Passer au contenu principal
  • Home
  • Politique de sécurité

Politique de sécurité

Approbation et entrée en vigueur

Texte approuvé par la Direction de CHAKRAY.

Cette Politique de Sécurité de l’Information est en vigueur à partir de ladite date et heure jusqu’à ce qu’elle soit remplacée par une nouvelle version.

Introduction

CHAKRAY dépend des systèmes TIC (Technologies de l’Information et de la Communication) pour atteindre ses objectifs. Ces systèmes doivent être gérés avec diligence, en prenant les mesures appropriées pour les protéger contre les dommages accidentels ou délibérés pouvant affecter la disponibilité, l’intégrité ou la confidentialité des informations traitées ou des services fournis.

L’objectif de la sécurité de l’information est de garantir la qualité de l’information et la prestation continue des services, en agissant de manière préventive, en supervisant l’activité quotidienne et en réagissant rapidement aux incidents.

Les systèmes TIC doivent être protégés contre les menaces en évolution rapide susceptibles d’affecter la confidentialité, l’intégrité, la disponibilité, l’utilisation prévue et la valeur de l’information et des services. Pour se défendre contre ces menaces, une stratégie qui s’adapte aux changements des conditions environnementales est nécessaire pour assurer la prestation continue des services. Cela implique l’application des mesures de sécurité minimales exigées par le Schéma National de Sécurité, ainsi qu’un suivi continu des niveaux de prestation des services, le suivi et l’analyse des vulnérabilités signalées, et la préparation d’une réponse efficace aux incidents pour garantir la continuité des services fournis.

CHAKRAY doit s’assurer que la sécurité TIC fait partie intégrante de chaque étape du cycle de vie du système, de sa conception à son retrait, en passant par les décisions de développement ou d’acquisition et les activités d’exploitation. Les exigences de sécurité et les besoins de financement doivent être identifiés et inclus dans la planification, dans les demandes de propositions et dans les conditions de passation de marchés pour les projets où des données personnelles sont traitées, des services TIC sont acquis ou des services affectant les systèmes d’information sont fournis.

CHAKRAY doit être préparé à prévenir, détecter, réagir et se remettre des incidents, conformément à l’Article 8 du Décret Royal 311/2022, du 3 mai, qui réglemente le Schéma National de Sécurité (ci-après ENS).

Champ d’application

Cette Politique de Sécurité sera obligatoire pour tous les membres de CHAKRAY qui soutiennent les activités de prestation des services suivants :

  • Conseil technologique, conception, développement, intégration, support et maintenance de solutions d’intégration technologique, de transformation numérique et de gestion des API, fournis depuis ses bureaux et environnements distants.

Mission

Chez CHAKRAY, notre mission est de permettre aux organisations d’atteindre leur plein potentiel numérique grâce à des solutions d’intégration intelligentes, ouvertes et centrées sur le client.

Nous croyons fermement que l’intégration n’est pas simplement une nécessité technique, mais une capacité stratégique qui stimule l’agilité, l’innovation et la transformation. C’est pourquoi nous travaillons avec des technologies ouvertes et des standards qui favorisent la collaboration, l’évolutivité et l’accessibilité.

Notre approche repose sur :

  • Placer le client au centre de tout ce que nous faisons. Les décisions sont prises par les équipes les plus proches du client, garantissant des solutions alignées sur leurs besoins réels.
  • Créer des expériences exceptionnelles. Nous nous concentrons non seulement sur les résultats, mais aussi sur la manière dont nous les atteignons, en veillant à ce que le processus soit aussi précieux que le produit final.
  • Favoriser le talent. Nous voulons être l’endroit où les professionnels de l’intégration choisissent de travailler, en leur offrant les conditions pour grandir, innover et faire la différence.

Chez CHAKRAY, nous ne connectons pas seulement des systèmes. Nous connectons des personnes, des idées et des opportunités pour construire un avenir numérique plus agile et collaboratif.

Cadre réglementaire

La Direction de CHAKRAY veille au respect des exigences de la législation applicable et des règlements en matière de sécurité de l’information.

