Política de seguridad de la información
1. INTRODUCCIÓN
La Organización depende de sus sistemas de información para alcanzar sus objetivos, prestar sus servicios y garantizar la continuidad de sus operaciones. Estos sistemas deben ser administrados con diligencia, aplicando medidas adecuadas en función del riesgo para protegerlos frente a daños accidentales o deliberados, de origen físico o digital, interno o externo.
El objetivo último de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios de la Organización, actuando de forma preventiva, supervisando la actividad diaria, reaccionando con presteza ante los incidentes y fomentando una cultura de seguridad.
Los sistemas TIC deben protegerse frente a amenazas de rápida evolución que puedan afectar a la autenticidad, trazabilidad, confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y de los servicios. Para ello, la Organización adopta una estrategia de seguridad integral, alineada con el Esquema Nacional de Seguridad, que implica a todas las personas que manejan información de la Organización.
La categoría de cada sistema se determinará siguiendo los criterios del Anexo I del Esquema Nacional de Seguridad. Asimismo, se aplicarán las medidas mínimas de seguridad exigidas por el ENS y aquellas medidas adicionales que resulten necesarias conforme a los riesgos identificados.
La Organización debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en proyectos donde se traten datos personales, se adquieran servicios TIC o se presten servicios que afecten a los sistemas de información.
2. ALCANCE
La presente Política se aplica a los sistemas de información del Grupo Global Omnium que queden incluidos en su ámbito de aplicación, así como a todas las personas que integran la Organización. Igualmente, será de aplicación a los prestadores de servicios, proveedores de soluciones TIC, colaboradores y cualesquiera terceras partes que, en el marco de su relación con la Organización, accedan, traten, almacenen, comuniquen o administren información, o bien utilicen o gestionen sistemas de información comprendidos en dicho alcance.
A los efectos de esta Política, se entenderá por “Organización” el conjunto de sociedades del Grupo Global Omnium, así como sus unidades, servicios y sistemas de información; e incluye tanto al personal interno como a terceros que actúen por cuenta de aquellas, siempre que se encuentren dentro del ámbito de aplicación definido. En adelante, toda referencia a la “Organización” deberá entenderse hecha a dicho ámbito.
3. MISIÓN
La Organización se compromete a prestar servicios y productos con la calidad requerida, cumpliendo con las obligaciones asumidas con sus clientes, administraciones y empresas, así como con la normativa vigente y otros requisitos suscritos por la Organización.
La Organización integra la continuidad del servicio, la sostenibilidad, la gestión de riesgos, la gestión de activos, la seguridad, la ciberseguridad, la seguridad y salud de trabajadores y clientes, la eficiencia hídrica, la inocuidad alimentaria y la seguridad de los abastecimientos de agua dentro de su filosofía empresarial.
A efectos de la presente Política, los objetivos de seguridad de la información son:
- Garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información, así como la continuidad en la prestación de los servicios.
- Implementar medidas de seguridad en función del riesgo.
- Formar y concienciar a los integrantes de la Organización respecto a la seguridad de la información.
- Implementar medidas de seguridad que permitan la trazabilidad de los accesos y respetar el principio de mínimo privilegio, reforzando el deber de confidencialidad de las personas usuarias respecto de la información que conozcan en el desempeño de sus funciones.
- Desplegar y controlar la seguridad física haciendo que los activos de información se encuentren en áreas seguras, protegidos por controles de acceso, atendiendo a los riesgos detectados.
- Establecer la seguridad en la gestión de comunicaciones mediante los procedimientos necesarios, logrando que la información que sea transmita a través de redes de comunicaciones sea adecuadamente protegida.
- Controlar la adquisición, desarrollo y mantenimiento de los sistemas de información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
- Controlar el cumplimiento de las medidas de seguridad en la prestación de los servicios, manteniendo el control en la adquisición e incorporación de nuevos componentes del sistema.
- Gestionar los incidentes de seguridad para la correcta detección, contención, mitigación y resolución de estos, adoptando las medidas necesarias para que los mismos no vuelvan a reproducirse.
- Proteger la información personal, adoptando las medidas técnicas y organizativas en atención a los riesgos derivados del tratamiento conforme a la legislación en materia de protección de datos.
