Politique de sécurité de l'information

1. OBJECTIF

Ojmar reconnaît pleinement les implications en matière de sécurité de l'information associées à son fonctionnement et à son engagement envers les parties prenantes. Par conséquent, l'objectif principal de ce document est d'établir la politique de sécurité de l'information d'Ojmar. L'objectif fondamental de cette politique est d'assurer la bonne protection des actifs informationnels et la continuité des services offerts, en disposant de la capacité nécessaire pour prévenir, détecter, répondre et récupérer d'éventuels incidents de sécurité. À cette fin, l'organisation adopte les mesures de sécurité nécessaires pour maintenir un niveau de risque jugé acceptable. Il reconnaît également l'importance de surveiller la performance des services, d'analyser les vulnérabilités identifiées et d'établir des réponses efficaces aux incidents.

Il est prioritaire pour Ojmar que les services d'information remplissent leurs fonctions et préservent l'intégrité des données sans interruption ni altération non autorisée, et que l'accès non autorisé à ceux-ci ne soit pas autorisé. Conformément à cet objectif, les systèmes d'information et les réseaux de l'organisation doivent être suffisamment robustes pour résister de manière fiable aux événements accidentels ou aux actions malveillantes susceptibles de compromettre la confidentialité, la disponibilité et l'intégrité des données stockées ou transmises, ainsi que des services utilisés dans les environnements numériques.

Il est de la responsabilité d'Ojmar de s'assurer que la sécurité des technologies de l'information et de la communication (TIC) est intégrée à toutes les étapes du cycle de vie des systèmes d'information. Cela va de la conception au démantèlement, en passant par les décisions concernant le développement ou l'acquisition, ainsi que les activités opérationnelles. Les exigences en matière de sécurité et les besoins de financement liés à chaque phase sont identifiés et pris en compte dans les demandes de propositions de planification et de projet.

Afin de se conformer aux dispositions de la présente Politique de sécurité de l'information et de garantir le niveau de sécurité requis par Ojmar, le Comité de sécurité de l'information publie annuellement un rapport détaillant les mesures de sécurité approuvées par le Comité, sur la base de la gestion des risques. Ces mesures doivent être mises en œuvre au cours de l'exercice suivant leur approbation en raison de leur caractère essentiel. En outre, le rapport comprend les mesures jugées souhaitables pour faire progresser la stratégie de sécurité conçue par le Comité.

2. CHAMP D'APPLICATION

Conformément à la Politique de sécurité de l'information et à ses règlements respectifs, des mesures de sécurité sont établies qui doivent être appliquées, selon les lignes directrices définies dans lesdites normes, à tous les systèmes, services et ressources liés aux technologies de l'information et de la communication (TIC) utilisés par Ojmar pour soutenir ses processus organisationnels, et qui affectent les différents éléments d'information associés.

L'objectif des ressources TIC de l'entité est de fournir un soutien aux opérations commerciales ainsi qu'aux activités de gestion essentielles à son fonctionnement. Ces ressources englobent les systèmes centraux et départementaux, les postes de travail, les ordinateurs, les imprimantes, les périphériques de sortie et autres périphériques, les réseaux internes et externes, les services de communication et les systèmes de stockage appartenant à Ojmar.

Dans ce contexte, les ordinateurs ou les appareils personnels qui ne sont pas achetés par l'organisation ou enregistrés à son nom ne sont pas considérés comme faisant partie des ressources TIC de l'entité, bien qu'ils puissent occasionnellement être utilisés dans des activités liées aux processus opérationnels. Par conséquent, ils sont exclus de l'application de la présente politique, ainsi que de toute considération ou préoccupation en matière de sécurité. Toutefois, tout appareil personnel qui se connecte au réseau de l'entreprise ou qui contient des informations provenant d'Ojmar sera soumis aux obligations établies dans la présente Politique de sécurité de l'information, ainsi qu'aux règlements et directives qui la complètent.

Cette politique s'applique non seulement au personnel interne de l'organisation, mais est également contraignante pour toutes les personnes, entités, institutions ou unités et services, internes et externes, qui utilisent les ressources TIC et ont accès aux éléments d'information de l'entité. Cela inclut ceux qui se connectent directement ou indirectement à ces ressources, à distance ou par le biais d'appareils tiers, et comprend en particulier les services offerts via Internet. Dans le cadre de cette activité, ces personnes seront considérées comme des utilisateurs, conformément aux termes énoncés dans la présente politique.

3. PRINCIPES DE SÉCURITÉ DE L'INFORMATION

Cette politique, ainsi que ses règlements correspondants, sont basés sur des principes essentiels de protection dans le but de garantir que l'organisation peut atteindre ses objectifs grâce à une gestion correcte des systèmes d'information.