Les réglementations suivantes sont prises comme référence de base en matière de Sécurité de l’Information :

  • UNE-ISO/IEC 27001:2023, Sécurité de l’information, cybersécurité et protection de la vie privée. Systèmes de management de la sécurité de l’information. Exigences.
  • UNE-EN ISO/IEC 27002:2023, Sécurité de l’information, cybersécurité et protection de la vie privée. Mesures de sécurité de l’information.
  • Décret Royal 311/2022, du 3 mai, réglementant le Schéma National de Sécurité.
  • Loi Organique 3/2018, du 5 décembre, sur la Protection des Données Personnelles et la garantie des droits numériques.
  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données).
  • Loi 6/2020, du 11 novembre, réglementant certains aspects des services électroniques de confiance.
  • Décret Royal Législatif 1/1996, du 12 avril, Loi sur la Propriété Intellectuelle.
  • Décret-loi Royal 2/2018, du 13 avril, modifiant le texte consolidé de la Loi sur la Propriété Intellectuelle, approuvé par le Décret Royal Législatif 1/1996, du 12 avril, et incorporant dans le droit espagnol la Directive 2014/26/UE du Parlement européen et du Conseil, du 26 février 2014, et la Directive (UE) 2017/1564 du Parlement européen et du Conseil, du 13 septembre 2017.
  • Loi 34/2002, du 11 juillet, sur les services de la société de l’information et le commerce électronique (LSSI).
  • Loi 9/2014, du 9 mai, sur les Télécommunications.
  • Règlement (UE) 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (Règlement européen eIDAS).
  • Résolution du 13 octobre 2016, du Secrétariat d’État aux Administrations Publiques, approuvant l’Instruction Technique de Sécurité de conformité avec le Schéma National de Sécurité.
  • Résolution du 27 mars 2018, du Secrétariat d’État à la Fonction Publique, approuvant l’Instruction Technique de Sécurité d’Audit de la Sécurité des Systèmes d’Information.
  • Résolution du 13 avril 2018, du Secrétariat d’État à la Fonction Publique, approuvant l’Instruction Technique de Sécurité de Notification des Incidents de Sécurité.

Principes fondamentaux

Les principes fondamentaux sont les directives de sécurité essentielles qui doivent toujours être présentes dans toute activité liée à l’utilisation des actifs informationnels. Les principes suivants sont établis :

Portée stratégique

La sécurité de l’information doit bénéficier de l’engagement et du soutien de tous les niveaux de l’organisation et doit être coordonnée et intégrée de manière cohérente avec les autres initiatives stratégiques.

La sécurité comme processus intégral

La sécurité chez CHAKRAY sera comprise comme un processus intégral comprenant tous les éléments techniques, humains, matériels et organisationnels liés aux systèmes TIC, évitant toute action ponctuelle ou traitement conjoncturel. CHAKRAY considère la sécurité de l’information comme faisant partie des opérations habituelles, étant présente et appliquée dès la conception initiale des systèmes TIC.

Gestion de la sécurité basée sur les risques

Chez CHAKRAY, l’analyse et la gestion des risques font partie intégrante du processus de sécurité. La gestion des risques permettra à CHAKRAY de maintenir un environnement contrôlé, minimisant les risques à des niveaux acceptables. La réduction de ces niveaux sera réalisée par le déploiement de mesures de sécurité, établissant un équilibre entre la nature des données et des traitements, l’impact et la probabilité des risques auxquels elles sont exposées, et l’efficacité et le coût des mesures de sécurité. Lors de l’évaluation des risques liés à la sécurité des données, les risques découlant du traitement des données personnelles doivent être pris en compte.

Prévention, détection, réponse et conservation

Prévention

CHAKRAY doit éviter, ou du moins prévenir autant que possible, que l’information ou les services soient affectés par des incidents de sécurité. À cette fin, elle mettra en œuvre les mesures de sécurité minimales déterminées par l’ENS, ainsi que tout contrôle supplémentaire identifié par l’évaluation des menaces et des risques. Ces contrôles seront clairement définis et documentés.

