Sistemas de Gestión

Política de Calidad, Medio Ambiente y Seguridad y Salud en el Trabajo (ISO 9001, 14001 y 45001)

“Como respuesta a las necesidades de la organización en materia de control y aseguramiento de los activos de información relacionados con sus procesos críticos de negocio, la Dirección de Bael Ingeniería, comprometida y preocupada por la seguridad de la información, manifiesta expresamente su intención de desarrollar, implantar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información (SGSI) que le permita alcanzar sus objetivos en esta materia y mejorarlo de forma continuada.

El Sistema de Gestión de Seguridad de la Información tiene dos objetivos:

  • Cumplir con los requisitos de servicio y legales de los clientes y trabajadores de la organización.
  • Hacer que Bael sea un referente dentro del sector en su ámbito de actuación por desarrollar en la organización una cultura de seguridad de la información, de manera que sea un elemento que distinga a Bael dentro de las empresas del sector de la ingeniería y consultoría de comunicaciones.

Como marco de referencia para los objetivos del Sistema de Gestión de Seguridad de la Información se tendrán en cuenta dos vertientes que para la empresa tienen una importancia capital: asegurar la disponibilidad e integridad de la información, permitiendo su restauración inmediata en caso de pérdida, y garantizar la confidencialidad de los datos de nuestros clientes.

Para ello la Dirección realiza importantes inversiones en sus instalaciones para disponer de una plataforma informática y de comunicaciones adecuada a nuestras necesidades, así como para garantizar su seguridad. Estas inversiones incluyen la evolución tecnológica de los sistemas, garantizando que estos no quedan obsoletos e innovando para conseguir mayores cotas de seguridad.

Para la evaluación de los riesgos existentes en la organización se utilizará una metodología adecuada a las características de los activos de información de la empresa, que sea capaz de reflejar de manera fidedigna el riesgo soportado. De esta manera, la metodología que se va a emplear para tal fin será MAGERIT, metodología promovida por el Consejo Superior de Administración Electrónica.

Los objetivos de aceptación de riesgo estarán orientados principalmente hacia garantizar la confidencialidad, integridad y disponibilidad de los activos relacionados con la gestión de información de los clientes, tanto a nivel comercial como a nivel de proyectos, así como eliminar los riesgos legales que puedan afectar a los activos de información almacenados por la organización, garantizando en particular el cumplimiento de la normativa vigente de Protección de Datos.

Los responsables de la organización se comprometen a garantizar la comprensión e implicación de todo el personal en el logro de los objetivos del Sistema de Gestión de Seguridad de la Información.

Esta Política de Seguridad mantenida, actualizada y adecuada a los fines de la organización y de acuerdo con la gestión de riesgos de la compañía.”

 

 

Política de Seguridad de la Información (ISO 27001)

 

“Como respuesta a las necesidades de la organización en materia de control y aseguramiento de los activos de información relacionados con sus procesos críticos de negocio, la Dirección de Bael Ingeniería, comprometida y preocupada por la seguridad de la información, manifiesta expresamente su intención de desarrollar, implantar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información (SGSI) que le permita alcanzar sus objetivos en esta materia y mejorarlo de forma continuada.

El Sistema de Gestión de Seguridad de la Información tiene dos objetivos:

  • Cumplir con los requisitos de servicio y legales de los clientes y trabajadores de la organización.
  • Hacer que Bael sea un referente dentro del sector en su ámbito de actuación por desarrollar en la organización una cultura de seguridad de la información, de manera que sea un elemento que distinga a Bael dentro de las empresas del sector de la ingeniería y consultoría de comunicaciones.

Como marco de referencia para los objetivos del Sistema de Gestión de Seguridad de la Información se tendrán en cuenta dos vertientes que para la empresa tienen una importancia capital: asegurar la disponibilidad e integridad de la información, permitiendo su restauración inmediata en caso de pérdida, y garantizar la confidencialidad de los datos de nuestros clientes.

Para ello la Dirección realiza importantes inversiones en sus instalaciones para disponer de una plataforma informática y de comunicaciones adecuada a nuestras necesidades, así como para garantizar su seguridad. Estas inversiones incluyen la evolución tecnológica de los sistemas, garantizando que estos no quedan obsoletos e innovando para conseguir mayores cotas de seguridad.