Ces principes fondamentaux, qui doivent être pris en compte dans toutes les décisions relatives à la sécurité de l'information, sont décrits ci-dessous :

3.1. Approche globale de la sécurité

La sécurité est abordée comme un processus global qui implique tous les éléments humains, matériels, organisationnels et technologiques liés au système. Par conséquent, il est crucial de prendre les mesures appropriées pour que tous les acteurs impliqués dans le processus soient conscients de la politique de sécurité de l'information et s'acquittent de leurs responsabilités conformément à celle-ci. La coordination entre tous les participants s'applique à toutes les initiatives et actions entreprises par Ojmar.

3.2. Gestion du risque

L'analyse et la gestion des risques jouent un rôle crucial dans la sécurité de l'information. Il est essentiel de maintenir les niveaux de risque dans des limites acceptables grâce à la mise en œuvre continue de mesures de sécurité appropriées et à jour. Cela garantit la proportionnalité entre la nature des données et des processus de traitement, les risques auxquels elles sont exposées et les mesures de sécurité correspondantes.

3.3. Prévention et récupération des incidents

La sécurité du système doit englober la prévention, la détection et la récupération afin d'éviter que des menaces ne se matérialisent ou n'aient un impact significatif sur les données traitées par les systèmes d'information ou les services proposés. Pour ce faire, des mesures préventives sont prises, notamment par la dissuasion et la réduction de l'exposition. des mesures de détection qui sont complétées par des réponses efficaces pour traiter les incidents de sécurité, et des mesures de récupération qui permettent le rétablissement des services et des informations. Le système garantit la préservation des données et la disponibilité des services tout au long du cycle de vie de l'information.

3.4. Plusieurs couches de défense

Le système doit disposer d'une stratégie de protection composée de plusieurs couches de sécurité disposées de manière à ce que, si l'une d'entre elles tombe en panne en raison d'un incident inévitable, il y ait suffisamment de temps pour une réponse appropriée, ce qui réduit la probabilité que l'ensemble du système soit compromis et minimise l'impact final. Ces couches de défense comprennent des mesures organisationnelles, physiques et logiques.

3.5. Examen périodique

Ojmar révise et met à jour régulièrement les mesures de sécurité mises en place afin de s'assurer qu'elles restent efficaces face à des risques et des systèmes de protection en constante évolution.

4. LEADERSHIP & ENGAGEMENT

La direction d'Ojmar démontre son leadership et son engagement envers les principes fondamentaux de la sécurité de l'information par la mise en œuvre du système de gestion de la sécurité de l'information (SMSI), pour lequel elle assume les responsabilités suivantes :

  • Établir et harmoniser la politique de sécurité de l'information et le règlement sur la sécurité de l'information avec l'orientation stratégique de l'organisation.
  • S'assurer de la disponibilité des ressources nécessaires au bon fonctionnement du SMSI.
  • Communiquer l'importance d'une gestion efficace du système et de la conformité aux exigences établies à tous les niveaux de l'organisation.
  • Fournir une orientation et un soutien aux personnes qui contribuent au fonctionnement du SMSI, en promouvant une culture de la sécurité de l'information.
  • Collaborer avec d'autres secteurs de gestion pertinents pour renforcer leur leadership dans leurs domaines de responsabilité respectifs, en assurant l'intégration de la sécurité de l'information dans tous les processus.
  • S'assurer que le SMSI atteint les résultats escomptés en termes de protection de l'information et de continuité des services.
  • Promouvoir l'amélioration continue dans le domaine de la sécurité de l'information, en soutenant les initiatives qui mènent à une plus grande efficacité et efficience dans la gestion de la sécurité.

5. POLITIQUE DE GESTION ET OBJECTIFS DE SÉCURITÉ

La direction d'Ojmar reconnaît la nécessité d'assurer le respect des niveaux définis de confidentialité, d'intégrité et de disponibilité de ses actifs informationnels. Ceci est essentiel pour mener à bien les activités de l'entreprise et atteindre ses objectifs stratégiques, ainsi que pour démontrer sa capacité à gérer efficacement les services offerts aux clients.

Afin d'atteindre ces objectifs, le système de gestion de la sécurité de l'information (SMSI) a été développé et mis en œuvre, qui fournit un cadre solide pour la gestion sûre des actifs de l'entreprise. De plus, ce système agit comme une garantie pour assurer la confiance et la satisfaction de toutes les parties prenantes, en intégrant une méthodologie sécurisée pour la fourniture de services.