Pour garantir la conformité à la politique, les départements doivent :

  • Autoriser les systèmes avant leur mise en service.
  • Évaluer régulièrement la sécurité, y compris les évaluations des changements de configuration effectués de manière routinière.
  • Demander une révision périodique par des tiers afin d’obtenir une évaluation indépendante.

Détection

CHAKRAY établit des contrôles opérationnels pour ses systèmes d’information dans le but de détecter les anomalies dans la prestation des services et d’agir en conséquence conformément à l’Article 10 de l’ENS (surveillance continue et réévaluation périodique). Lorsqu’un écart significatif par rapport aux paramètres préétablis comme normaux se produit (conformément à l’Article 9 de l’ENS, Existence de lignes de défense), les mécanismes de détection, d’analyse et de signalement nécessaires seront établis pour atteindre régulièrement les responsables.

Réponse

CHAKRAY :

  • Établit des mécanismes pour répondre efficacement aux incidents de sécurité.
  • Désigne des points de contact pour les communications concernant les incidents détectés dans d’autres départements ou d’autres organisations.
  • Établit des protocoles pour l’échange d’informations liées à l’incident. Cela comprend les communications, dans les deux sens, avec les Équipes de Réponse aux Urgences Informatiques (CERT).

Conservation

Les informations gérées doivent rester accessibles et utilisables aussi longtemps que nécessaire pour se conformer aux obligations légales, administratives ou contractuelles. Ce principe garantit que l’information n’est pas perdue ou dégradée, et qu’elle peut être récupérée dans des conditions adéquates de qualité, d’intégrité et d’authenticité.

La continuité opérationnelle et la traçabilité des actions de l’organisation doivent être assurées, permettant de répondre aux audits, réclamations ou révisions.

Existence de lignes de défense

Le système d’information de CHAKRAY disposera d’une stratégie de protection constituée de différentes couches, de sorte que lorsqu’une des couches est compromise, elle permette une action appropriée contre les incidents qui n’ont pas pu être évités, réduisant la probabilité que le système soit compromis dans son ensemble, minimisant l’impact final sur celui-ci.

Il existera des lignes de défense constituées de mesures organisationnelles, physiques et logiques.

Surveillance continue et réévaluation périodique

CHAKRAY effectuera une surveillance continue permettant la détection d’activités ou de comportements anormaux et leur réponse opportune.

L’évaluation permanente de l’état de sécurité des actifs permet à CHAKRAY de mesurer son évolution, en détectant les vulnérabilités et en identifiant les déficiences de configuration.

CHAKRAY réévaluera et mettra à jour périodiquement les mesures de sécurité, adaptant leur efficacité à l’évolution des risques et des systèmes de protection, pouvant conduire à une refonte de la sécurité, si nécessaire.

Sécurité par défaut et dès la conception

Les systèmes doivent être conçus et configurés pour garantir la sécurité par défaut. Les systèmes fourniront la fonctionnalité minimale nécessaire pour fournir le service pour lequel ils ont été conçus.

Différenciation des responsabilités

CHAKRAY tiendra compte de la différenciation des responsabilités dans son système d’information, dans la mesure du possible. Le détail des attributions de chaque responsable, les mécanismes de coordination et la résolution des conflits seront détaillés tout au long de cette politique de sécurité.

Exigences minimales

Cette Politique de Sécurité de l’Information complète les politiques de sécurité de CHAKRAY en matière de protection des données à caractère personnel.

Cette Politique de Sécurité sera développée en appliquant les exigences minimales suivantes :

