Pol\u00edtica de seguridad de la informaci\u00f3n<\/h1>\n
LISTA DE ACR\u00d3NIMOS<\/strong><\/p>\n BIM: Building Information Modeling La Direcci\u00f3n Ejecutiva de INGECID S.L. (en adelante INGECID), en el marco de su competencia general e indelegable de determinar las pol\u00edticas y estrategias generales de la organizaci\u00f3n aprueba la presente pol\u00edtica.<\/p>\n El objeto de esta pol\u00edtica es definir y establecer los principios, criterios y objetivos de mejora que rigen las actuaciones en materia de Seguridad de la Informaci\u00f3n (SI) de los sistemas de INGECID que se encuentran sujetos al Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) y en el alcance del Real Decreto 311\/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) \u200b[1]\u200b.<\/p>\n La presente pol\u00edtica se aplica a todos los sistemas de informaci\u00f3n de INGECID, a las personas que conforman su organizaci\u00f3n y a sus prestadores de servicios o proveedores de soluciones Tecnolog\u00edas de la Informaci\u00f3n y la Comunicaci\u00f3n (TIC).<\/p>\n Por lo tanto, esta pol\u00edtica se circunscribe a los servicios y sistemas de INGECID, incluidos en el alcance del SGSI, y que dan cobertura al cumplimiento de los requisitos y medidas de seguridad establecidas en el ENS \u200b[1]\u200b, es decir, a los sistemas de informaci\u00f3n que dan soporte a los servicios de:<\/p>\n La misi\u00f3n de INGECID se encuentra recogida en el documento SGI-04 Misi\u00f3n, prop\u00f3sito y estrategia\u200b [2]\u200b, publicado en la web de la organizaci\u00f3n (www.ingecid.es).<\/p>\n Por otro lado, los objetivos en materia de seguridad que INGECID pretende garantizar con la presente pol\u00edtica son:<\/p>\n Esta pol\u00edtica de seguridad se establece de acuerdo con los principios b\u00e1sicos de seguridad establecidos en el art\u00edculo 5 del ENS \u200b[1]\u200b, es decir:<\/p>\n De acuerdo con lo establecido en el art\u00edculo 12 del ENS \u200b[1]\u200b y en proporci\u00f3n a los riesgos identificados en cada sistema, dichos principios se desarrollan aplicando los siguientes requisitos m\u00ednimos:<\/p>\n La principal normativa que afectan a esta pol\u00edtica es el Real Decreto 311\/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) \u200b[1]\u200b.<\/p>\n Adem\u00e1s, dentro del proceso PC-ES-02 An\u00e1lisis de Contexto \u200b[3]\u200b, INGECID lleva a cabo el registro sistem\u00e1tico de identificaci\u00f3n y evaluaci\u00f3n de requisitos legales y otros requisitos aplicables. Este registro permite identificar, analizar y verificar el grado de adecuaci\u00f3n y cumplimiento de toda la legislaci\u00f3n vigente, entre otras, en materia de seguridad de la informaci\u00f3n que afecta a la organizaci\u00f3n.<\/p>\n Por \u00faltimo, tambi\u00e9n se consideran de forma expresa los requisitos contractuales derivados de acuerdos con clientes y proveedores, especialmente aquellos que imponen exigencias espec\u00edficas en materia de seguridad y privacidad de la informaci\u00f3n, garantizando su integraci\u00f3n en SGSI de la empresa.<\/p>\n Figura 1: Organigrama del SGSI<\/p>\n La organizaci\u00f3n de la seguridad en INGECID se estructura a trav\u00e9s del Comit\u00e9 de Seguridad de la Informaci\u00f3n, constituido por:<\/p>\n Se designa a la persona responsable de Seguridad como la Persona de Contacto (POC) de la organizaci\u00f3n en materia de seguridad.<\/p>\n Los roles citados anteriormente son designados por la Direcci\u00f3n Ejecutiva y su renovaci\u00f3n deber\u00e1 contar con la aprobaci\u00f3n del Comit\u00e9 de Seguridad de la Informaci\u00f3n.