Pour renforcer son engagement, et en tenant compte du fait que la sécurité de l'information vise à assurer la continuité des opérations de l'organisation et à atténuer les risques en prévenant et, si nécessaire, en réduisant l'impact des incidents de sécurité, Ojmar établit les objectifs stratégiques suivants dans le domaine de la sécurité de l'information :En phase avec le contexte et l'orientation stratégique de l'entreprise :

  • Promouvoir une culture organisationnelle dans laquelle la sécurité de l'information est un pilier fondamental et est enracinée dans toutes les pratiques et processus de gestion de l'organisation.
  • Protégez la confidentialité, la disponibilité et l'intégrité des données de l'organisation pour soutenir la stratégie commerciale, ainsi que pour vous conformer aux exigences légales et contractuelles en vigueur.
  • Effectuer une analyse et une gestion des risques axées sur la sécurité de l'information.
  • Optimisez l'utilisation des ressources de sécurité pour atteindre les objectifs de l'entreprise.
  • Exploitez de manière efficace et efficiente les connaissances et l'infrastructure de sécurité existantes.
  • Protéger les ressources informationnelles et la technologie utilisées par Ojmar contre les menaces internes et externes, qu'elles soient intentionnelles ou accidentelles.
  • Établir des processus de surveillance et de production de rapports afin d'assurer le respect des objectifs de sécurité de l'information et d'assurer une réponse adéquate aux incidents.

En cohérence avec sa stratégie et son activité, Ojmar définit une série d'objectifs spécifiques en matière de sécurité de l'information :

5.1. Protection des actifs informationnels

La capacité à protéger les ressources du système est un pilier fondamental de la stratégie d'Ojmar. La gestion des risques représente l'un des fondements les plus essentiels de la sécurité de l'information et est considérée comme une pratique de base dans toutes les normes de sécurité reconnues. Par conséquent, une grande partie des efforts consacrés à la protection des informations, des actifs et des activités de l'entité sont basés sur les résultats de l'analyse et de l'évaluation des risques de sécurité.

5.2. Contrôles d'accès logiques et authentification

S'assurer que le système d'information n'est accessible qu'aux utilisateurs autorisés est un autre point clé pour Ojmar. La mise en œuvre d'une authentification forte est cruciale pour atténuer le risque d'usurpation d'identité et d'autres accès frauduleux.

5.3. Protection de la confidentialité

Assurer la confidentialité des données fait partie intégrante de la sécurité de l'information. Il s'agit de protéger les informations échangées entre les parties autorisées et de s'assurer qu'elles ne sont pas exposées à des tiers non autorisés.

5.4. Protection de l'intégrité

Il est essentiel de garantir l'intégrité des données pour empêcher toute modification ou manipulation non autorisée. L'organisation met en œuvre des mesures de sécurité pour atténuer les risques de falsification des données, en particulier dans les environnements non fiables tels que les réseaux publics ou Internet.

5.5. Protection de la disponibilité

Le maintien de la disponibilité ininterrompue des systèmes d'information est essentiel. Ojmar établit des procédures pour maintenir la continuité des activités dans des situations défavorables, minimisant ainsi l'impact des perturbations et garantissant que les systèmes sont toujours disponibles.

5.6. Audit des activités de sécurité

La surveillance et l'enregistrement continus des incidents potentiels et des activités suspectes sont des objectifs clés pour prévenir les événements indésirables. Cela contribue à la sécurité en détectant et en répondant de manière proactive aux menaces.

6. ORGANISATION DE LA SÉCURITÉ

Afin d'atteindre tous ces objectifs à toutes les étapes du cycle de vie de l'information et d'attribuer de manière appropriée les responsabilités pour leur mise en œuvre, Ojmar met en place une structure qui encourage l'application cohérente de la politique de sécurité de l'information. Cette structure s'adapte efficacement aux fréquents changements technologiques et organisationnels de l'environnement dans lequel elle exerce son activité.

En conséquence, Ojmar établit le comité et le rôle suivants liés à la surveillance et à la gestion de la sécurité de l'information :

  • Comité de la sécurité de l'information.
  • Responsable de la sécurité.

7. DONNÉES PERSONNELLES

Ojmar effectue le traitement des données à caractère personnel et tient un registre des activités de traitement qui documente ces traitements et identifie les responsables du traitement correspondants. Chacun de ses systèmes d'information est conforme aux niveaux de sécurité exigés par la réglementation, compte tenu de la nature et de la finalité des données personnelles concernées.

Les mesures de sécurité mises en œuvre conformément à la présente politique de sécurité de l'information, ainsi que les évaluations des risques effectuées pour se conformer aux obligations du règlement général sur la protection des données, sont effectivement coordonnées avec le délégué à la sécurité et le comité de sécurité de l'information. Cela permet de s'assurer que la protection des données à caractère personnel est pleinement intégrée dans le cadre du SMSI et que les réglementations applicables en matière de protection de la vie privée sont respectées.

8. OBLIGATIONS DES UTILISATEURS

Il est de la responsabilité de tous les membres d'Ojmar de connaître et de respecter rigoureusement la politique de sécurité de l'information et les règlements de sécurité qui en découlent. La Direction est chargée de veiller à ce que ces politiques parviennent à toutes les parties prenantes, en fournissant les moyens nécessaires à leur diffusion et à leur compréhension.