  • Organisation et mise en œuvre du processus de sécurité, conformément au cadre organisationnel défini dans la section 8 de cette Politique.
  • Analyse et gestion des risques, conformément à la procédure PS01 Planification.
  • Gestion du personnel, conformément à la procédure PS09 Gestion du Personnel.
  • Professionnalisme, conformément à la procédure PS09 Gestion du Personnel.
  • Autorisation et contrôle des accès, conformément à la procédure PS03 Contrôle d’Accès.
  • Protection des installations, conformément à la procédure PS08 Protection des Installations.
  • Acquisition de produits, conformément à la procédure PS05 Ressources Externes et Services Cloud.
  • Sécurité par défaut, conformément à la procédure PS04 Exploitation.
  • Intégrité et mise à jour du système, conformément à la procédure PS04 Exploitation.
  • Protection des informations stockées et en transit, conformément aux procédures PS14 Protection de l’Information et PS11 Protection des Communications.
  • Prévention concernant les autres systèmes d’information interconnectés, conformément à la procédure PS05 Ressources Externes et Services Cloud.
  • Journalisation des activités, conformément à la procédure PS04 Exploitation.
  • Incidents de sécurité, conformément à la procédure PS04 Exploitation.
  • Continuité d’activité, conformément à la procédure PS06 Continuité du Service.
  • Amélioration continue du processus de sécurité, conformément à la procédure PG04 Amélioration Continue.

Organisation de la sécurité

La mise en œuvre de la Politique de Sécurité chez CHAKRAY exige que tous les membres de l’organisation comprennent leurs obligations et responsabilités en fonction du poste occupé. Dans le cadre de la Politique de Sécurité de l’Information, chaque rôle spécifique, personnalisé pour des utilisateurs concrets, doit comprendre les implications de ses actions et les responsabilités qui lui sont attribuées, identifiées et détaillées dans cette section, et regroupées comme suit :

  1. Comité de Sécurité de l’Information
  2. Responsables du Service
  3. Responsables de l’Information
  4. Responsable de la Sécurité de l’Information
  5. Responsable du Système

Les sections suivantes précisent les fonctions attribuées à chacun de ces rôles.

Comité de Sécurité de l’Information

La Sécurité de l’Information est une responsabilité organisationnelle partagée avec la Direction Générale. Par conséquent, la Direction Générale de CHAKRAY promeut la composition d’un Comité de Sécurité de l’Information, afin d’établir une ligne définie et un soutien palpable aux initiatives de sécurité.

Le Comité de Sécurité de l’Information coordonne la sécurité de l’information chez CHAKRAY. Ce Comité est composé de chacune des figures précédemment mentionnées.

Ce Comité est composé du Responsable du Service, du Responsable de l’Information, du Responsable de la Sécurité de l’Information et du Responsable du Système, le Responsable de la Sécurité agissant en tant que Secrétaire.

Les fonctions du Comité de Sécurité de l’Information sont les suivantes :

  • Révision et proposition de la Politique de Sécurité de l’Information, pour approbation par la Direction.
  • Révision et proposition des Normes de Sécurité de l’Information pour approbation par la Direction.
  • Informer régulièrement la Direction de l’état de la sécurité de l’information.
  • Promouvoir l’amélioration continue du système de management de la sécurité de l’information.
  • Élaborer la stratégie d’évolution de l’organisation en matière de sécurité de l’information.
  • Coordonner les efforts des différents domaines en matière de sécurité de l’information, pour s’assurer que les efforts sont cohérents, alignés sur la stratégie décidée, et éviter les doublons.
  • Définir et impulser la stratégie et la planification de la sécurité de l’information, en proposant l’allocation budgétaire et les ressources nécessaires.
  • Supervision et contrôle des changements significatifs dans l’exposition des actifs informationnels aux principales menaces, ainsi que du développement et de la mise en œuvre des contrôles et mesures destinés à garantir la Sécurité desdits actifs.
  • Approbation des principales initiatives pour améliorer la Sécurité de l’Information.
  • Promouvoir des mécanismes pour assurer la sensibilisation, l’éducation et la formation en matière de sécurité pour tout le personnel.
  • Coordonner et promouvoir les actions nécessaires liées à la conformité légale et réglementaire en matière de sécurité de l’information.
  • Résoudre les conflits de responsabilité pouvant survenir entre les différents responsables, en escaladant les cas pour lesquels il n’a pas suffisamment d’autorité pour décider.

Responsable de l’Information

  • A le pouvoir d’établir les exigences de sécurité pour les informations gérées. Si ces informations incluent des données personnelles, les exigences découlant de la législation correspondante sur la protection des données doivent également être prises en compte.
  • Détermine les niveaux de sécurité de l’information, effectuant les évaluations d’impact d’un incident qui affecterait la sécurité de l’information, ainsi que les modifications ultérieures nécessaires.
  • Est le Propriétaire du Risque des actifs informationnels essentiels.

