MUTUALIA Gizarte Segurantzarekin lankidetza duen 2. zk.ko Mutuaren INFORMAZIOAREN SEGURTASUN-POLITIKA hau Administrazio Elektronikoaren esparruan Segurtasun Eskema Nazionala arautzen duen urtarrilaren 8ko 3/2010 Errege Dekretuaren (2010.01.29ko BOE) –aurrerantzean SEN edo 3/2010 ED– 11. artikuluan xedatutakoa betez onartu da.
INFORMAZIOAREN SEGURTASUNAREN arloan, DATUEN kalitatea eta INFORMAZIOA bermatzea da helburua; bai eta ZERBITZUAK etengabe ematen direla bermatzea ere, prebentzioz jardunez, eguneroko jarduera gainbegiratuz eta gertakariei irmo erantzunez.
Horretarako, MUTUALIAk informazioaren segurtasuna kudeatzeko beste estandar bateragarri batzuk ere ezarri ahal izango ditu, baina, nolanahi ere, SENek eskatzen dituen gutxieneko segurtasun-neurriak aplikatuko ditu. Halaber, zerbitzuak emateko mailen etengabeko jarraipena egingo du, atzemandako ahultasunen jarraipena eta azterketa egingo ditu, eta gertaerei erantzun eraginkorra emango die, emandako zerbitzuen jarraipena bermatzeko.
MUTUALIAren IKT sistemek bilakaera azkarreko mehatxuetatik babestuta egon behar dute, informazioaren eta zerbitzuen isilpekotasuna, osotasuna, eskuragarritasuna, aurreikusitako erabilera eta balioa azpimarratzeko. Mehatxu horietatik babesteko, inguruko baldintzen aldaketetara egokituko den estrategia behar da, zerbitzuak etengabe ematen direla bermatzeko.
Halaber, gertaerak prebenitzeko, detektatzeko, haiei erantzuteko eta haietatik lehengoratzeko prestatuta egon behar dute sailek (3/2010 ED, 7. artikulua).
Segurtasun-politika hori datu pertsonalen pribatutasun- eta babes-politikarekin eta erakundearen kudeaketa-arauak ziurtatzeko eskakizunekin osatzen da.
Segurtasun-politika honek MUTUALIAren erakundeak informazioa eta zerbitzuak kudeatu eta babesteko modua arautzen duten jarraibideen multzoa definitzen du.
Horrek esan nahi du Erakundearen sailek SENek eskatzen dituen gutxieneko segurtasun-neurriak aplikatu behar dituztela, zerbitzuak emateko mailaren etengabeko jarraipena egin behar dutela, atzemandako ahultasunen jarraipena eta azterketa egin behar dituztela, eta gertaerei erantzun eraginkorra emateko prestatu behar dutela, emandako zerbitzuen jarraipena bermatzeko.
MUTUALIA GIZARTE SEGURANTZAREKIN LANKIDETZAN ARITZEN DEN MUTUALITATE bat da, Gizarte Segurantzaren Lege Orokorraren Testu Bateginaren 80. artikuluan eta hurrengoetan (urriaren 30eko 8/2015 Legegintzako Errege Dekretua), bai eta mutualitateen antolaketa, funtzionamendua, eginkizunak eta jarduerak arautzen dituen erregelamendu-araudian ere, aurreikusitako funtzioak eta eskumenak dituena.
MUTUALIAk prestazioak kudeatzeko jarduerak egiten ditu Gizarte Segurantzaren aurrekontu publikoaren kargura, eta ESTATUKO SEKTORE PUBLIKO ADMINISTRATIBOKO entitatea da. Legearen arabera, MUTUALIAk, Gizarte Segurantzako Ministerio eskudunarekin lankidetzan, jarduera hauek garatzea du helburu:
a) Prestazio ekonomikoak eta osasun-asistentzia kudeatzea, errehabilitazioa barne, Gizarte Segurantzako laneko istripuen eta gaixotasun profesionalen kontingentziak babesten dituztenak, bai eta babes-ekintzak berak sortzen dituen kontingentziak prebenitzeko jarduerak ere.
b) Kontingentzia arruntek eragindako aldi baterako ezintasunagatiko prestazio ekonomikoa kudeatzea.
c) Haurdunaldi garaiko arriskuagatiko eta edoskitze naturaleko arriskuagatiko prestazioak kudeatzea.
d) Norberaren konturako langileen jarduera uzteagatiko prestazio ekonomikoak kudeatzea.
e) Minbizia edo beste gaixotasun larri bat duten adingabeak zaintzeko prestazioa kudeatzea.
f) Legez esleitzen zaizkion Gizarte Segurantzaren gainerako jarduerak.