- Supervisar de forma continuada el sistema de gestión de la seguridad, mejorando y corrigiendo las ineficiencias detectadas.
La Organización identifica tres tipos de clientes: cliente principal o primario, cliente subsidiario o secundario y cliente interno, incluyendo administraciones públicas, empresas, ciudadanos y sociedades del propio Grupo.
4. PRINCIPIOS RECTORES Y REQUISITOS MÍNIMOS
La Política de Seguridad de la Información de la Organización se establece de acuerdo con los principios básicos del Esquema Nacional de Seguridad y se desarrolla aplicando los requisitos mínimos de seguridad previstos en el artículo 12 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
La seguridad de la información tendrá un alcance estratégico y deberá contar con el compromiso y apoyo de todos los niveles de la Organización, coordinándose e integrándose de forma coherente con el resto de iniciativas estratégicas, operativas y de gobierno corporativo.
En este sentido, la Organización aplicará los siguientes principios rectores y principios básicos en la gestión y protección de la información, de los servicios prestados y de los sistemas de información que los soportan:
- Seguridad como proceso integral: la seguridad se entenderá como un proceso integral constituido por elementos técnicos, humanos, materiales, jurídicos y organizativos relacionados con los sistemas de información, evitando actuaciones puntuales, aisladas o coyunturales. La seguridad de la información formará parte de la operativa habitual y estará presente desde el diseño inicial de los sistemas TIC.
- Gestión de la seguridad basada en los riesgos: las medidas de seguridad se determinarán, implantarán y mantendrán en función de los riesgos identificados sobre la información tratada, los servicios prestados y los sistemas de información que los soportan. Dichas medidas serán proporcionales al riesgo que tratan, deberán estar justificadas y tendrán en cuenta, cuando proceda, los riesgos derivados del tratamiento de datos personales.
- Prevención, detección, respuesta y conservación: la Organización adoptará medidas orientadas a prevenir incidentes, minimizar vulnerabilidades, reducir la posibilidad de materialización de amenazas, detectar actividades o comportamientos anómalos, responder de forma ágil ante incidentes y garantizar la conservación segura de la información y la continuidad de los servicios.
- Existencia de líneas de defensa: la estrategia de seguridad se diseñará e implantará en capas, mediante medidas organizativas, físicas y lógicas que permitan reducir la probabilidad de compromiso del sistema, limitar el impacto de los incidentes y facilitar una respuesta adecuada.
- Vigilancia continua y reevaluación periódica: la Organización implementará mecanismos para la monitorización, detección y respuesta ante actividades o comportamientos anómalos, así como para la evaluación continuada del estado de seguridad de los activos. Asimismo, se establecerá un proceso de mejora continua para la revisión y actualización periódica de las medidas de seguridad, atendiendo a su eficacia, a la evolución de los riesgos y a los cambios en los sistemas de protección.
- Seguridad por defecto y desde el diseño: los sistemas deberán diseñarse, configurarse y mantenerse de forma que garanticen la seguridad por defecto, proporcionando únicamente la funcionalidad necesaria para la finalidad para la que fueron definidos y aplicando criterios de mínimo privilegio, configuración segura y reducción de la superficie de exposición.
- Diferenciación de responsabilidades: las funciones y responsabilidades de seguridad estarán diferenciadas, separando las funciones del Responsable de la Información, Responsable del Servicio, Responsable de Seguridad y Responsable del Sistema, y estableciendo los mecanismos de coordinación y resolución de conflictos que correspondan.
Asimismo, la Organización desarrollará su proceso de seguridad aplicando, en proporción a los riesgos identificados en cada sistema, los siguientes requisitos mínimos de seguridad:
- Organización e implantación del proceso de seguridad.
- Análisis y gestión de los riesgos.
- Gestión de personal.
- Profesionalidad.
- Autorización y control de los accesos.
- Protección de las instalaciones.
- Adquisición de productos de seguridad y contratación de servicios de seguridad.
- Mínimo privilegio.
- Integridad y actualización del sistema.
- Protección de la información almacenada y en tránsito.
- Prevención ante otros sistemas de información interconectados.
- Registro de la actividad y detección de código dañino.
- Incidentes de seguridad.
- Continuidad de la actividad.
