速から停止まで急速に劣化する可能性があるため、サービスは継続的に操作を監視し、サービス提供レベルの異常を検知し、ENS第9条に定めるところに従って対応しなければなりません。監視は、ENS第8条に従って防御ラインが確立されている場合に特に重要です。設定された正常なパラメータからの重要な逸脱が発生した場合に、担当者に定期的に届く検出、分析、および報告のメカニズムが確立されます。
1.3 対応
各部門は以下のことを行わなければなりません。
- セキュリティインシデントに効果的に対応するためのメカニズムを確立する。
- 他の部門または他の組織で検出されたインシデントに関する通信の連絡窓口を指定する。
- インシデント関連情報の交換のためのプロトコルを確立する。これには、緊急対応チーム(CERT)との双方向通信が含まれる。
1.4 復旧
重要なサービスの可用性を確保するために、各部門は事業継続計画および復旧活動の一部として、ICTシステムの継続性計画を策定しなければなりません。
2. 目的と範囲
この高レベルポリシーの目的は、情報セキュリティ管理の目的、方向性、原則、および基本ルールを定義することです。
このポリシーは、情報セキュリティ管理システム(ISMS)全体およびNAVILENS Y NAVILENS PROJECTS CORP.の全従業員に適用され、NAVILENS Y NAVILENS PROJECTS CORP.が所有する情報を処理する第三者に拡大されます。
セキュリティポリシーは、会社全体とその情報資産に適用されます。
- すべての部門、その管理者および従業員に。
- 情報の組織のシステムにアクセスする請負業者、顧客、またはその他の第三者に。
- データベース、電子ファイルおよび紙媒体、処理、機器、媒体、プログラムおよびシステムに。
- 作成、処理、保存された情報で、その媒体や形式にかかわらず、運用または管理作業で使用されるものに。
- 確立された法的枠組み内で提供された情報で、保護の目的のみにおいて当社独自の財産とみなされるものに。
- 独自に所有しているか、または賃貸またはライセンスされている情報管理および処理に使用されるすべてのシステムに。
3. 参照および規制の枠組み
NAVILENS Y NAVILENS PROJECT CORPS.の経営陣は、会社の運営にとって重要な外部からの文書が、それを必要とする会社の従業員に知らされ、常に最新の状態に保たれ、利用可能であることを確認します。
この目的のために、本文書で定義された手段と、それを展開する手順が使用されます。
確立された異なるセキュリティ手順を正式化するために適用された基準は、以下の国際標準の基準に従っています。
- 情報技術。セキュリティ技術。情報セキュリティ管理システム(ISMS)。要件。UNE-ISO/IEC 27001
- 情報技術。セキュリティ技術。情報セキュリティ管理の実践規範。UNE-ISO/IEC 27002
- 利害関係者からの要求事項
さらに、適用されるすべての情報、関心のあるリンク、および適用される規制に関連する情報を供給するために、「SGSI84_RE07_適用される規制の登録」というレジストリが作成されます。以下に、適用される一般的な規制の一部を抜粋します。
- 欧州議会および理事会規則(EU)2016/679(GDPR)。個人データの保護と自由な移動に関するもので、適法性、透明性、最小化、セキュリティ、および積極的な責任の原則が確立されています。
- 組織法3/2018、個人データ保護およびデジタル権利の保証(LOPDGDD)。GDPRを補完し、デジタルデタッチメントの権利や生体認証データ使用からの保護などの権利が含まれています。
- 法34/2002、情報社会サービスおよび電子商取引(LSSI-CE)。デジタルサービス、クッキーの使用、および電子商取引の通信を規制しています。
- 法31/1995、労働災害予防。労働者の安全と健康に関する法的な枠組みを確立しています。
- 政令39/1997。予防サービスの規制を承認するもので、予防サービスの組織と機能を規制しています。
- 命令TIN/2504/2010。専門機関の認定と監査活動に関する予防サービスの規制を発展させています。
- 法10/2010、資金洗浄およびテロ資金供与の防止。デューデリジェンス、研修、取引の報告、および内部統制の義務を確立しています。
