La Dirección de AMADEO MARTÍ CARBONELL, S.A. (AMC), que opera en el sector de la automoción, está comprometida con la preservación de la confidencialidad, integridad y disponibilidad de toda la información que procesa y almacena, así como de los activos de información que soportan los procesos de negocio.
AMC mantiene un Sistema de Gestión de Seguridad de la Información (SGSI) cuyo alcance comprende los procesos definidos en el documento “D01 Alcance del SGSI” y enmarcado dentro del contexto de la organización, su actividad y las partes relevantes para el SGSI. El SGSI que AMC tiene implantado cumple con los requerimientos establecidos en la norma internacional ISO/IEC 27001:2022.
La información y requisitos de seguridad de la información se deben mantener y se mantienen siempre alineados con los objetivos organizacionales y deben cumplir las leyes y regulaciones aplicables así como las obligaciones contractuales contraídas. El SGSI es el mecanismo propicio para reducir los riesgos relacionados con la información a niveles aceptables. Tanto esta política, como el SGSI en su conjunto, se monitorizan y revisan periódicamente con el objetivo de garantizar la mejora continua de los mismos.
La Dirección establece que todo el personal en el alcance del SGSI debe cumplir con esta política de seguridad y debe conocer los procedimientos documentados de seguridad de la información definidos o debe saber cómo localizarlos rápidamente en caso de ser necesario.
Los objetivos de seguridad de la información de AMC se centran garantizar la disponibilidad de los sistemas de información de su centro de proceso de datos, así como la integridad y confidencialidad de los datos que se procesan y almacenan.
Todo el personal de AMC en el alcance de este SGSI está formado en seguridad de la información y buenas prácticas. Los responsables del sistema tienen formación especializada referente a seguridad de la información con el objetivo de proporcionar al cliente de AMC un servicio excelente así como mantener unos estándares de seguridad interna sobresalientes.
Todo el personal de AMC debe conocer y aceptar el cumplimiento de las buenas prácticas de seguridad de la información de la organización.
Finalmente, la Dirección de AMC asume el liderazgo principal en la supervisión del SGSI, al tratarse de un elemento estratégico en la consecución de sus objetivos de negocio; y entiende la implantación del Sistema de Gestión de la Seguridad de la Información como un compromiso con la seguridad de los procesos de la organización
El Alcance General de los sistemas de información asociados a los procesos de negocio que están sujetos a certificación de la norma UNE ISO/IEC 27001 es el siguiente: Sistema de Gestión de Seguridad de la Información para garantizar la trazabilidad, integridad, disponibilidad y confidencialidad de los sistemas que soportan el negocio, y en particular el área de ingeniería en el diseño, desarrollo y fabricación tanto de prototipos como series de piezas, según Declaración de aplicabilidad vigente.
La Dirección de la organización se compromete a facilitar y proporcionar los recursos necesarios para el establecimiento, implantación, mantenimiento y mejora del Sistema de Gestión de la Seguridad de la Información, así como a demostrar liderazgo y compromiso respecto a este, a través de la constitución del Comité de Seguridad, de sus funciones y responsabilidades. Es misión de esta Dirección:
Este compromiso se extiende a las partes interesadas descritas en el contexto del SGSI, para satisfacer sus intereses y expectativas en seguridad de la información.
A nivel estratégico, la seguridad de la información contará con el compromiso y apoyo de todos los niveles directivos de la organización, de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas y sus requisitos de ejecución, para conformar un marco de trabajo completamente coherente y eficaz.
La organización está sujeto, a título enunciativo y no limitativo, a las siguientes normativas y regulaciones:
La organización, para lograr el cumplimiento de su cuerpo principal (ISO 27001) y de su anexo A (ISO 27002), que recogen los principios básicos y de los requisitos mínimos, ha implementado diversas medidas de seguridad proporcionales a la naturaleza de la información y los servicios a proteger y teniendo en cuenta su análisis de riesgos y su declaración de aplicabilidad.
Todos los miembros de la organización tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de la organización atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de la organización, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.