<\/p>\n Dentro de la ejecuci\u00f3n del proceso PC-AP-08 Recursos Humanos \u200b[4]\u200b se definen las funciones y responsabilidades, tanto del Comit\u00e9 de Seguridad de la Informaci\u00f3n, como de cada uno de los roles de seguridad que constituyen el mismo.<\/p>\n La periodicidad de reuni\u00f3n de dicho comit\u00e9 ser\u00e1 al menos semestralmente, pudi\u00e9ndose reunir tantas veces lo consideren oportuno. Adem\u00e1s, teniendo en cuenta los temas a tratar, a las reuniones podr\u00e1n asistir todas aquellas personas que los integrantes de este comit\u00e9 decidan.<\/p>\n Los roles y responsabilidades con relaci\u00f3n al SGSI son comunicados a las nuevas incorporaciones y recordados peri\u00f3dicamente a todo el personal de la organizaci\u00f3n.<\/p>\n Las funciones y responsabilidades de los roles de responsable de Seguridad, responsable del Sistema, responsable de la Informaci\u00f3n y responsable del Servicio quedan debidamente recogidas en su ficha de rol correspondiente. Estas fichas se definen y aprueban por la Direcci\u00f3n Ejecutiva en el marco del proceso PC-AP-08 Recursos Humanos \u200b[4]\u200b, que tambi\u00e9n recoge el nombramiento (asignaci\u00f3n de roles) a las personas correspondientes.<\/p>\n En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la presente pol\u00edtica, \u00e9ste ser\u00e1 resuelto por la Direcci\u00f3n Ejecutiva, y prevalecer\u00e1n las mayores exigencias derivadas de la protecci\u00f3n de datos de car\u00e1cter personal.<\/p>\n La informaci\u00f3n documentada relacionada con el cumplimiento del ENS \u200b[1]\u200b se organiza, codifica y aprueba conforme a los requisitos generales establecidos en el sistema de gesti\u00f3n de INGECID, en el marco del proceso PC-AP-09 Gesti\u00f3n del Conocimiento \u200b[5]\u200b.<\/p>\n Toda la documentaci\u00f3n vinculada a los distintos sistemas de gesti\u00f3n, incluyendo espec\u00edficamente aquella relativa al ENS \u200b[1]\u200b, se encuentra centralizada y almacenada en los sistemas de informaci\u00f3n corporativos de INGECID, garantizando su accesibilidad, integridad, trazabilidad y control de versiones.<\/p>\n Todo el personal de INGECID tiene la obligaci\u00f3n de conocer y cumplir esta Pol\u00edtica de Seguridad y los procedimientos, instrucciones y otra informaci\u00f3n documentada del SGI que la desarrolle, siendo responsabilidad de INGECID, a trav\u00e9s del Comit\u00e9 de Seguridad, de disponer los medios necesarios para que la informaci\u00f3n llegue a los afectados.<\/p>\n Cuando INGECID preste servicios a otras entidades o maneje informaci\u00f3n de \u00e9stas, se les har\u00e1 part\u00edcipes de la presente pol\u00edtica, sin perjuicio de respetar las obligaciones de la normativa de protecci\u00f3n de datos si act\u00faa como encargado del tratamiento en la prestaci\u00f3n de los citados servicios, y se establecer\u00e1n canales para reporte y coordinaci\u00f3n de los respectivos Comit\u00e9s de Seguridad y procedimientos de actuaci\u00f3n para la reacci\u00f3n ante incidentes de seguridad.<\/p>\n Cuando INGECID utilice servicios de terceros o ceda informaci\u00f3n a terceros, se les har\u00e1 part\u00edcipes de la presente pol\u00edtica y de las normas, procedimientos y\/o instrucciones de seguridad que ata\u00f1a a dichos servicios o informaci\u00f3n, sin perjuicio del cumplimiento de otras obligaciones en materia de protecci\u00f3n de datos. Esta tercera parte quedar\u00e1 sujeta a las obligaciones establecidas en dicha documentaci\u00f3n, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecen procedimientos espec\u00edficos de informe y resoluci\u00f3n de incidencias. Se garantizar\u00e1 que el personal de terceros est\u00e1 adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta pol\u00edtica.