- Mejora continua del proceso de seguridad
Estos principios básicos y requisitos mínimos se aplicarán de forma proporcional a la naturaleza de la información tratada, a los servicios prestados, a la categoría de los sistemas de información y a los riesgos identificados en cada caso. Su desarrollo concreto se realizará mediante la normativa de seguridad, procedimientos, instrucciones técnicas, controles y medidas de seguridad que formen parte del sistema documental de seguridad de la Organización.
5. MARCO LEGAL Y REGULATORIO
La actividad de la Organización se desarrollará conforme a la normativa vigente que resulte aplicable a la Organización, a sus servicios, a sus sistemas de información y a los tratamientos de datos realizados.
El marco normativo aplicable se recoge en el Anexo “Normativa aplicable a Global Omnium”, que se mantiene actualizado mediante el servicio contratado de legislación y consultoría.
Esta Política tiene en cuenta, entre otras, las siguientes normas principales: el
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad;
- Reglamento (UE) 2016/679, General de Protección de Datos;
- Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales;
- Directiva (UE) 2022/2555, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (NIS2).
El resto de normativa aplicable, incluyendo instrucciones técnicas de seguridad, legislación complementaria y guías de referencia, se recoge igualmente en dicho Anexo.
Documentación Relacionada: Normativa Aplicable a Global Omnium
6. ORGANIZACIÓN DE LA SEGURIDAD
La Organización dispone de un modelo de organización de la seguridad basado en un Comité de Seguridad de la Información y en roles específicos con funciones y responsabilidades diferenciadas. Este modelo permite coordinar las necesidades de seguridad de los sistemas de información, distribuir responsabilidades, resolver conflictos, regular la designación y sustitución de sus integrantes, y promover la mejora continua. Asimismo, la Organización establecerá mecanismos de actuación ante incumplimientos de la presente Política por parte de las personas usuarias, de conformidad con la normativa interna y la legislación aplicable.
Documentación Relacionada: Roles y Responsabilidades
6.1. DESIGNACIÓN Y SUSTITUCIÓN DE INTEGRANTES DEL COMITÉ DE SEGURIDAD
La designación de los integrantes del Comité de Seguridad de la Información se realizará por el órgano competente de la Organización, a propuesta de las direcciones o áreas responsables afectadas, atendiendo a criterios de responsabilidad, conocimiento, capacidad de decisión y relación con los sistemas, servicios o información incluidos en el ámbito de aplicación de esta Política.
Cada designación deberá formalizarse documentalmente, indicando, al menos, la identidad de la persona designada, el cargo o función que representa, el alcance de sus responsabilidades, la fecha de efecto y, en su caso, la duración prevista del nombramiento. La aceptación del nombramiento implicará el conocimiento y compromiso de cumplimiento de las funciones asignadas.
Las sustituciones, temporales o definitivas, deberán producirse cuando concurra alguna de las siguientes circunstancias: cese o cambio de puesto de la persona designada, ausencia prolongada, incapacidad sobrevenida, conflicto de intereses, reorganización interna o cualquier otra causa que impida el adecuado ejercicio de sus funciones.
La propuesta de sustitución deberá realizarse por la dirección o área afectada tan pronto como tenga conocimiento de la circunstancia que la motive, garantizando en todo momento la continuidad de las funciones del Comité. Mientras se formaliza la nueva designación, podrá nombrarse una persona sustituta provisional con las facultades necesarias para asegurar la continuidad operativa y de gobierno de la seguridad.
La revisión de la composición del Comité se realizará, al menos, con periodicidad anual y siempre que se produzcan cambios relevantes en la estructura organizativa, en el alcance de los sistemas de información, en el marco normativo aplicable o en los riesgos que puedan afectar a la Organización.
7. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
La presente Política se desarrolla a través del sistema documental de seguridad de la Organización, integrado por la Normativa de Seguridad, los procedimientos, las instrucciones técnicas y las guías que concretan y regulan aspectos específicos de la seguridad de la información. Adicionalmente, otros procedimientos corporativos podrán incorporar requisitos de seguridad derivados del Esquema Nacional de Seguridad (ENS). Toda la documentación que desarrolle la presente Política deberá ser aprobada por el Responsable de Seguridad.