MUTUALIAk bere jarduera egiten du eta pertsona babestuei eta erabiltzaileei ematen dizkie zerbitzuak, horien eskubideen eraginkortasuna bermatuz eta prozedurak, zerbitzuak eta prestazioak etengabe hobetuz, erakundeak eta bere Misioak eta Balioek finkatutako politiken arabera. Politika horiek Plan Estrategiko bakoitzean ezarri eta berrikusten dira, eta dokumentu horretan daude dokumentatuta. (I. eranskina: Helburua, Misioa, Ikuspegia eta Balioak).
Halaber, MUTUALIAn, eskura dauden baliabideak kontuan hartzen dira, horrela zehaztuz eskainitako zerbitzuek eskaintzen dituzten prestazioak, edukiak eta dagozkien kalitate estandarrak.
MUTUALIA legezkotasun-printzipioa erabat errespetatuz eta Gizarte Segurantzak bere funtzio publikoaren kudeaketan laguntzen dioten mutualitateei eskatzen dizkien printzipioen arabera antolatzen eta jarduten da.
Bere eskumenak erabiltzeko, MUTUALIAk INFORMAZIO SISTEMAK (IKT) erabiltzen ditu eta modu efektibo eta efizientean babesten ditu.
Zehaztasun osoz ez bada ere, MUTUALIAk oinarrizko araudia du gidari, eta hura bete behar du (aplikatu beharreko Araudi politika honen II. eranskina).
MUTUALIAk une oro indarrean dagoen legeria betetzeko konpromisoa hartzen du, baita erakundeak legez esleitutako jarduera betetzeko emandako zerbitzuei aplikagarri zaizkien arau eta zehaztapen partikularrak betetzekoa ere.
Politika hau honako baldintza orokor hauek aplikatuz garatuko da:
Segurtasun prozesuaren antolaketa eta ezarpena.
Arriskuen azterketa eta kudeaketa.
Langileen kudeaketa.
Profesionaltasuna.
Sarbideak baimendu eta kontrolatzea.
Instalazioen babesa.
Produktuen erosketa.
Lehenetsitako segurtasuna.
Sistemaren osotasuna eta eguneratzea.
Biltegiratutako eta iragaitzazko informazioaren babesa.
Elkarri lotutako beste informazio-sistema batzuen aurreko prebentzioa.
Jardueraren erregistroa.
Segurtasun gorabeherak.
Jardueraren jarraipena.
Segurtasun prozesuaren etengabeko hobekuntza.
Politika hau Mutualiaren IKT sistema guztiei eta erakundeko kide guztiei aplikatzen zaie, salbuespenik gabe.
MUTUALIAk informazioa kudeatzen edo tratatzen duten hirugarrenen zerbitzuak erabiltzen dituenean, Mutualiak segurtasun-politika honen eta/edo zerbitzu edo informazio horiei eragiten dien segurtasun-araudiaren berri ematen die.
MUTUALIAren segurtasuna antolatzeko, arlo horretako jarduerak eta erantzukizunak identifikatu eta definitu behar dira, eta jarduera eta erantzukizun horiei eusten dieten azpiegitura ezarri.
Oro har, MUTUALIAren informazio-sistemak erabiltzen dituzten pertsona guztiak dira informazio-aktiboen segurtasunaren erantzule, haiek egoki erabiliz, betiere beren eskuduntzen eta lan-erantzukizun eta erantzukizun profesionalen arabera.
Sistemaren dokumentazioa prozeduretan, jarraibideetan eta dokumentazio teknikoan egituratuta dago, eta deskribatutako sistematiketan aldaketaren bat gertatzen denean berrikusten dira.
Informazioaren segurtasunarekin zerikusia duten rolak eta funtzioak
Rolak eta funtzioak zehatz-mehatz jasota daude “Informazioaren segurtasunaren arloko Esleipena, Rolak eta Erantzukizunak” dokumentuan –Politika honen III. eranskina–, eta Politika honetan funtzio orokorrak adierazi dira.
MUTUALIAk segurtasun fisikoko erregulazio-esparrua garatzen du, Informazioaren Segurtasunaren arduradunak zehaztutako segurtasun-neurriak hartuz; horren berri emango zaio hari, eta hark ezarpen-, eraginkortasun- eta gertakari-mailaren berri emango du.
Mutualiaren instalazio fisikoak babesteko neurriak hainbat motatakoak dira:
• Oztopo fisikoak (sarbide fisikoak, ateak, ixteko gailuak eta abar);
• Zaintza-teknikak (alarma-sistemak, zaintza- eta monitorizazio-teknikak);
• Datu biometrikoen eta sarbide-txartelen bidezko sarbideak;
• Zaintzaileak eta segurtasuneko langileak.