Responsable du Service

  • A le pouvoir d’établir les exigences de sécurité pour les services fournis.
  • Détermine les niveaux de sécurité du service, effectuant les évaluations d’impact d’un incident qui l’affecterait, ainsi que les modifications ultérieures nécessaires.
  • Est le Propriétaire du Risque des actifs de services essentiels.

Responsable de la Sécurité de l’Information

Responsable de la définition, de la coordination, de la mise en œuvre et de la vérification de la conformité aux exigences de sécurité de l’information définies conformément aux objectifs stratégiques de la Direction Générale.

Le Responsable de la Sécurité sera le Point de Contact (PoC) en matière de sécurité de l’information et aura les fonctions suivantes :

  • Détermination de la catégorie de sécurité du système, sur la base des évaluations des Responsables de l’Information et du Service.
  • Formaliser et approuver la Déclaration d’Applicabilité, qui inclura les mesures sélectionnées de l’Annexe II de l’ENS, y compris les mesures compensatoires ou complémentaires de surveillance.
  • Analyser les rapports d’Audit concernant les systèmes relevant de sa compétence, et présenter ses conclusions au Responsable du Système et, le cas échéant, au Comité de Sécurité de l’Information.
  • Approuver explicitement les changements impliquant un risque élevé, préalablement à leur mise en œuvre.
  • Est le Propriétaire de tous les actifs de CHAKRAY en ce qui concerne la norme ISO 27001. Dans l’inventaire des actifs, un Gestionnaire d’Actif peut être spécifié, à qui le Propriétaire de l’Actif délègue la prise de décision concernant ledit actif.
  • Présider les réunions du Comité de Sécurité, en informant, proposant et coordonnant leurs activités et décisions.
  • Coordonner et contrôler les mesures de sécurité de l’information et de protection des données chez CHAKRAY.
  • Superviser la mise en œuvre, maintenir, contrôler et vérifier la conformité avec :
    • La stratégie de sécurité de l’information définie par le Comité de Sécurité.
    • Les règles et procédures contenues dans la Politique de Sécurité de l’Information de CHAKRAY et les normes de développement.
  • Superviser (en tant que responsable ultime) les incidents de sécurité informatique survenant chez CHAKRAY.
  • Diffuser chez CHAKRAY les règles et procédures contenues dans la Politique de Sécurité de l’Information de CHAKRAY et les normes de développement, ainsi que les fonctions et obligations de CHAKRAY en matière de sécurité de l’information.
  • Superviser et collaborer aux audits internes ou externes nécessaires pour vérifier le degré de conformité avec la Politique de Sécurité, les normes de développement et les lois applicables telles que le RGPD.
  • Conseiller en matière de sécurité de l’information les différents domaines opérationnels de CHAKRAY.

Responsable du Système

Est ultimement responsable d’assurer l’exécution des mesures pour sécuriser les actifs et services des Systèmes d’Information soutenant l’activité de CHAKRAY, conformément aux objectifs stratégiques de CHAKRAY.

Est le Propriétaire du Risque de tous les actifs, à l’exception des actifs essentiels (Services et Information).

Les fonctions du Responsable du Système d’Information sont les suivantes :

  • Développer la manière concrète de mettre en œuvre la sécurité dans le système et superviser son fonctionnement quotidien, pouvant déléguer aux administrateurs ou opérateurs sous sa responsabilité.
  • Sélectionner et établir les fonctions et obligations des techniciens informatiques chargés de personnifier la gestion de la sécurité des actifs de CHAKRAY, conformément à la stratégie de sécurité définie.
  • Garantir la mise à jour de l’inventaire des actifs des Systèmes d’Information de CHAKRAY.
  • S’assurer qu’il existe le niveau de sécurité informatique approprié pour chaque actif inventorié, en coordonnant le développement, la mise en œuvre, l’adaptation et le fonctionnement corrects des contrôles et mesures destinés à garantir le niveau de protection requis.
  • Garantir que la mise en œuvre de nouveaux systèmes et les modifications des systèmes existants respectent les exigences de sécurité établies chez CHAKRAY.
  • Établir des processus et contrôles de surveillance de l’état de la sécurité permettant la détection des incidents et coordonner leur investigation et résolution.
  • Maintenir et mettre à jour les directives et politiques de sécurité des Systèmes d’Information et les normes associées.