La documentación de seguridad se encontrará en el repositorio documental de la Organización y será accesible únicamente para los usuarios autorizados. La gestión documental deberá asegurar su disponibilidad, actualización, control de versiones, difusión a destinatarios autorizados y retirada de documentación obsoleta.
La aplicación concreta de las medidas de seguridad del Esquema Nacional de Seguridad se documentará en la Declaración de Aplicabilidad correspondiente, en la que se recogerán las medidas y refuerzos aplicables, las exclusiones justificadas, las medidas compensatorias y, en su caso, las medidas complementarias de vigilancia. La Declaración de Aplicabilidad será suscrita por el Responsable de Seguridad y se mantendrá actualizada conforme a la categoría de los sistemas, los riesgos identificados y la evolución del marco normativo y tecnológico.
La revisión del sistema documental de seguridad de la información se realizará anualmente o cuando se produzca un cambio significativo que afecte a la seguridad, a la organización, al marco normativo o a los sistemas de información.
8. TRATAMIENTO DE DATOS PERSONALES
La Organización trata datos de carácter personal en el desarrollo de su actividad, tal y como se describe en el Registro de Actividades de Tratamiento. El acceso, utilización o tratamiento de datos personales se realizará conforme al Reglamento (UE) 2016/679, a la Ley Orgánica 3/2018 y al resto de normativa aplicable.
Los datos personales deberán tratarse de forma legítima, lícita, leal, transparente, limitada a la finalidad correspondiente, minimizada, exacta, actualizada, íntegra, confidencial y con limitación del plazo de conservación.
La Organización adoptará medidas técnicas y organizativas adecuadas para evitar la alteración, tratamiento o acceso no autorizado o ilícito, así como la pérdida o destrucción de los datos personales.
El Delegado de Protección de Datos, junto con el Responsable de Cumplimiento, la Dirección Jurídica y el Responsable de Seguridad de la Información, desarrollarán y mantendrán actualizada la normativa interna de gestión global de la protección de datos. El Responsable de Seguridad de la Información implementará en los sistemas de información los controles y desarrollos informáticos adecuados para garantizar el cumplimiento de la normativa de gestión de la información.
La gestión de riesgos de protección de datos se coordinará con la gestión de riesgos del ENS, incluyendo las evaluaciones de impacto cuando proceda y la coordinación de planes de tratamiento del riesgo.
9. GESTIÓN DE RIESGOS
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:
- Regularmente, al menos una vez al año.
- Cuando cambie la información manejada.
- Cuando cambien los servicios prestados.
- Cuando ocurra un incidente grave de seguridad.
- Cuando se reporten vulnerabilidades graves.
- Cuando se produzcan modificaciones relevantes en el análisis de riesgos de protección de datos o en evaluaciones de impacto.
Para armonizar los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los servicios prestados.
El Comité de Seguridad dinamizará la disponibilidad de recursos para atender las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
Se tendrán en cuenta los riesgos en protección de datos, contando con la opinión del Delegado de Protección de Datos, además se coordinarán los planes del tratamiento del riesgo.
10. OBLIGACIONES DEL PERSONAL
Todo el personal de la Organización tiene la obligación de conocer y cumplir esta Política de Seguridad de la Información y las normas, procedimientos, protocolos, instrucciones, reglas y estándares que la desarrollen.
La Organización pondrá los medios necesarios para que la Política y su normativa de desarrollo lleguen a las personas afectadas. Todo el personal recibirá concienciación periódica en materia de seguridad de la información y las personas con responsabilidades de uso, operación o administración de sistemas TIC recibirán formación específica adecuada a sus funciones.
11. TERCERAS PARTES
Cuando la Organización preste servicios a otras entidades o maneje información de terceros, se les hará partícipes de esta Política de Seguridad de la Información en aquello que les resulte aplicable, sin perjuicio del cumplimiento de las obligaciones derivadas de la normativa de protección de datos personales cuando la Organización actúe como encargado del tratamiento o trate información por cuenta de dichas entidades.
Asimismo, se establecerán los canales necesarios para el reporte, coordinación y actuación ante incidentes de seguridad con las entidades, clientes, proveedores o terceros implicados. El Responsable de Seguridad, o la persona en quien delegue, actuará como Punto de Contacto en materia de seguridad de la información, sin perjuicio de la intervención del Responsable de Seguridad de la Información, el Delegado de Protección de Datos, la Dirección de Sistemas de Información, la Dirección Jurídica o el Comité de Seguridad cuando la naturaleza del incidente o de la información tratada así lo requiera.
