Política de Calidad, Medio Ambiente y Seguridad y Salud en el Trabajo (ISO 9001, 14001 y 45001)
“Como respuesta a las necesidades de la organización en materia de control y aseguramiento de los activos de información relacionados con sus procesos críticos de negocio, la Dirección de Bael Ingeniería, comprometida y preocupada por la seguridad de la información, manifiesta expresamente su intención de desarrollar, implantar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información (SGSI) que le permita alcanzar sus objetivos en esta materia y mejorarlo de forma continuada.
El Sistema de Gestión de Seguridad de la Información tiene dos objetivos:
Como marco de referencia para los objetivos del Sistema de Gestión de Seguridad de la Información se tendrán en cuenta dos vertientes que para la empresa tienen una importancia capital: asegurar la disponibilidad e integridad de la información, permitiendo su restauración inmediata en caso de pérdida, y garantizar la confidencialidad de los datos de nuestros clientes.
Para ello la Dirección realiza importantes inversiones en sus instalaciones para disponer de una plataforma informática y de comunicaciones adecuada a nuestras necesidades, así como para garantizar su seguridad. Estas inversiones incluyen la evolución tecnológica de los sistemas, garantizando que estos no quedan obsoletos e innovando para conseguir mayores cotas de seguridad.
Para la evaluación de los riesgos existentes en la organización se utilizará una metodología adecuada a las características de los activos de información de la empresa, que sea capaz de reflejar de manera fidedigna el riesgo soportado. De esta manera, la metodología que se va a emplear para tal fin será MAGERIT, metodología promovida por el Consejo Superior de Administración Electrónica.
Los objetivos de aceptación de riesgo estarán orientados principalmente hacia garantizar la confidencialidad, integridad y disponibilidad de los activos relacionados con la gestión de información de los clientes, tanto a nivel comercial como a nivel de proyectos, así como eliminar los riesgos legales que puedan afectar a los activos de información almacenados por la organización, garantizando en particular el cumplimiento de la normativa vigente de Protección de Datos.
Los responsables de la organización se comprometen a garantizar la comprensión e implicación de todo el personal en el logro de los objetivos del Sistema de Gestión de Seguridad de la Información.
Esta Política de Seguridad mantenida, actualizada y adecuada a los fines de la organización y de acuerdo con la gestión de riesgos de la compañía.”
Política de Seguridad de la Información (ISO 27001)
“Como respuesta a las necesidades de la organización en materia de control y aseguramiento de los activos de información relacionados con sus procesos críticos de negocio, la Dirección de Bael Ingeniería, comprometida y preocupada por la seguridad de la información, manifiesta expresamente su intención de desarrollar, implantar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información (SGSI) que le permita alcanzar sus objetivos en esta materia y mejorarlo de forma continuada.
El Sistema de Gestión de Seguridad de la Información tiene dos objetivos:
Como marco de referencia para los objetivos del Sistema de Gestión de Seguridad de la Información se tendrán en cuenta dos vertientes que para la empresa tienen una importancia capital: asegurar la disponibilidad e integridad de la información, permitiendo su restauración inmediata en caso de pérdida, y garantizar la confidencialidad de los datos de nuestros clientes.
Para ello la Dirección realiza importantes inversiones en sus instalaciones para disponer de una plataforma informática y de comunicaciones adecuada a nuestras necesidades, así como para garantizar su seguridad. Estas inversiones incluyen la evolución tecnológica de los sistemas, garantizando que estos no quedan obsoletos e innovando para conseguir mayores cotas de seguridad.
Para la evaluación de los riesgos existentes en la organización se utilizará una metodología adecuada a las características de los activos de información de la empresa, que sea capaz de reflejar de manera fidedigna el riesgo soportado. De esta manera, la metodología que se va a emplear para tal fin será MAGERIT, metodología promovida por el Consejo Superior de Administración Electrónica.
Los objetivos de aceptación de riesgo estarán orientados principalmente hacia garantizar la confidencialidad, integridad y disponibilidad de los activos relacionados con la gestión de información de los clientes, tanto a nivel comercial como a nivel de proyectos, así como eliminar los riesgos legales que puedan afectar a los activos de información almacenados por la organización, garantizando en particular el cumplimiento de la normativa vigente de Protección de Datos.
Los responsables de la organización se comprometen a garantizar la comprensión e implicación de todo el personal en el logro de los objetivos del Sistema de Gestión de Seguridad de la Información.
Esta Política de Seguridad mantenida, actualizada y adecuada a los fines de la organización y de acuerdo con la gestión de riesgos de la compañía.”
Política de Gestión del Servicio (ISO 20.000-1)
Alcance del sistema de gestión
El alcance de la implantación del sistema de gestión del servicio se encuentra definido en el Manual de SGI, provistos por el Área Técnica de BAEL INGENIERÍA.
El detalle del servicio brindado dentro del presente alcance se encuentra en el Catálogo de Servicios.
La lista de partes interesadas incluidas en el alcance de la implantación puede encontrarse en el Plan de Gestión de la Relación con el Negocio.