Propriétaire des Actifs

Le propriétaire d’un actif, entendu comme le responsable dudit actif, aura les responsabilités suivantes :

  • Définir si l’actif est affecté par la réglementation applicable en matière de Protection des Données et appliquer, le cas échéant, les procédures correspondantes.
  • S’assurer que le logiciel utilisé est sous licence.
  • Définir qui peut avoir accès à l’information, comment et quand, conformément à la classification de l’information et à la fonction à exercer.
  • S’assurer que l’actif bénéficie d’une maintenance adéquate.
  • S’assurer que le personnel l’informe immédiatement de toute violation de sécurité ou mauvaise utilisation de l’information ou des systèmes. Le propriétaire de l’actif devra à son tour informer le Responsable de la Sécurité pour traiter l’incident.
  • S’assurer que le personnel dispose d’une formation adéquate, connaît et comprend la Politique de Sécurité et met en pratique les directives de sécurité.
  • S’assurer que les supports et équipements contenant des informations sont éliminés conformément aux règles établies.
  • Mettre en œuvre les mesures de sécurité nécessaires dans son domaine pour prévenir les fraudes, vols ou interruptions de service.
  • Maintenir une documentation à jour de toutes les fonctions critiques pour assurer la continuité des opérations en cas d’indisponibilité d’une personne.
  • Informer le Responsable de la Sécurité lorsque des changements de personnel surviennent affectant l’accès à l’information ou aux systèmes (changement de fonction ou de département, départ de l’entreprise) afin que les droits d’accès soient modifiés de manière appropriée.
  • Le cas échéant, s’assurer que le personnel et les sous-traitants ont des clauses de confidentialité dans leurs contrats et sont conscients de leurs responsabilités.

Propriétaire du Risque

Le propriétaire du risque, associé à un ou plusieurs actifs informationnels, aura les responsabilités suivantes :

  • Participer au développement de l’analyse et de l’évaluation des risques effectuées au moins annuellement.
  • Vérifier la conformité avec les niveaux de risque acceptables et collaborer à leur approbation (ceux qui le concernent), ainsi que la gestion des risques associés aux actifs informationnels et des risques dont il est responsable.
  • S’assurer que le personnel l’informe immédiatement de toute violation de sécurité ou mauvaise utilisation de l’information ou des systèmes. Le propriétaire du risque devra à son tour informer le Responsable de la Sécurité pour traiter l’incident.
  • Informer le Responsable de la Sécurité lorsque des changements de personnel, d’organisation ou d’autres actifs informationnels surviennent pouvant impliquer une révision ou mise à jour de l’analyse des risques, ou des droits d’accès attribués.

Procédures de désignation

Les responsabilités suivantes sont désignées par procès-verbal formel :

  • Responsable du Service
  • Responsable de l’Information
  • Responsable de la Sécurité
  • Responsable du Système

Les nominations seront révisées tous les 2 ans ou lorsqu’un des postes devient vacant.

Le Responsable de la Sécurité de l’Information sera nommé par la Direction sur proposition du Comité de Sécurité.

Résolution des conflits

En cas de conflit entre les différents responsables et/ou entre différents services de CHAKRAY, celui-ci sera résolu par leur supérieur hiérarchique avec la médiation du Responsable de la Sécurité. À défaut de ce qui précède, la décision du Comité de Sécurité prévaudra, en escaladant à la Direction les cas pour lesquels il n’a pas suffisamment d’autorité pour décider.

Dans la résolution de ces litiges, les exigences découlant de la protection des données à caractère personnel seront toujours prises en compte.

Données à caractère personnel

CHAKRAY traite des données à caractère personnel.

Tous les systèmes d’information de CHAKRAY se conformeront aux niveaux de sécurité requis par la réglementation en vigueur en matière de Protection des Données à Caractère Personnel, identifiée dans la section 5. Cadre réglementaire, de cette Politique de Sécurité de l’Information.

