Politicas De Proveedores

1

Politicas de Seguridad para personal empresas proveedoras Fecha: 14/03/2012 Referencia: PS-PRV v3.0 EJIE S.A. Mediterraneo, 14 01010 Vitoria-Gasteiz Posta-kutxatila / Apartado: 809 01080 Vitoria-Gasteiz Tel. 945 01 73 00* Fax. 945 01 73 01 www.ejie.es Este documento es propiedad de EJIE, S.A. y su contenido es confidencial. Este documento no puede ser reproducido, en su totalidad o parcialmente, ni mostrado a otros, ni utilizado para otros propositos que los que han originado su entrega, sin el previo permiso escrito de EJIE, S.A.. En el caso de ser entregado en virtud de un contrato, su utilizacion estara limitada a lo expresamente autorizado en dicho contrato. EJIE, S.A. no podra ser considerada responsable de eventuales errores u omisiones en la edicion del documento.

2

Control de documentacion Titulo de documento: Historico de versiones Codigo: Version: Fecha: Resumen de cambios: 1.0 01/12/2000 Primera version PS-PRV 2.0 05/05/2008 Adaptacion al modelo ISO/IEC 27001:2005 PS-PRV 2.1 31/07/2008 Inclusion de clausulas de control relacionadas con el Plan de Continuidad de Negocio PS-PRV 2.2 8/10/2010 Revision general PS-PRV 3.0 14/3/2012 Adaptacion global del documento para diferentes tipologias de servicio Cambios producidos desde la ultima version Revision y reorganizacion general del documento. Control de difusion Autor: Juan Jose Carrasco Firma: Fecha: 14/3/2012 Aprobado por: Inaki Gurpegui Firma: Fecha: 21/03/2012 Distribucion: Publica

3

Contenido Capitulo/seccion Pagina 1 Introduccion 5 Proposito 5 Ambito de aplicacion 5 2 Politica General de Seguridad de EJIE !Error! Marcador no definido. 3 Politicas Generales de Seguridad para Proveedores 6 3.1. Cumplimiento de la Politica General de Seguridad de EJIE 6 3.2. Prestacion de servicios a EJIE 6 3.3. Confidencialidad de la Informacion 7 3.4. Propiedad intelectual 8 3.5. Intercambio de informacion 8 3.6. Uso apropiado de los recursos 9 3.7. Responsabilidades del usuario 10 3.8. Equipos de usuario 11 3.9. Gestion de activos 12 4 Politicas Especificas de Seguridad para Proveedores 13 4.1. Aplicabilidad de las Politicas Especificas de Seguridad para Proveedores13 4.2. Seleccion de personal 14 4.3. Auditoria de seguridad 14 4.4. Comunicacion de incidencias 15 4.5. Seguridad fisica 15 4.6. Gestion de activos 16 4.7. Arquitectura de seguridad 16 4.8. Seguridad de sistemas 16 4.9. Seguridad de red 18 4.10. Trazabilidad de uso de los sistemas 19

4

4.11. Control y gestion de identidades y accesos 19 4.12. Gestion de cambios 20 4.13. Gestion tecnica de cambios 20 4.14. Seguridad en desarrollo 21 4.14. Gestion de contingencias 21 5 Requisitos de seguridad para la externalizacion 22 6 Seguimiento y control 23 7 Actualizacion de las Politicas de Seguridad 24

5

1 Introduccion Proposito

En toda organizacion existe informacion cuya perdida o uso indebido puede danar su reputacion. Asimismo, el deterioro o indisponibilidad de los Sistemas de Informacion puede interrumpir el normal desarrollo de la operativa, produciendo efectos negativos en la calidad del servicio y los beneficios de la compania.

El principal objetivo de este documento es establecer el marco normativo en relacion a la seguridad de la informacion para los proveedores de EUSKO JAURLARITZAREN INFORMATIKA ELKARTEA ¡V SOCIEDAD INFORMATICA DEL GOBIERNO VASCO, S.A. (en adelante EJIE), describiendo lo que se espera de todo el personal que trabaja para EJIE pero que pertenece a otras empresas proveedoras, y que en el desarrollo de sus funciones pueda tener acceso a la informacion, sistemas de informacion o recursos de EJIE en general, con el fin de proteger la confidencialidad, integridad y disponibilidad de la informacion y sistemas manejados por EJIE.

Para ello, las empresas proveedoras a las que se les remitan estas politicas de seguridad se responsabilizan de informar de ellas a las personas que destinen en EJIE, asi como de obtener su compromiso por escrito de que se comprometen a respetar dichas Politicas.

La Politica de Seguridad refleja requerimientos legales y eticos, tanto en actuaciones informales de los empleados que trabajan para EJIE pertenecientes a empresas proveedoras, como en la realizacion de su operativa.

Con dicho proposito, esta politica contempla lo establecido en las Politicas de Seguridad de EJIE, y refleja las obligaciones a las que esta sujeta EJIE por la legislacion vigente, y en particular por la Ley Organica 15/1999, de 13 de diciembre, de Proteccion de Datos de caracter personal (en adelante, LOPD) y todos sus desarrollos asociados.