Mutualiak baliabideak esleitzen ditu eta beharrezko neurriak hartzen ditu pertsonen esparruan, informazioaren segurtasunaren arloan aplikatzekoak diren araudietan ezarritakoa betetzeko.
MUTUALIAk prestakuntza- eta kontzientziazio-jarduerak egiten ditu, langileak bere erantzukizunaren jakitun izan daitezen jarduera guztiei eta erakundeko kide guztiei eragiten dien informazioaren segurtasunaz, bai eta sortzen diren arriskuekiko sentsibilitatea izan dezaten ere.
MUTUALIAk, bere eginkizunak betetzeko, datu pertsonalak erabili behar ditu. Horregatik, pertsona interesdunen eskubide eta askatasunak bermatu behar dira, bai eta tratamenduen euskarri diren informazioen, komunikazioen eta informazio-sistemen segurtasuna ere, indarrean den legerian ezarritako neurrien arabera.
Hori betetzeko, MUTUALIAk honako PRINTZIPIO hauek aplikatzen ditu:
MUTUALIAk erabiltzaileen eta interesdunen eskura jartzen du egiten dituen datu pertsonalen tratamenduekin lotutako informazio guztia, datu pertsonalen Pribatutasun- eta Babes-politikan. MUTUALIAk bere erakunde osoan ezarria duen DATUEN BABESA ETA PRIBATUTASUNAri buruzko informazio zehatza esteka hauen bidez kontsulta daiteke:
DATU PERTSONALEN BABESA ETA PRIBATUTASUNA
Datuen babesa eta pribatutasuna
Gainera, Mutualiaren jardueran sortutako dokumentazio guztia konfidentzialtzat jotzen da. Arrazoiren batengatik zabaldu behar bada, dagokion zuzendaritzak baimendu behar du.
Mutualiak dokumentu-kudeatzaile bat du, erakundeko pertsona guztiek erabil ditzaketen prozedurak, jarraibideak eta ereduak biltzen dituena. Sortu zuten inguruabarrak aldatzen direnean berrikusten da dokumentazio hori. Horrez gain, Sistemen arloak dakarren teknikotasuna dela eta, Ezagutzaren Kudeaketa kudeatzailean arlo osorako eskuragarri dauden dokumentu teknikoak daude.
Politika honi lotutako sistema guztien arriskuak Mutualiaren arriskuak kudeatzeko sistematikan ezarritakoaren arabera kudeatzen dira, eta arriskuak eta gertatzeko aukerak ebaluatzen dira, hau da, horien esposizio-maila.
MUTUALIAren informazio-sistemetarako sarbidea kontrolatuta eta mugatuta dago. Sartzeko profilak ezartzen dira, pertsona bakoitzak bete beharreko eginkizunen arabera. Sarbide horiek behar bezala baimenduta daude.
MUTUALIAren Datuak Babesteko Zentroak (DBZ) kokapen independentea du eta bertara sartzeko kontrolak ditu. DBZ horrek antzeko beste DBZ bat du Mutualiaren instalazioetatik kanpo.
MUTUALIAk informazio- eta komunikazio-teknologien segurtasun-produktuak erabiltzen ditu, erosketaren helburuarekin lotutako segurtasun-funtzionaltasuna bermatuta dutenak. Berme hori segurtasun funtzionalaren arloan nazioartean onarpen handiena duten arau eta estandarrekin bat etorriko da.
Eskakizun hori MUTUALIAren sistemaren kategoriaren eta segurtasun mailaren arabera egiten da: maila ERTAINA. Salbuespen bat egongo da, bere gain hartutako arriskuen proportzionaltasun-eskakizunek Segurtasun arduradunaren iritziz justifikatzen ez dutenean.
MUTUALIAren sistemak segurtasun lehenetsia bermatzeko moduan diseinatu eta konfiguratuko dira:
a) Kontu eta pasahitz estandarrak kentzen dira.
b) «Gutxieneko funtzionaltasunaren» araua aplikatuko da:
1. Erakundeak bere helburuak betetzeko behar diren funtzionaltasunak emango ditu sistemak, eta ez besterik.
2. Ez du doako funtziorik emango, ez eragiketarena, ez administrazioarena, ez auditoriarena, eta horrela bere perimetroa ahalik eta txikiena izango da, beharrezkoa denera murriztua.
3. Konfigurazioa kontrolatuz, kendu edo desaktibatuko dira interesgarriak ez diren eginkizunak, baita lortu nahi den helbururako desegokiak direnak ere.
c) «Segurtasun lehenetsiaren» araua aplikatuko da:
1. Segurtasun neurriek erabiltzailea errespetatuko eta babestuko dute, arrisku baten eraginpean nahita dagoenean izan ezik.