Tout utilisateur interne ou externe qui, en vertu de son activité professionnelle, pourrait avoir accès à des données à caractère personnel, est tenu de garder le secret sur celles-ci, devoir qui sera maintenu indéfiniment, même au-delà de la relation de travail ou professionnelle avec CHAKRAY.

Objectifs de sécurité

La Direction de CHAKRAY établira des objectifs et des buts orientés vers l’évaluation de la performance en matière de sécurité de l’information, ainsi que l’amélioration continue de ses activités, réglementées dans le Système de Management de la Sécurité de l’Information développé par cette politique.

Amélioration continue du Système de Sécurité de l’Information

CHAKRAY garantit une analyse continue de tous les processus pertinents, en établissant les améliorations appropriées dans chaque cas, en fonction des résultats obtenus et des objectifs établis.

La Direction de CHAKRAY s’engage à l’amélioration continue du Système de Management de la Sécurité de l’Information développé par cette politique.

Gestion des risques

Pour tous les systèmes soumis à cette Politique de Sécurité de l’Information, une évaluation périodique des risques auxquels ils sont exposés doit être effectuée. Cette analyse sera répétée :

  • Régulièrement, au moins une fois par an
  • Lorsque les informations gérées changent
  • Lorsque les services fournis changent
  • Lorsqu’un incident de sécurité grave survient
  • Lorsque des vulnérabilités graves sont signalées

Pour l’harmonisation des analyses de risques, le Comité de Sécurité établira une évaluation de référence pour les différents types d’informations gérées et les différents services fournis. Le Comité de Sécurité dynamisera la disponibilité des ressources pour répondre aux besoins de sécurité des différents systèmes, en promouvant des investissements de caractère horizontal.

Structuration de la documentation

Les directives pour la structuration, la gestion et l’accès à la documentation de sécurité du SMSI de CHAKRAY sont définies dans la procédure « PG01 Contrôle de la documentation ».

Un cadre réglementaire en matière de sécurité de l’information a été établi, structuré à différents niveaux, de sorte que les principes et objectifs fixés dans la politique de sécurité de l’institution aient un développement spécifique :

  • Premier niveau : cette Politique de Sécurité de l’Information, qui doit être approuvée par la Direction de CHAKRAY sur proposition du Comité de Sécurité.
  • Deuxième niveau : les normes de sécurité de l’information approuvées par la Direction de CHAKRAY. Celles-ci établiront des règles d’utilisation acceptable des systèmes d’information.
  • Troisième niveau : les procédures de sécurité de l’information, qui détailleront la manière correcte d’effectuer certains processus afin de protéger la sécurité et l’information à tout moment. Ces procédures doivent être approuvées par le Comité de Sécurité.
  • Quatrième niveau : normes de sécurité, instructions techniques, bonnes pratiques, recommandations, guides, cours de formation, présentations, etc. Ces documents doivent être approuvés par le Comité de Sécurité.

Les documents composant le SMSI sont disponibles en format numérique pour tout le personnel qui en a besoin pour l’exercice des fonctions liées à son poste de travail. Ils seront disponibles pour consultation, sans possibilité de modification.

Classification de l’information

Pour classifier l’information de CHAKRAY, on se conformera à ce qui est légalement établi par les lois et traités internationaux dont l’Espagne est membre et leurs réglementations applicables lorsqu’il s’agit de matières classifiées.

Tant le responsable de chaque information traitée par le système que les critères de classification de l’information, qui détermineront le niveau de sécurité requis, sont établis dans la procédure PS14 Protection de l’Information.

Obligations du personnel

Tous les membres de CHAKRAY ont l’obligation de connaître et de respecter cette Politique de Sécurité de l’Information et les Normes de Sécurité, le Comité de Sécurité étant responsable de fournir les moyens nécessaires pour que l’information parvienne aux personnes concernées.

Les membres de CHAKRAY recevront une formation en matière de sécurité de l’information au moins une fois par an. Un programme de sensibilisation continue sera établi pour s’adresser à tous les membres de CHAKRAY, en particulier les nouvelles recrues.