Ambito de aplicacion

Todas las actividades desarrolladas para EJIE por personal que presta servicios para esta organizacion pero que pertenece a otras empresas proveedoras, vinculadas a traves del correspondiente contrato de provision de servicios.

El apartado 2 (Politicas Generales de Seguridad para Proveedores) de la presente politica sera aplicable a cualquier proveedor, independientemente del tipo de servicio proporcionado.

Cada uno de los sub-apartados del apartado 3 - Politicas Especificas de Seguridad para Proveedores de la presente politica sera aplicable exclusivamente a aquellos proveedores cuyos servicios proporcionados se correspondan con el tipo de servicio indicado en cada caso, tal y como se indica al comienzo del citado apartado.

6

2 Politicas Generales de Seguridad para Proveedores 3.1. Cumplimiento de la Politica General de Seguridad de EJIE

Todo el personal externo que desarrolle labores para EJIE debera tomar parte en el desarrollo de la Politica General de Seguridad de EJIE, disponible en la web, observando sus directrices y colaborando en su aplicacion dentro del ambito de actuacion de cada uno.

3.2. Prestacion de servicios a EJIE

a) Los proveedores solo podran desarrollar para EJIE aquellas actividades cubiertas bajo el correspondiente contrato de provision de servicios. De este modo, se entendera que todas las actividades desarrolladas para EJIE por personal perteneciente a empresas proveedoras se encuadran en los contratos de provision de servicios que vinculan a EJIE con estos proveedores.

b) Las actividades desarrolladas por el personal perteneciente a empresas proveedoras se realizaran de acuerdo a lo establecido en el correspondiente contrato de provision de servicios, asi como a las normas y procedimientos establecidos a tal efecto entre EJIE y el proveedor correspondiente.

c) La empresa proveedora proporcionara a EJIE periodicamente la relacion de personas, perfiles, funciones y responsabilidades asociados al servicio provisto, e informara puntualmente de cualquier cambio (alta, baja, sustitucion o cambio de funciones o responsabilidades) que se produzca en dicha relacion.

d) De acuerdo a lo establecido en las clausulas asociadas al contrato de provision de servicios, todo el personal externo que desarrolle labores para EJIE debera cumplir con las politicas de seguridad recogidas en el presente documento. En caso de incumplimiento de cualquiera de estas obligaciones, EJIE se reserva el derecho de veto sobre el personal que haya cometido la infraccion, asi como la adopcion de las medidas sancionadoras que se consideren pertinentes en relacion a la empresa contratada, y que pueden llegar a la resolucion de los contratos que tenga vigentes con dicha empresa.

e) La empresa proveedora debera asegurar que todo su personal tiene la formacion y capacitacion apropiada para el desarrollo del servicio provisto, tanto a nivel especifico en las materias correspondientes a la actividad asociada a la prestacion del servicio como de manera transversal en materia de seguridad de la informacion, para lo cual debera asegurarse, al menos, de que todo el personal asociado al servicio conoce y se compromete a cumplir las presentes Politicas de Seguridad.

f) Cualquier tipo de intercambio de informacion que se produzca entre EJIE y las empresas proveedoras se entendera que ha sido realizado dentro del marco establecido por el contrato de provision de servicios correspondiente, de modo que dicha informacion no podra ser utilizada en ningun caso fuera de dicho marco, ni para fines diferentes a los asociados a dicho contrato.

g) El area de seguridad Informatica centraliza los esfuerzos globales de proteccion de los activos de EJIE, a fin asegurar el correcto funcionamiento de las tecnologias de la informacion que soportan los procesos de la organizacion.

h) De forma generica, los activos incluyen toda forma de informacion, ademas de las personas y la tecnologia que soportan los procesos de informacion.

7

3.3. Confidencialidad de la Informacion

a) El personal externo que tenga acceso a informacion de EJIE debera considerar que dicha informacion, por defecto, tiene el caracter de confidencial. Solo se podra considerar como informacion no confidencial aquella informacion de EJIE a la que haya tenido acceso a traves de los medios de difusion publica de informacion dispuestos a tal efecto por EJIE.

b) Se evitara la revelacion, modificacion, destruccion o mal uso de la informacion cualquiera que sea el soporte en que se encuentre contenida.

c) Se guardara por tiempo indefinido la maxima reserva y no se emitira al exterior, informacion confidencial, salvo que este debidamente autorizado.

d) Se minimizara el numero de informes en formato papel que contengan informacion confidencial y se mantendran los mismos en lugar seguro y fuera del alcance de terceros.

e) En relacion a la utilizacion de agendas de contactos, de las herramientas ofimaticas dispuestas por EJIE, el personal unicamente introducira datos personales como nombre y apellidos, las funciones o puestos desempenados, asi como la direccion postal o electronica, telefono y numero de fax profesionales.

f)

...