Cuando la Organización utilice servicios de terceros, contrate prestadores de servicios, adquiera productos o soluciones TIC, permita el acceso de terceros a sus sistemas o ceda información a terceros, dichas terceras partes deberán conocer y cumplir esta Política de Seguridad de la Información y la normativa de seguridad que resulte aplicable a los servicios, sistemas o información afectados.
En la contratación de prestadores de servicios o adquisición de productos se tendrá en cuenta la obligación del adjudicatario de cumplir con el Esquema Nacional de Seguridad cuando resulte aplicable, así como con las obligaciones legales, contractuales, regulatorias y sectoriales que afecten a la Organización o a los servicios prestados. Cuando el proveedor tenga acceso a datos personales por cuenta de las sociedades del Grupo, su contratación se realizará conforme a la normativa aplicable en materia de protección de datos personales y a las políticas internas de contratación establecidas.
En la adquisición de derechos de uso de activos, servicios o soluciones en la nube, la Organización tendrá en cuenta los requisitos establecidos en las medidas de seguridad del Anexo II del Esquema Nacional de Seguridad y en sus guías de desarrollo, así como los requisitos de seguridad, continuidad, confidencialidad, trazabilidad, protección de datos y gestión de incidentes que resulten aplicables.
Las terceras partes quedarán sujetas a las obligaciones establecidas en esta Política, en la normativa de seguridad aplicable y en los contratos, acuerdos, encargos de tratamiento, anexos de seguridad o instrumentos equivalentes que regulen la relación con la Organización. Dichas terceras partes podrán desarrollar sus propios procedimientos operativos para satisfacer dichas obligaciones, de forma que la Organización pueda supervisar su cumplimiento, solicitar evidencias, revisar controles o promover auditorías de segunda o tercera parte cuando proceda.
Los terceros deberán garantizar que su personal conoce y cumple las obligaciones de seguridad de la información aplicables al servicio contratado, incluyendo las relativas a confidencialidad, protección de datos personales, uso autorizado de la información, comunicación de incidencias y cumplimiento de la normativa de seguridad aplicable. Este nivel de cumplimiento deberá ser, al menos, equivalente al exigido por la Organización a su propio personal o al que específicamente se establezca contractualmente.
Se establecerán procedimientos específicos de reporte y resolución de incidencias con terceros. Cualquier incidente, brecha de seguridad, pérdida de información, acceso no autorizado, uso indebido, vulnerabilidad relevante o situación que pueda afectar a la seguridad de la información o a la continuidad de los servicios deberá ser comunicado por la tercera parte a los contactos definidos por la Organización. Cuando el incidente afecte o pueda afectar a datos personales, deberá intervenir el Delegado de Protección de Datos junto con las funciones internas que correspondan.
Cuando la Organización adquiera, desarrolle, integre o implante un sistema de Inteligencia Artificial, además de cumplir con la normativa vigente aplicable, deberá contar con el informe del Responsable de Seguridad, que consultará al Responsable de la Información, al Responsable del Servicio y, cuando sea necesario, al Responsable del Sistema. Cuando el sistema trate o pueda afectar a datos personales, deberá recabarse igualmente el criterio del Delegado de Protección de Datos.
12. GESTIÓN DE INCIDENTES DE SEGURIDAD
La Organización dispondrá de procedimientos para la gestión ágil de los eventos e incidentes de seguridad que puedan suponer una amenaza para la información, los sistemas de información o los servicios prestados.
Dichos procedimientos contemplarán la detección, registro, análisis, tratamiento y seguimiento de los incidentes de seguridad, así como la adopción de las medidas necesarias para su contención, resolución y mejora continua del proceso de seguridad.
Se registrarán los incidentes de seguridad que se produzcan y las acciones de tratamiento que se sigan. Estos registros se emplearán para la mejora continua de la seguridad del sistema, la detección de vulnerabilidades, la revisión de controles y, cuando proceda, la conservación de evidencias.