- 政令304/2014。法10/2010の実施規則を承認するもので、必要な手順、統制、および措置を詳細に記述しています。
- 政令2/2015。労働者基本法の改正法文を承認するもので、労働者の権利と義務を規制しています。
- 政令法28/2020、遠隔勤務。テレワークとその条件を規制しています。
- 政令法8/2015。社会保障一般法の改正法文を承認するもので、社会保障の給付と権利を網羅しています。
- 命令ESS/86/2015。社会保障の拠出金、活動停止時の保護、賃金保証基金、および職業訓練の基準を発展させています。
- 2021年の労働改革。一時雇用、下請け、団体交渉、および労働の安定に変化をもたらしています。
- デジタルデタッチメントの権利。労働時間外にデバイスに応答しない労働者の権利として法的に認められています。
- 政令法1/1996。知的財産法の改正法文を承認するもので、著作権およびオリジナル作品の保護を規制しています。
- 法17/2001、商標法。市場における識別標識の登録と保護を規制しています。
- 組織法10/1995、刑法。特に情報犯罪、秘密の漏洩、システムへの損害、および法人に対する刑事責任に適用されます。
- 商法典。商行為、会計義務、および商業関係を規制しています。
- 法1/2010、資本会社法。商業会社の設立、運営、および解散を規制しています。
- 法3/2004、商取引における遅延支払い対策。支払い期間と遅延支払いを防止するための措置を確立しています。
- 1978年スペイン憲法。特に第18条は、名誉、私生活および家族のプライバシー、および自己のイメージ、ならびに個人データ保護を保護しています。
- 法14/2011、科学、技術、およびイノベーション。研究、技術開発、およびイノベーションを推進しています。
- 総助成金法38/2003、および政令887/2006によって承認されたその規則。公的援助と助成金の法的制度、正当化と管理の義務を規制しています。
- 政令法12/2018、ネットワークおよび情報システムのセキュリティ。現在の範囲では、当社には適用されません。
ENS ITS(情報セキュリティ技術指示書):
- 国家公務員庁の2018年3月27日決議による情報システムセキュリティ監査のITS(官報第81号、2018年4月3日付)。
- 行政省庁の2016年10月13日決議によるENS準拠のITS(BOE-A-2016-10109)。
- 行政省庁の2016年10月7日決議によるセキュリティ状況レポートのITS(BOE-A-2016-10108)。
- 国家公務員庁の2018年4月13日決議によるセキュリティインシデント通知のITS(官報第95号、2018年4月19日付)。
国家安全保障基本計画を定める2022年5月3日付政令311/2022に従い、組織が本ポリシーを通じてコミットする情報セキュリティ管理システムが構築され、以下のセキュリティ要件が例外なくすべて満たされていることが保証されます。
- セキュリティプロセスの組織化と実施。
- リスクの分析と管理。
- 人事管理。
- プロフェッショナリズム。
- アクセスの承認と管理。
- 施設の保護。
- セキュリティ製品の購入とセキュリティサービスの契約。
- 最小権限の原則。
- システムの完全性と更新。
- 保存中および転送中の情報の保護。
- 相互接続された他の情報システムに対する予防措置。
- 活動の記録と悪意のあるコードの検出。
- セキュリティインシデント。
- 活動の継続性。
- セキュリティプロセスの継続的改善。
4. セキュリティの組織
4.1 委員会:機能と責任
セキュリティ委員会が設置され、そのメンバーとメールアドレスはセキュリティ上の理由から本公開物には記載されません。ただし、イントラネットで通知され、要求に応じて利害関係者と共有される場合があります。
情報セキュリティにおける内部/外部のあらゆるニーズに対応するために、comiteseguridad@navilens.comというメーリングリストが存在します。
各担当者は、ISMSの運用を著しく変更しない限り、他の委員会の明示的な承認なしに、その管轄下にある文書や手順を変更および調整することができます。いずれの場合も、これらの変更は委員会に通知されなければなりません。