<\/p>\n Cuando alg\u00fan aspecto de la pol\u00edtica no pueda ser satisfecho por un tercero seg\u00fan se requiere en los p\u00e1rrafos anteriores, la persona responsable de la Seguridad emitir\u00e1 un informe que precise los riesgos en que se incurre y la forma de tratarlos. Se requerir\u00e1 la aprobaci\u00f3n de este informe por las personas responsables de la informaci\u00f3n y de servicios afectados antes del inicio de la contrataci\u00f3n.<\/p>\n Estas obligaciones ser\u00e1n reguladas mediante acuerdo, convenio o contrato que defina la relaci\u00f3n con los terceros.<\/p>\n En el marco del proceso PC-AP-08 Recursos Humanos \u200b[4]\u200b se desarrollan acciones de formaci\u00f3n y concienciaci\u00f3n dirigidas a todo el personal, con el objetivo de fomentar una cultura organizativa orientada a la seguridad de la informaci\u00f3n. Estas acciones incluir\u00e1n, entre otros, los siguientes contenidos:<\/p>\n Todo el personal de INGECID deber\u00e1 asistir, al menos una vez al a\u00f1o, a una sesi\u00f3n de formaci\u00f3n en seguridad de la informaci\u00f3n. Adem\u00e1s, se establecer\u00e1n acciones de concienciaci\u00f3n continua, con especial atenci\u00f3n a las nuevas incorporaciones, que recibir\u00e1n formaci\u00f3n espec\u00edfica durante su proceso de acogida.<\/p>\n Las personas que desempe\u00f1en funciones relacionadas con el uso, operaci\u00f3n o administraci\u00f3n de sistemas TIC recibir\u00e1n formaci\u00f3n especializada para garantizar el manejo seguro de los sistemas, en funci\u00f3n de las necesidades de su puesto. Esta formaci\u00f3n ser\u00e1 obligatoria antes de asumir cualquier responsabilidad, ya sea por una nueva incorporaci\u00f3n, un cambio de puesto o una reasignaci\u00f3n de funciones.<\/p>\n Todos los sistemas de informaci\u00f3n afectados por la presente pol\u00edtica, as\u00ed como todos los tratamientos de datos personales realizados por INGECID, deber\u00e1n estar sujetos a un an\u00e1lisis de riesgos que permita identificar, evaluar y gestionar las amenazas y riesgos a los que est\u00e1n expuestos.<\/p>\n Este an\u00e1lisis se llevar\u00e1 a cabo en los siguientes casos:<\/p>\n La persona responsable de Seguridad ser\u00e1 la encargada de asegurar la realizaci\u00f3n del an\u00e1lisis de riesgos, as\u00ed como de identificar carencias y debilidades en los sistemas y procesos. Asimismo, deber\u00e1 informar al Comit\u00e9 de Seguridad sobre los resultados obtenidos y proponer las medidas correctoras o de mejora necesarias.<\/p>\n INGECID \u00fanicamente recoger\u00e1 datos de car\u00e1cter personal cuando estos sean adecuados, pertinentes y estrictamente necesarios en relaci\u00f3n con las finalidades leg\u00edtimas para las que se hayan obtenido. En todo momento, se adoptar\u00e1n las medidas t\u00e9cnicas y organizativas necesarias para garantizar el cumplimiento de la normativa vigente en materia de protecci\u00f3n de datos personales.<\/p>\n Cuando un sistema de informaci\u00f3n de INGECID gestione datos personales, ser\u00e1 de aplicaci\u00f3n lo dispuesto en la Ley de Protecci\u00f3n de Datos Personales y Garant\u00eda de los Derechos Digitales (LOPDGDD) \u200b[6]\u200b, as\u00ed como sus normas de desarrollo. Todo ello sin perjuicio del cumplimiento adicional de los requisitos establecidos en el ENS \u200b[1]\u200b.