Les personnes ayant des responsabilités dans l’utilisation, l’exploitation ou l’administration des systèmes TIC recevront une formation pour la manipulation sécurisée des systèmes dans la mesure où elles en ont besoin pour effectuer leur travail. La formation sera obligatoire avant d’assumer une responsabilité, qu’il s’agisse de leur première affectation ou d’un changement de poste ou de responsabilités.

Tiers, prestataires de services et fournisseurs de solutions

Lorsque CHAKRAY fournit des services à d’autres entités ou traite des informations d’autres entités, celles-ci seront informées de cette Politique de Sécurité de l’Information, sans préjudice du respect des obligations réglementaires en matière de protection des données si elle agit en tant que sous-traitant dans la prestation desdits services, et des canaux seront établis pour le signalement et la coordination des Comités de Sécurité respectifs et des procédures d’action pour la réponse aux incidents de sécurité. De plus, le Responsable de la Sécurité (ou la personne déléguée) sera le Point de Contact (POC).

Lorsque CHAKRAY utilise des services tiers ou transfère des informations à des tiers, ceux-ci seront informés de cette Politique de Sécurité et des Normes de Sécurité relatives auxdits services ou informations, sans préjudice du respect d’autres obligations en matière de protection des données. Lors de la passation de marchés avec des prestataires de services ou de l’acquisition de produits, l’obligation du contractant de se conformer à l’ENS sera prise en compte.

Ces tiers seront soumis aux obligations établies dans ladite réglementation, pouvant développer leurs propres procédures opérationnelles pour les satisfaire, de sorte que CHAKRAY puisse les superviser ou demander des preuves de conformité, y compris des audits de seconde ou tierce partie. Des procédures spécifiques de signalement et de résolution d’incidents seront établies, qui devront être acheminées par le POC des tiers impliqués et, en plus, lorsque des données personnelles sont affectées, par le Délégué à la Protection des Données. Les tiers garantiront que leur personnel est adéquatement sensibilisé en matière de sécurité, au moins au même niveau que celui établi dans cette Politique ou celui spécifiquement exigé dans le contrat.

Lorsqu’un aspect de la Politique ne peut être satisfait par un tiers comme requis dans les paragraphes précédents, le Responsable de la Sécurité émettra un rapport précisant les risques encourus et la manière de les traiter. L’approbation de ce rapport par les responsables des informations et services affectés sera requise avant le début du contrat ou, le cas échéant, de l’attribution. Le rapport sera transmis au représentant de l’entité qui devra autoriser la poursuite du processus de passation de marché avec le tiers, en assumant les risques détectés.

Lorsque l’entité acquiert, développe ou implémente un système d’Intelligence Artificielle, en plus de se conformer aux réglementations en vigueur en la matière, elle devra disposer du rapport du Responsable de la Sécurité, qui consultera le Responsable de l’Information et du Service et, si nécessaire, celui du Système, le Délégué à la Protection des Données devant également émettre son avis.

Gestion des incidents de sécurité

CHAKRAY disposera d’une procédure pour la gestion agile des événements et incidents de sécurité constituant une menace pour l’information et les services. Cette procédure sera intégrée avec d’autres relatives aux incidents de sécurité d’autres réglementations sectorielles telles que la protection des données personnelles ou d’autres affectant l’organisme pour coordonner la réponse depuis différentes approches et communiquer aux différents organismes de contrôle sans retard injustifié et, si nécessaire, aux Forces de l’Ordre ou aux tribunaux.

Non-conformité

Le non-respect de cette Politique de Sécurité de l’Information peut entraîner l’initiation de mesures disciplinaires appropriées, sans préjudice des responsabilités légales correspondantes.

Révision de la Politique de Sécurité de l’Information

Cette politique sera révisée annuellement et en cas de changements significatifs dans le Système de Management de la Sécurité de l’Information de CHAKRAY.

Parlez avec un de nos experts dès aujourd'hui!

Contactez notre équipe et découvrez les technologies de pointe qui dynamiseront votre entreprise.

Contactez-nous