以下に、セキュリティ委員会の機能と責任を列挙します。
- 情報セキュリティ(SI)の調整を行い、情報セキュリティポリシーの遵守を確保し、情報セキュリティ保護に関する方法論、手順、技術指示を承認し、組織全体で情報セキュリティ意識の文化を確立する。
- 職員がその職務の遂行に影響を与えるセキュリティに関する規則、および違反した場合に被る可能性のある影響を認識していることを保証するために必要な措置を採用または提案する。
- ISMSの文書を更新し、現行の規制に適合させる。
- 情報セキュリティおよびデータ保護に関する新しい対策を確立するための諮問機関となる。
- 監査プロセスで検出された欠陥の結果としての是正措置、および経営陣によって承認された措置の採用または経営陣への採用を提案する。
- モバイルデバイスの使用およびテレワークを承認するために確立された手順の遵守を監督する。
- 確立された手順に従い、個人データにアクセスする職員のリスト、アクセス権を付与、取り消し、または変更することを許可された職員のリスト(確立された基準に準拠)、および媒体と文書が保存される場所へのアクセスを許可された職員のリストが維持されていることを監督する。
- 組織および処理業務に従事する職員に対し、データ保護およびSIに関する義務について情報を提供し、助言する。
- 適用される規制の遵守、責任の割り当て、処理業務に参加する職員の意識向上と研修、および関連する監査を含むものとします。
- 個人データ保護規則(GDPR)の法令遵守に必要な処理活動記録およびその他の文書媒体の適切な維持および更新を監督する。
4.2 役割:機能と責任
経営幹部。 目標と測定値の策定に参加します。ポリシーを承認します。ISMSの経営陣によるレビューを承認します。システム監査の結果を検証します。経営幹部は、ここに記載されている以上の機能と役割を含む組織の構造図を確立します。このポリシーでは、情報セキュリティに関連する責任者を詳細に説明します。
セキュリティ責任者。
- 情報システムによって取り扱われる情報および提供される電子サービスのセキュリティを推進し、情報セキュリティ管理システムが国家安全保障基本計画(ENS)の要件を満たしていることを確認する責任と権限を有する。
- 本ポリシー、その派生する規則、手順、およびシステムのセキュリティ構成の遵守を監督する。
- サービスおよび情報の責任者によって確立されたセキュリティ要件を満たすために、適切かつ効果的なセキュリティ対策を確立する。この際、常にENSの附属書IIに定められた要件に従い、当該対策の適用性を宣言する。
- その責任範囲において、セキュリティに関する意識向上およびトレーニング活動を推進する。
- ENSへの適合プロジェクトの実施の調整と追跡を、システム責任者と協力して行う。
- システム責任者と協力して、義務的なリスク分析を実施し、実装する保護策を選択し、リスク管理プロセスをレビューする。また、システム責任者とともに、リスク分析で算出された残留リスクを受け入れる。
- 情報セキュリティ義務の遵守を検証するために定期的な監査を推進し、監査報告書を分析し、システム責任者に提示して適切な是正措置を講じさせるための結論を作成する。
- システム責任者と協力して、セキュリティ管理プロセスを調整する。
- ENSの附属書Iに記載された手順に従ってシステムのカテゴリを決定し、ENSの附属書IIに規定されたセキュリティ対策を実施する。
- セキュリティ対策が情報とサービスの保護に適切であることを検証する。
システム責任者。
- 情報システムをそのライフサイクル全体にわたって開発、運用、保守し、その仕様、インストール、および正しく動作することの検証を行う。
- 特定のセキュリティ対策が一般的なセキュリティフレームワークに適切に統合されていることを確認する。
- 既存の運用セキュリティ手順と継続性計画について演習とテストを実施する。
- セキュリティ責任者と協力して、そのライフサイクル全体にわたってシステムのセキュリティを確保するために必要な対策を実施する。
- セキュリティ責任者と協力して、義務的なリスク分析を実施し、実装する保護策を選択し、リスク管理プロセスをレビューする。また、セキュリティ責任者とともに、リスク分析で算出された残留リスクを受け入れる。