<\/p>\n Asimismo, todos los sistemas de informaci\u00f3n deber\u00e1n ajustarse a los niveles de seguridad exigidos por la normativa de protecci\u00f3n de datos, en funci\u00f3n de la naturaleza, el alcance, el contexto y los fines del tratamiento, as\u00ed como de los riesgos identificados para los derechos y libertades de las personas.<\/p>\n Con el fin de garantizar la vigencia, adecuaci\u00f3n y eficacia de este documento, se establecen dos tipos de actividades de revisi\u00f3n:<\/p>\n Finalmente, si como resultado de dichas revisiones, es necesario modificar la presente pol\u00edtica, el aprobador de la nueva pol\u00edtica ser\u00e1 la Direcci\u00f3n Ejecutiva de INGECID y se informar\u00e1 adecuadamente a los interesados por los mismos canales usados para su difusi\u00f3n.<\/p>\n<\/div><\/div><\/div><\/div><\/div> [1] \u200bReal Decreto 311\/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). Elaborado por el Responsable de seguridad de informaci\u00f3n y aprobado por la direcci\u00f3n ejecutiva<\/strong>
\nENS: Esquema Nacional de Seguridad
\nLOPDGDD: Ley de Protecci\u00f3n de Datos Personales y Garant\u00eda de los Derechos Digitales
\nPOC: Person of contact (persona de contacto)
\nRRHH: Recursos Humanos
\nSGI: Sistema de Gesti\u00f3n Integrado
\nSGSI: Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n
\nSI: Seguridad de la Informaci\u00f3n
\nTIC: Tecnolog\u00edas de la Informaci\u00f3n y la Comunicaci\u00f3n<\/p>\n<\/div><\/div><\/div><\/div><\/div>1. OBJETO Y CAMPO DE APLICACI\u00d3N<\/h2>\n
\n
2. ACTIVIDADES<\/h2>\n
2.1 Misi\u00f3n y objetivos<\/h3>\n
\n
2.2 Principios<\/h3>\n
\n
\n
2.3 Marco normativo<\/h3>\n
2.4 Organizaci\u00f3n de la Seguridad<\/h3>\n
2.4.1 Organigrama del SGSI<\/h4>\n<\/div>
![\"organigrama](\"https:\/\/ingecid.com\/wp-content\/uploads\/2025\/10\/organigrama-sgsi.jpg\" "\\"organigrama")
<\/span><\/div>2.4.2 Mecanismos de coordinaci\u00f3n<\/h4>\n
\n
\n
2.4.3 Funciones y responsabilidades<\/h4>\n
2.4.3.1 Comit\u00e9 de Seguridad de la Informaci\u00f3n<\/h5>\n
\n
2.4.3.2 Roles del SGSI<\/h5>\n
2.4.4 Resoluci\u00f3n de conflictos<\/h4>\n
2.5 Documentaci\u00f3n de seguridad del sistema<\/h3>\n
2.6 Obligaciones de cumplimiento<\/h3>\n
2.6.1 Personal<\/h4>\n
2.6.2 Terceras partes<\/h4>\n
2.6.2.1 CLIENTES<\/h5>\n
2.6.2.2 COLABORADORES Y PROVEEDORES<\/h5>\n
2.7 Concienciaci\u00f3n y formaci\u00f3n<\/h3>\n
\n
2.8 Gesti\u00f3n de riesgos<\/h3>\n
\n
2.9 Datos de car\u00e1cter personal<\/h3>\n
2.10 Revisi\u00f3n y aprobaci\u00f3n<\/h3>\n
\n
\n
3. REFERENCIAS\u200b<\/h2>\n
\n\u200b[2] INGECID, SGI-04 Misi\u00f3n, prop\u00f3sito y estrategia.
\n\u200b[3] \u200bINGECID, PC-ES-02 An\u00e1lisis de Contexto.
\n\u200b[4] \u200bINGECID, PC-AP-08 Recursos Humanos.
\n\u200b[5] INGECID, PC-AP-09 Gesti\u00f3n del Conocimiento.
\n\u200b[6] Ley Org\u00e1nica 3\/2018, de 5 de diciembre, de Protecci\u00f3n de Datos Personales y garant\u00eda de los derechos digitales (LOPDGDD).<\/p>\n<\/div><\/div><\/div><\/div><\/div>
\nFECHA DE APROBACI\u00d3N<\/em>: 03\/10\/2025
\nDOCUMENTO<\/em>: SGI-03
\nREVISI\u00d3N<\/em>: 00<\/p>\n<\/div><\/div><\/div><\/div><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":2,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"100-width.php","meta":{"_acf_changed":false,"footnotes":""},"class_list":["post-7219","page","type-page","status-publish","hentry"],"acf":[],"yoast_head":"\n