La gestión de incidentes se integrará, cuando proceda, con otros procedimientos y obligaciones aplicables en materia de protección de datos personales, continuidad de negocio, infraestructuras críticas, infraestructuras esenciales u otra normativa sectorial que afecte a la Organización.
Cuando el incidente afecte o pueda afectar a datos personales, se dará intervención al Delegado de Protección de Datos, junto con la Dirección de Sistemas de Información, el Responsable de Seguridad de la Información y el resto de funciones internas que correspondan, con el fin de evaluar la brecha y activar los protocolos de seguridad necesarios.
La Organización comunicará los incidentes a los organismos competentes cuando resulte exigible por la normativa aplicable y, cuando sea preciso, a las Fuerzas y Cuerpos de Seguridad del Estado, órganos judiciales u otras autoridades competentes, sin dilaciones indebidas.
En el caso de servicios, sistemas o infraestructuras críticas o esenciales, la gestión de incidentes tendrá en cuenta los planes, protocolos y mecanismos de coordinación específicos establecidos por la Organización para garantizar la respuesta, recuperación y continuidad de los servicios.
13. ACTUACIÓN ANTE INCUMPLIMIENTOS DE LA POLÍTICA POR PARTE DE LAS PERSONAS USUARIAS
El incumplimiento de la presente Política de Seguridad de la Información, así como de las normas, procedimientos, instrucciones o controles que la desarrollen, podrá dar lugar a la adopción de medidas correctoras, disciplinarias, contractuales o legales, en función de la naturaleza, alcance, intencionalidad, reiteración, impacto y riesgos asociados al hecho detectado, todo ello conforme a la normativa laboral, convencional, contractual y demás disposiciones aplicables.
La aplicación de cualquier medida deberá respetar los principios de proporcionalidad, confidencialidad, trazabilidad, contradicción y mínima exposición de la información, garantizando que la gestión del incumplimiento se documente adecuadamente y que únicamente intervengan las personas con competencia y necesidad de conocer.
Cuando el incumplimiento afecte o pueda afectar a datos personales, obligaciones regulatorias, evidencias electrónicas, continuidad del servicio o posibles responsabilidades frente a terceros, se dará intervención adicional al Delegado de Protección de Datos, a la Dirección Jurídica o a las funciones que correspondan. En caso de apreciarse indicios de ilícito penal o administrativo, la Organización podrá trasladar los hechos a las autoridades competentes.
El Responsable de Seguridad de la Información realizará el seguimiento de los incumplimientos relevantes y reportará periódicamente al Comité de Seguridad la información agregada sobre incidencias, medidas adoptadas, tendencias detectadas y acciones de mejora, con objeto de reforzar la cultura de seguridad y prevenir reincidencias.
14. APROBACIÓN Y ENTRADA EN VIGOR
La presente Política de Seguridad de la Información ha sido aprobada por el Comité de Seguridad, con participación del Responsable de Seguridad de la Información.
Esta Política se considera efectiva desde la fecha de aprobación y permanecerá vigente hasta que sea reemplazada por una nueva versión formalmente aprobada. La presente versión sustituye y deja sin efecto las versiones anteriores de la Política de Seguridad de la Información.
La presente Política será revisada al menos anualmente por el Comité de Seguridad de la Información, o antes cuando se produzcan cambios normativos, organizativos, técnicos, contractuales, de riesgo o de seguridad que lo hagan necesario.
Las modificaciones que supongan cambios sustanciales afecten a principios, responsabilidades, alcance o modelo de gobierno de la seguridad deberán ser propuestas por el Comité de Seguridad y aprobadas formalmente por el órgano competente.
La sustitución de la Política será instada por el Comité de Seguridad de la Información y ratificada por el órgano competente, informándose adecuadamente a los interesados por los canales utilizados para su difusión.
La Política será difundida a todo el personal de la Organización y, cuando corresponda, al personal ajeno, proveedores, prestadores de servicios, colaboradores y terceras partes que accedan, traten, almacenen, comuniquen o administren información o sistemas de información de la Organización.
15. DILIGENCIA DE REVISIÓN DE LA POLÍTICA
La presente Política ha sido revisada y validada por el Responsable de Seguridad de la Información y remitida a la Dirección de Recursos Humanos para su difusión a toda la Organización.