- セキュリティ責任者と協力して、第三レベルのセキュリティ文書(STIC運用手順書およびSTIC技術指示書)を作成する。
- 運用セキュリティ手順の適用。
- 確立されたセキュリティ制御が厳密に遵守されていることを確認し、情報システムを管理するために承認された手順が適用されていることを確認する。
- ハードウェアとソフトウェアのインストール、その変更と改善を監視し、セキュリティが侵害されていないこと、および常に適切な承認に準拠していることを確認する。
- セキュリティイベント管理ツールとシステムに実装された技術監査メカニズムによって提供されるシステムのセキュリティ状態を監視する。
- セキュリティに関連する異常、侵害、または脆弱性について、それぞれの責任者に報告する。
- セキュリティインシデントの検出から解決まで、その調査と解決に協力する。
データ保護責任者。
- 情報管理者およびその従業員に対し、GDPRおよびその他のデータ保護規定に関して彼らが負う義務について情報を提供し、助言する。
- 本規則、その他の連合または加盟国のデータ保護規定、および個人データ保護に関する管理者または処理者のポリシー(責任の割り当て、処理業務に参加する職員の意識向上と研修、および関連する監査を含む)の遵守を監督する。
- データ保護影響評価に関して求められた助言を提供し、第35条に従ってその適用を監督する。
- 監督機関と協力する。
- 処理に関する問題(第36条に記載されている事前協議を含む)について監督機関の連絡窓口として機能し、必要に応じてその他の事項について協議を実施する。
サービス責任者。
- 相互運用性、アクセシビリティ、および可用性の要件を含む、セキュリティに関するサービスの要件を確立する。
- セキュリティ責任者およびシステム責任者と協力して、サービスのセキュリティレベルを決定する。
- その責任範囲において、情報システムによって処理される情報および提供されるサービスのセキュリティを維持する。
情報責任者。
- 情報の適切な使用、ひいてはその保護を確実にする。
- セキュリティに関する情報の要件を確立する。
- 処理される情報のセキュリティレベルを決定し、悪影響の結果を評価する。
ユーザーおよび従業員。
- 情報セキュリティポリシーおよび補足的な規則、手順、指示を遵守する。
- 企業の情報を保護・保管し、アクセスまたは認識された媒体や手段にかかわらず、意図的または不正な開示、外部への発信、変更、削除、または破壊、または誤用を防止する。
- 情報セキュリティポリシー、情報システム使用規則、およびその他の適用されるポリシー、規則、手順、およびセキュリティ対策を理解し、適用する。
4.3 指名の手順
情報セキュリティ責任者は、セキュリティ委員会の提案により経営陣が任命します。任命は2年ごと、またはポストが空席になったときに再検討されます。法39/2015(共通行政手続法)および法40/2015(公共部門の法的制度)に従って電子的にサービスを提供する部門は、システム責任者を任命し、本ポリシーによって確立された枠組み内でのその機能と責任を明確に定めます。
4.4 情報セキュリティポリシー
情報セキュリティ委員会が情報セキュリティポリシーの作成と維持を担当しますが、NAVILENS Y NAVILENS PROJECTS CORP.の経営陣が当該ポリシーの承認と公開、および全従業員と関係する第三者への配布の責任を負います。
情報セキュリティポリシーの内容に影響を与える、または影響を与える可能性のある変更や進化は、承認文書の新しい署名に記録されます。これにより、これらの組織の情報セキュリティへのコミットメントが具体化され、確認されます。
定期的に、そしていかなる場合も1年を超えない期間で、本ポリシーの有効性と合理性がレビューされ、組織的、技術的、または規制上の変更に応じて、必要な改善、調整、または修正が実施されます。
4.5 セキュリティポリシーの配布
セキュリティポリシーの配布は、対象となる利害関係者のグループに応じて、以下の方法で行われます。
NaviLensの職員および幹部。 セキュリティポリシーの配布は、電子メールを通じて行われます。受け取りを確実にするために、対応する文書の受領確認書に署名が求められます。