Il est d'une importance vitale que tous les employés de l'organisation soient pleinement conscients de l'importance de préserver la sécurité des systèmes d'information. Chaque individu joue un rôle essentiel dans le maintien et l'amélioration de la sécurité à Ojmar.

En conséquence, un programme de sensibilisation continue est mis en place qui englobe tous les membres de l'organisation, avec un accent particulier sur ceux qui ont récemment adhéré. Les personnes ayant des responsabilités liées à l'utilisation, à l'administration ou à l'exploitation des systèmes de technologie de l'information et de la communication (TIC) reçoivent une formation spécifique à la gestion sécurisée de ces systèmes, si nécessaire pour s'acquitter de leurs tâches. Cette formation est obligatoire avant toute prise de responsabilité, que ce soit dans votre premier poste ou dans l'éventualité d'un changement de rôles ou de responsabilités au sein de l'organisation.

9. RESPONSABILITÉS DES UTILISATEURS EN CAS DE NON-CONFORMITÉ

Le comité de sécurité de l'information est habilité à évaluer si les utilisateurs de l'organisation enfreignent l'une des obligations énoncées dans la présente politique, ainsi que dans les règlements connexes et les instructions supplémentaires.

Dans le cas où une non-conformité est identifiée, des mesures préventives et correctives sont mises en œuvre avec pour objectif principal de préserver et de protéger les systèmes et réseaux d'information de l'organisation. Ces mesures sont appliquées sans préjudice des conséquences disciplinaires qui pourraient en découler.

Une fois qu'une violation de la politique de sécurité de l'information a été confirmée, le comité suit les procédures établies pour prendre les mesures disciplinaires appropriées. La procédure à suivre et les sanctions à appliquer sont conformes à la législation en vigueur qui réglemente le régime disciplinaire du personnel employé dans l'organisation.

10. RELATION AVEC DES TIERS

Lorsqu'Ojmar fournit des services à d'autres organisations ou traite des informations provenant de celles-ci, la personne responsable de cette relation est responsable de les informer de la Politique de sécurité de l'information, ainsi que des règles et instructions qu'il est nécessaire de partager. En outre, des canaux de communication et de coordination sont établis entre les comités de sécurité de l'information respectifs afin d'assurer une collaboration efficace en matière de sécurité. Des procédures sont également mises en place pour répondre aux incidents de sécurité potentiels, ce qui permet une réaction rapide et efficace en cas d'événements mettant en péril la sécurité de l'information.

Lorsqu'Ojmar utilise des services de tiers ou partage des informations avec eux, des accords contractuels sont établis qui obligent ces tiers à respecter les obligations et les mesures de sécurité spécifiées dans ces contrats. Ces tiers peuvent mettre en œuvre leurs propres procédures opérationnelles pour assurer le respect de ces obligations. En outre, des procédures spécifiques peuvent être établies pour prévenir, détecter, signaler et résoudre les incidents de sécurité en collaboration avec des tiers. L'objectif est de s'assurer que le personnel de ces tiers est correctement informé et formé en matière de sécurité, au moins au même niveau que celui défini dans la présente politique de sécurité.

En particulier, les tiers doivent s'assurer du respect de mesures de sécurité fondées sur des normes qui peuvent être auditées, et peuvent faire l'objet de contrôles et d'examens par des tiers certifiés vérifiant leur conformité à ces politiques.

Si un tiers n'est pas en mesure de se conformer à l'un ou l'autre aspect de la présente politique de sécurité, un rapport est demandé à son agent de sécurité identifiant les risques encourus et les mesures à prendre pour y remédier. Ce rapport doit être approuvé par Ojmar avant de procéder à la relation ou au service en question.

11. CADRE RÉGLEMENTAIRE

La présente politique a été élaborée et approuvée conformément au cadre réglementaire suivant :

  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
  • Loi organique 3/2018, du 5 décembre, sur la protection des données à caractère personnel et la garantie des droits numériques.
  • Décret royal législatif 1/1996, du 12 avril 1996, approuvant le texte révisé de la loi sur la propriété intellectuelle (LPI), régularisant, clarifiant et harmonisant les dispositions en vigueur en la matière.

12. APPROBATION ET ENTRÉE EN VIGUEUR

La direction d'Ojmar a approuvé cette politique de sécurité de l'information le 30 octobre 2023.

Cette politique entrera en vigueur à la date ci-dessus et restera en vigueur jusqu'à ce qu'elle soit remplacée par une nouvelle version.

Toutes les dispositions de rang égal ou inférieur qui entrent en conflit avec les dispositions de la présente politique de sécurité de l'information sont automatiquement abrogées.