Requisitos del servicio
La definición de los requisitos del servicio está acordada con el cliente y detallada de manera clara y concisa. Todas las decisiones y acciones de la gestión del servicio están orientadas al cumplimiento de los requisitos acordados. Son además entradas al diseño y revisión de la planificación de procesos, los requisitos legales, regulatorios y contractuales.
BAEL INGENIERÍA establece la provisión del servicio, está basada en las necesidades del negocio y que los requisitos que se definan en el diseño de esta provisión son comunicados al personal con responsabilidades en la gestión del servicio en forma de políticas, procesos, procedimientos, acciones de concienciación, logro de objetivos, etc.
Compromiso de la dirección
La dirección de BAEL INGENIERÍA tiene un fuerte compromiso con la calidad del servicio, el que se evidencia a través de la definición y aprobación de la presente política y del aporte demostrable de recursos humanos, técnicos y económicos para el desarrollo y la provisión del servicio.
Esta dirección se asegura, además, de la realización de revisiones periódica del rendimiento del servicio, del cumplimiento de los objetivos del servicio, de las incidencias, de auditorías y por la revisión del sistema de gestión del servicio por la dirección.
Representante de la dirección
El Responsable del Servicio tiene total autoridad y responsabilidad sobre el sistema de gestión del servicio. Entre sus responsabilidades se encuentran:
Objetivos de la gestión del servicio
Los objetivos del servicio serán definidos y gestionados en un período anual, que los hará coincidir con el ciclo de planificación de presupuestos. Así se garantiza la provisión de recursos necesarios para el logro de las mejoras. Los objetivos deben ser medibles, haber identificado el nivel actual y definir el nivel asumible de mejora, estar alineados con los requisitos del negocio, aprobados por la dirección, e incluidos en el informe anual de gestión del servicio para el cliente.
Los objetivos de la gestión del servicio están documentados en el Plan de Gestión del Servicio indicando cómo serán conseguidos detallando las actividades necesarias, sus responsables, los plazos, presupuesto y los registros utilizados para la evidencia del logro.
La revisión de los objetivos de la gestión del servicio se realiza trimestralmente, junto con la revisión del Plan de Gestión del Servicio. En este proceso se verifica el cumplimiento del plan de actividades de los objetivos, los recursos necesarios y si continúan siendo válidos respecto de los requisitos del negocio.
En el caso de que los objetivos se modifiquen tras su revisión, se aplica el Procedimiento de Gestión del Cambio.
Política de mejora del servicio
La política de mejora del servicio del Área Técnica establece:
Las sugerencias para la mejora del servicio se recogen de diversas fuentes tales como el cliente, los suministradores, equipo técnico, valoración del riesgo y reportes del servicio. Cuando se identifican las oportunidades de mejora se documentan en el Plan de Mejora del Servicio y evaluadas por el responsable de la mejora continua del servicio según el siguiente criterio:
El detalle puede verse en el Proceso de Mejora Continua del Servicio.
Enfoque de la gestión del riesgo
La gestión del riesgo dentro del sistema de gestión del servicio, se realiza a diferentes niveles y profundidad:
Se consideran otras gestiones del riesgo que se encuentran resueltas desde la integración del Proceso de Gestión de la Seguridad de la Información y del Proceso de Gestión de la Disponibilidad y Continuidad del Servicio con el SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI) según norma UNE-ISO/IEC 27001:2014 del que BAEL INGENIERÍA cuenta con certificado [SI-0066/2009].
Recursos humanos
El Área Técnica de BAEL INGENIERÍA se asegura que todo el personal relacionado en la gestión del servicio cuenta con los requisitos necesarios para sus perfiles y puestos de trabajo en relación a la formación y capacitación.
Estos requisitos se revisan anualmente en la reunión de revisión por la Dirección, se determina su validez y la necesidad de formación y capacitación.
Los registros de las acciones formativas planificadas y efectuadas por el personal del Área Técnica y su eficacia se mantienen en el AREA DE ADMINISTRACIÓN.
Auditoría y revisión
La revisión y la auditoría del sistema de gestión del servicio es esencial, además de un requisito, para la detección de desviaciones y su corrección para el debido cumplimiento de las políticas, procesos y procedimientos.
Estas revisiones y auditorías se implementan como:
El detalle de la realización de las auditorías internas se recoge en el Procedimiento de Auditoría del Sistema de Gestión del Servicio.
Política documental
Todas las políticas, planes, procesos y procedimientos que forman parte del Sistema de Gestión del Servicio están documentadas. El detalle de cómo se revisan, aprueban y distribuyen estos documentos se recoge en el Procedimiento de Control Documental.
Este procedimiento procura que todos los documentos del Sistema de Gestión del Servicio se identifiquen de manera unívoca, tracen sus versiones y se aprueben.
Control de registros
El control y cuidado de los registros del Sistema de Gestión del Servicio es vital para aportar las evidencias de las actividades de gestión para el cumplimiento normativo. La forma en la que se controlan los registros del Sistema de Gestión se define en el Procedimiento de Control de Registros.