顧客、パートナー、サプライヤー、およびその他の利害関係者: セキュリティポリシーは、企業のウェブサイト(www.navilens.com)の一部として掲載され、いつでも参照することができます。
4.6 情報セキュリティレベル
当組織は、「SGSI05_PO02-情報の分類、ラベリング、および取り扱いポリシー」というポリシーを有しており、そこでは分類システム、性質、機密性、影響、および法的要件に基づく割り当て基準、ならびに各レベルに関連する制御が定義されています。
当組織は、CCN-STIC 803ガイド:システム評価に基づいて正式に定義されたシステム分類手順を有しており、これによりSGSI192_PR029-システム分類手順:「2022年5月3日付政令311/2022およびCCN-STIC 803ガイドラインに従い、システムのカテゴリは、すべてのサービスおよび関連情報において評価された次元(機密性、完全性、可用性、追跡可能性、および真正性)の最大レベルによって決定される」と結論付けられています。
この場合:
- 高レベルの次元が特定され、これが従うべき最大値となります。したがって、ENS高レベルへの適合が行われます。
- したがって、ENSによれば、システムのカテゴリは「高」であり、ENS付属書IIに記載されている当該カテゴリに対応するセキュリティ対策を実装する必要があることを意味します。
5. 罰則
セキュリティポリシーおよび規則の意図的または過失による違反で、NAVILENS Y NAVILENS PROJECTS CORP.に対し潜在的または既成の損害をもたらす可能性のあるものは、会社協約および現行の法的、契約的、企業的規範に定められたメカニズムに従って罰せられます。
NAVILENS Y NAVILENS PROJECTS CORP.のセキュリティを侵害するすべての行為で、本ポリシーに規定されていないものは、経営陣および情報セキュリティ責任者によって審査され、会社の判断および規定された法律に従って決定が下されます。
情報セキュリティポリシー違反に対する懲戒処分は、NAVILENS Y NAVILENS PROJECTS CORP.の経営陣および適用される法律に従って統治機関の管轄となります。
従業員が潜在的なインシデントや違反をセキュリティ委員会またはセキュリティ責任者に報告できる、告発チャネルとインシデント管理プロトコルが利用可能です。
当該違反および対応する罰則は、経営陣のメンバーから電子メールで、受領確認の要求とともに違反者に通知されます。
6. 使命
情報技術と通信の融合が企業の生産性の新たなパラダイムを促進している新たな技術環境に対応するため、NAVILENS Y NAVILENS PROJECTS CORP.は、情報セキュリティにおける優れた実践の発展が、管理されるすべての情報の可用性、完全性、機密性、信頼性、追跡可能性、および合法性の目標を達成するために不可欠な、品質環境における研究、技術開発、およびイノベーションプロジェクトの推進を維持することに強くコミットしています。上記の事柄に基づき、NAVILENS Y NAVILENS PROJECTS CORP.は、情報セキュリティ管理システム(ISMS)の枠組みにおいて考慮すべき以下の適用原則を定義します。
NAVILENS Y NAVILENS PROJECTS CORP.の経営陣は、情報セキュリティの保証を組織のサービスの適切な遂行に不可欠な要素として認識し、以下の目標と原則を支持します。
- 情報セキュリティの価値を組織全体に浸透させる。
- NAVILENS Y NAVILENS PROJECT CORPS.の各個人が情報セキュリティの保護に貢献する。
- 情報セキュリティに関する法的、規制的、および顧客の要件が満たされることを保証することを目的として、情報の可用性、完全性、機密性、真正性、追跡可能性、および回復力を維持する。特に個人データに関しては、次の原則が適用される。
- データは、データ主体に関して、適法、公正かつ透明な方法で処理されるものとする(適法性、公正性、透明性)。
- 特定の、明示的で合法的な目的のために収集され、その目的と矛盾する方法でさらに処理されないものとする(目的の限定)。
- データは、処理される目的に関連して、適切かつ関連性があり、必要な範囲に限定されるものとする(データの最小化)。