Para la evaluación de los riesgos existentes en la organización se utilizará una metodología adecuada a las características de los activos de información de la empresa, que sea capaz de reflejar de manera fidedigna el riesgo soportado. De esta manera, la metodología que se va a emplear para tal fin será MAGERIT, metodología promovida por el Consejo Superior de Administración Electrónica.

Los objetivos de aceptación de riesgo estarán orientados principalmente hacia garantizar la confidencialidad, integridad y disponibilidad de los activos relacionados con la gestión de información de los clientes, tanto a nivel comercial como a nivel de proyectos, así como eliminar los riesgos legales que puedan afectar a los activos de información almacenados por la organización, garantizando en particular el cumplimiento de la normativa vigente de Protección de Datos.

Los responsables de la organización se comprometen a garantizar la comprensión e implicación de todo el personal en el logro de los objetivos del Sistema de Gestión de Seguridad de la Información.

Esta Política de Seguridad mantenida, actualizada y adecuada a los fines de la organización y de acuerdo con la gestión de riesgos de la compañía.”

 

 

Política de Gestión del Servicio (ISO 20.000-1)

 

Alcance del sistema de gestión

El alcance de la implantación del sistema de gestión del servicio se encuentra definido en el Manual de SGI, provistos por el Área Técnica de BAEL INGENIERÍA.

El detalle del servicio brindado dentro del presente alcance se encuentra en el Catálogo de Servicios.

La lista de partes interesadas incluidas en el alcance de la implantación puede encontrarse en el Plan de Gestión de la Relación con el Negocio.

 

Requisitos del servicio

La definición de los requisitos del servicio está acordada con el cliente y detallada de manera clara y concisa. Todas las decisiones y acciones de la gestión del servicio están orientadas al cumplimiento de los requisitos acordados. Son además entradas al diseño y revisión de la planificación de procesos, los requisitos legales, regulatorios y contractuales.

BAEL INGENIERÍA establece la provisión del servicio, está basada en las necesidades del negocio y que los requisitos que se definan en el diseño de esta provisión son comunicados al personal con responsabilidades en la gestión del servicio en forma de políticas, procesos, procedimientos, acciones de concienciación, logro de objetivos, etc.

 

Compromiso de la dirección

La dirección de BAEL INGENIERÍA tiene un fuerte compromiso con la calidad del servicio, el que se evidencia a través de la definición y aprobación de la presente política y del aporte demostrable de recursos humanos, técnicos y económicos para el desarrollo y la provisión del servicio.

Esta dirección se asegura, además, de la realización de revisiones periódica del rendimiento del servicio, del cumplimiento de los objetivos del servicio, de las incidencias, de auditorías y por la revisión del sistema de gestión del servicio por la dirección.

 

Representante de la dirección

El Responsable del Servicio tiene total autoridad y responsabilidad sobre el sistema de gestión del servicio. Entre sus responsabilidades se encuentran:

  • Identificar, documentar y cumplir los requisitos del servicio
  • Asignar la autoridad y responsabilidad sobre los procesos del sistema de gestión
  • Cumplir requisitos legales, regulatorios y contractuales de la gestión de activos en la prestación del servicio
  • Informar y reportar a la alta dirección del rendimiento y la mejora del sistema de gestión del servicio y del servicio.

 

Objetivos de la gestión del servicio

Los objetivos del servicio serán definidos y gestionados en un período anual, que los hará coincidir con el ciclo de planificación de presupuestos. Así se garantiza la provisión de recursos necesarios para el logro de las mejoras. Los objetivos deben ser medibles, haber identificado el nivel actual y definir el nivel asumible de mejora, estar alineados con los requisitos del negocio, aprobados por la dirección, e incluidos en el informe anual de gestión del servicio para el cliente.

Los objetivos de la gestión del servicio están documentados en el Plan de Gestión del Servicio indicando cómo serán conseguidos detallando las actividades necesarias, sus responsables, los plazos, presupuesto y los registros utilizados para la evidencia del logro.

La revisión de los objetivos de la gestión del servicio se realiza trimestralmente, junto con la revisión del Plan de Gestión del Servicio. En este proceso se verifica el cumplimiento del plan de actividades de los objetivos, los recursos necesarios y si continúan siendo válidos respecto de los requisitos del negocio.