- データは正確であり、必要な場合には最新のものでなければならない。不正確な個人データは、処理される目的に関連して遅滞なく削除または修正されるように、すべての合理的な措置が講じられるものとする(正確性)。
- データ主体を特定できる形で、個人データの処理目的に必要な期間を超えて保持されないものとする。個人データは、公共の利益のためのアーカイブ目的、科学的または歴史的研究目的、または統計目的でのみ処理される限り、より長期間保持されることができる(保存期間の限定)。
- 不正な処理または違法な処理、および偶発的な損失、破壊または損傷から保護されるよう、適切な技術的または組織的措置を講じることにより、個人データの適切なセキュリティを確保する形で処理されるものとする(完全性および機密性)。
本ポリシーは、組織の目的に合わせて維持、更新され、組織のリスク管理の文脈と整合されます。この目的のために、本ポリシーの適切性、妥当性、および有効性を確保するために、定期的な間隔で、または重要な変更があった場合には、常にレビューされます。
同様に、NAVILENS Y NAVILENS PROJECTS CORP.が直面するリスクを管理するために、正式に定義されたリスク評価手順が確立されています。また、ISMSに含まれるすべてのポリシーと手順は、NAVILENS Y NAVILENS PROJECTS CORP.の経営陣によってレビュー、承認、推進されます。
- NAVILENS Y NAVILENS PROJECTS CORP.の情報資産を、内部的または外部的、意図的または偶発的を問わず、脅威から保護し、顧客に提供されるサービスの継続性と情報セキュリティを保証することを目的とする。
- NAVILENS Y NAVILENS PROJECTS CORP.が確立したリスク管理基準に基づき、セキュリティインシデントのリスクの防止および最小化活動を統合する情報セキュリティ計画を確立する。
- 特定されたリスクを管理するために必要な措置を講じるための手段を提供する。
- 本ポリシーの遵守を保証するための手段として、情報セキュリティに関する意識向上と研修の責任を負う。
- 情報セキュリティへのコミットメントを当社の従業員およびサプライヤーに拡大する。
- 情報セキュリティ目標の確立と定期的な監視を通じて、セキュリティを継続的に改善する。
7. リスク管理
本ポリシーの対象となるすべてのシステムは、リスク分析を実施し、それが晒されている脅威とリスクを評価しなければなりません。この分析は、以下の状況で繰り返されます。
- 定期的に、少なくとも年に1回。
- G管理された情報が変更された場合。
- 提供されるサービスが変更された場合。
- 重大なセキュリティインシデントが発生した場合。
- 重大な脆弱性が報告された場合。
リスク分析を調和させるため、ICTセキュリティ委員会は、扱われる情報の種類と提供されるサービスの種類に応じた参照評価を確立します。ICTセキュリティ委員会は、異なるシステムのセキュリティニーズに対応するためのリソースの可用性を促進し、横断的な投資を促進します。
8. 情報セキュリティポリシーの策定
本ポリシーは、特定の側面に対応するセキュリティ規定、およびその他の補完的なポリシーによって策定されます。セキュリティ規定は、それを知る必要のある組織のすべてのメンバー、特に情報通信システムを使用、運用、または管理するメンバーが利用できるようにします。
9. 職員の義務
NAVILENS Y NAVILENS PROJECT CORPS.およびNAVILENS PROJECTS CORP.の全メンバーは、本情報セキュリティポリシーおよびセキュリティ規制を知り、遵守する義務があります。ICTセキュリティ委員会は、情報が関係者に届くように必要な手段を講じる責任を負います。NAVILENS Y NAVILENS PROJECT CORPS.およびNAVILENS PROJECTS CORP.の全メンバーは、少なくとも年に1回、ICTセキュリティに関する意識向上セッションに参加します。組織のすべてのメンバー、特に新しく入社したメンバーに対応するため、継続的な意識向上プログラムが確立されます。ICTシステムの使用、運用、または管理に責任を持つ者は、自身の業務を遂行するために必要な範囲で、システムの安全な取り扱いに関するトレーニングを受けます。トレーニングは、責任を負う前、つまり最初の任務であるか、職務または責任の変更であるかにかかわらず、義務となります。
情報セキュリティは共同の努力であり、組織の情報システムで働くすべての組織メンバーの関与と参加を必要とします。したがって、各従業員はセキュリティポリシーとその関連文書の要件を遵守しなければなりません。
意図的または過失によりセキュリティポリシーに違反した従業員は、本文書に定められている懲戒処分を受けます。
9.1 情報責任者の定義
顧客情報。 責任者:商務部長。職務:顧客情報の正確性、適切な利用、および更新を保証する。セキュリティ:情報セキュリティ責任者(RSI)は、確立された分類に従ってその保護を監督する。アクセス:機密保持の誓約の下、知る必要性の原則に従い、許可された人員のみにアクセスが許可される。
財務情報。 責任者:財務部長。職務:会計、税務、および予算情報の完全性、可用性、および真実性を保証する。アクセス:最小権限の原則を適用し、許可された人員に限定される。セキュリティ:RSIは、適切な制御(暗号化、職務分離、アクセス追跡可能性)の適用を検証する。
人事(HR)情報。 責任者:HR部長。職務:GDPRおよびLOPDGDDに従って従業員の個人データを管理および保管する。アクセス:HRチームおよび特別に許可された責任者に制限される。セキュリティ:RSIは、これらのデータの機密性の性質上、強化された制御が存在することを監督する。
開発/R&D/ソースコード情報。 責任者:技術部長(CTO)または開発部門の責任者。職務:ソースコード、アルゴリズム、設計、および技術文書を保護する。アクセス:許可された技術者のみに制限され、認証制御とリポジトリの安全な管理が適用される。セキュリティ:RSIは、保護措置、環境分離、および情報漏洩防止を保証する。
運用およびプロジェクト情報。 責任者:運用部門またはプロジェクト責任者。職務:運用、プロジェクト、および成果物の文書を最新に保つ。アクセス:各プロジェクトに関与する人員のみに許可される。セキュリティ:RSIは、不正アクセスを防ぐための制御を保証する。
マーケティングおよびコミュニケーション情報。 責任者:マーケティング部門。職務:内部および外部の企業コンテンツを管理する。アクセス:マーケティング担当者および経営陣に、必要に応じて。セキュリティ:RSIは、機密情報が偶発的に配布されないことを確認する。
セキュリティおよびシステム情報。 責任者:情報セキュリティ部門/システム部門。職務:ログ、構成、ポリシー、および機密記録を管理および保管する。アクセス:特別に許可された人員に限定される。セキュリティ:強化された制御、定期的な監査、および不正アクセスに対する保護。
10. 第三者
本セキュリティポリシーは、NAVILENS Y NAVILENS PROJECTS CORP.が所有する情報に対して何らかの処理を行う外部の第三者に、その認識と遵守を拡大適用します。
NAVILENS Y NAVILENS PROJECT CORPS.が他の組織にサービスを提供する場合、または他の組織の情報を処理する場合、本情報セキュリティポリシーを共有し、それぞれのICTセキュリティ委員会の報告および調整のためのチャネルを確立し、セキュリティインシデントへの対応のための行動手順を確立します。NAVILENS Y NAVILENS PROJECT CORPS.が第三者のサービスを利用する場合、または第三者に情報を提供する場合は、当該サービスまたは情報に関連する本セキュリティポリシーおよびセキュリティ規定を共有します。当該第三者は、当該規定に定められた義務に服し、それを満たすための独自の運用手順を開発することができます。報告およびインシデント解決のための特定の手順が確立されます。第三者の職員が、少なくとも本ポリシーで確立されたレベルと同じレベルで、セキュリティについて適切に意識されていることを保証します。本ポリシーの何らかの側面が、上記の段落で要求されるように第三者によって満たされない場合、発生するリスクとそれらの対処方法を詳細に説明するセキュリティ責任者の報告書が必要となります。この報告書は、影響を受ける情報およびサービスの責任者によって前進する前に承認される必要があります。
11. 承認と有効期間
本文書は経営陣によって承認され、2025年12月19日より有効となります。