En el caso de que los objetivos se modifiquen tras su revisión, se aplica el Procedimiento de Gestión del Cambio.

 

 

Política de mejora del servicio

La política de mejora del servicio del Área Técnica establece:

  • La mejora continua de la eficacia del sistema de gestión del servicio y del servicio.
  • Incorporar a los procesos las mejores prácticas para alinearlos con lo establecido en la norma de referencia.
  • Incrementar el nivel de proactividad en la entrega del servicio y su percepción por parte del cliente.
  • Alcanzar y mejorar el entendimiento de la relación con el cliente al que se presta el servicio.
  • Lograr que la prestación del servicio sea medible de manera de facilitar la toma de decisiones informadas.
  • La revisión anual de las mediciones de nivel de servicio, su comparación con mediciones históricas y la obtención de la opinión del cliente para definir la necesidad de realizar cambios en el servicio.
  • Revisar el Plan de Mejora del Servicio semestralmente para priorizar acciones y valorar beneficios y plazos.

Las sugerencias para la mejora del servicio se recogen de diversas fuentes tales como el cliente, los suministradores, equipo técnico, valoración del riesgo y reportes del servicio. Cuando se identifican las oportunidades de mejora se documentan en el Plan de Mejora del Servicio y evaluadas por el responsable de la mejora continua del servicio según el siguiente criterio:

  • Coste
  • Beneficio para el negocio
  • Riesgo
  • Plazo de implantación
  • Necesidad de recursos

El detalle puede verse en el Proceso de Mejora Continua del Servicio.

 

Enfoque de la gestión del riesgo

La gestión del riesgo dentro del sistema de gestión del servicio, se realiza a diferentes niveles y profundidad:

  • Riesgo sobre el logro de objetivos del servicio en el Plan de Gestión del Servicio.
  • Riesgos en el proyecto como parte del proceso de Diseño y Transición de Servicios Nuevos o Modificados.
  • Riesgos sobre cambios en el Proceso de Gestión del Cambio.

Se consideran otras gestiones del riesgo que se encuentran resueltas desde la integración del Proceso de Gestión de la Seguridad de la Información y del Proceso de Gestión de la Disponibilidad y Continuidad del Servicio con el SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI) según norma UNE-ISO/IEC 27001:2014 del que BAEL INGENIERÍA cuenta con certificado [SI-0066/2009].

  • Valoración de riesgos
  • Plan de tratamiento
  • Plan de continuidad del negocio
  • Gestión del cambio

 

Recursos humanos

El Área Técnica de BAEL INGENIERÍA se asegura que todo el personal relacionado en la gestión del servicio cuenta con los requisitos necesarios para sus perfiles y puestos de trabajo en relación a la formación y capacitación.

Estos requisitos se revisan anualmente en la reunión de revisión por la Dirección, se determina su validez y la necesidad de formación y capacitación.

Los registros de las acciones formativas planificadas y efectuadas por el personal del Área Técnica y su eficacia se mantienen en el AREA DE ADMINISTRACIÓN.

 

Auditoría y revisión

La revisión y la auditoría del sistema de gestión del servicio es esencial, además de un requisito, para la detección de desviaciones y su corrección para el debido cumplimiento de las políticas, procesos y procedimientos.

Estas revisiones y auditorías se implementan como:

  • Auditoría interna para el cumplimiento de la norma de referencia.
  • Auditoría externa para la certificación del sistema de gestión del servicio.

El detalle de la realización de las auditorías internas se recoge en el Procedimiento de Auditoría del Sistema de Gestión del Servicio.

 

Política documental

Todas las políticas, planes, procesos y procedimientos que forman parte del Sistema de Gestión del Servicio están documentadas. El detalle de cómo se revisan, aprueban y distribuyen estos documentos se recoge en el Procedimiento de Control Documental.

Este procedimiento procura que todos los documentos del Sistema de Gestión del Servicio se identifiquen de manera unívoca, tracen sus versiones y se aprueben.

 

Control de registros

El control y cuidado de los registros del Sistema de Gestión del Servicio es vital para aportar las evidencias de las actividades de gestión para el cumplimiento normativo. La forma en la que se controlan los registros del Sistema de Gestión se define en el Procedimiento de Control de Registros.

 

Si quiere más información sobre nuestros servicios contacte con nosotros

Contact