2. Segurtasuna murrizteko, erabiltzaileak ekintza kontzienteak egin behar ditu.
3. Erabilera naturala, erabiltzaileak eskuliburua kontsultatu ez badu, erabilera segurua izango da.
Sistemaren ohiko erabilerak sinplea eta segurua izan behar du, segurtasunik gabeko erabilera gertatzeko erabiltzailearen ekintza kontzientea beharrezkoa izan dadin.
Mutualiak beharrezko neurriak hartzen ditu bere sistema eta ekipamendu guztiak eguneratuta egon daitezen, eta, hala, horiek izan ditzaketen ahultasunak minimizatzen ditu. Horretarako, fabrikatzaileen zehaztapenei jarraitu behar zaie, egon daitezkeen ahultasunak kudeatu, eta eragiten dieten eguneratzeak ezarri behar dira.
MUTUALIAn biltegiratze-euskarrien kudeaketa segururako prozedurak aplikatzen dira. Behar den arreta eta kontrola aplikatuko zaie MUTUALIAren ardurapean dauden informazio euskarriei honako jarduketa hauen bidez:
a) Sarbidearen kontrola neurri fisikoekin ([mp.if.1] eta [mpl.if.7]) edo logikoekin ([mp.si.2]) bermatuz, edo bi eratakoekin.
b) Fabrikatzailearen mantentze-eskakizunak betetzen direla bermatuz, bereziki tenperaturari, hezetasunari eta ingurumeneko beste erasotzaile batzuei dagokienez, horrez gain:
Mekanismo kriptografikoak erabiliko dira, bildutako informazioaren konfidentzialtasuna eta osotasuna bermatzeko.
Zentro Kriptologiko Nazionalak egiaztatutako algoritmoak erabiliko dira.
Ziurtatutako produktuen erabilera lehenetsiko da [op.pl.5].
Hori egiteko negozio-premia dagoenean baino ez dira erabiltzen unitate eta baliabide aldagarriak.
Debekatuta dago datu pertsonalak baimendu gabeko euskarri eta gailu optikoetan (cd, DVD eta abar) zein USB flashetan (kanpoko disko gogorrak, pendriveak eta abar) gordetzea.
Berrerabil daitezkeen baliabideen edukia modu seguruan ezabatzen da, eta, beraz, ezinezkoa da berreskuratzea berrerabili aurretik.
Software bidezko ezabaketa segurua.
Beharrezkoa denean, MUTUALIAren instalazioetatik kanpo euskarriak ateratzeko baimena eskatu ahal izango da.
Euskarriak giro seguruan biltegiratzen dira, fabrikatzailearen zehaztapenei jarraikiz.
Datuak galtzeko arriskua arintzearren, biltegiratze-bitartekoen bizi-epeak errespetatzen dira, datuak euskarri berri batera transferituz, atxikipen-aldiak bermatzeko.
Arreta berezia jarriko da ingurune ez-seguruetan gordetako edo iragaitzazko informazioan, besteak beste, hauetan gordetakoetan: ekipo eramangarriak, gailu periferikoak, sare irekien edo zifratze ahuleko sareen gaineko informazio- eta komunikazio-euskarriak.
MUTUALIAk modu proaktiboan ekiditen du, segurtasun-kopiak eginez, informazioa galtzea, XX. Segurtasun Araudian zehazten den bezala.
Bestalde, euskarri ez-elektronikoan dagoen informazio guztia giltzapean babestuta dago, euskarri elektronikoan dagoen segurtasun-maila berarekin.
Erabiltzaileen eta sistemaren administratzaileen jarduerak erregistratzen ditu MUTUALIAk, eta behar ez bezala edo baimenik gabe egiten diren jarduerak monitorizatu, aztertu, ikertu eta dokumentatzeko behar den informazioa gordetzen du. Horrela, une bakoitzean jarduten duen pertsona identifika dezake.
Halaber, erregistro sistemak eta erregistroak berak babesten dira behar ez diren manipulazioetatik eta baimenik gabeko sarbideetatik.
MUTUALIAk kode kaltegarria atzemateko eta haren aurrean erreakzionatzeko sistema bat du, eta ikuspegi koherente eta eraginkorra bermatzen du informazioaren segurtasuneko gorabeherak kudeatzeko, gertakariak, ahultasunak eta segurtasuneko ahuleziak jakinarazteko gorabeherak barne. Erakundearen informazio-sistemaren elementuetan atzemandako segurtasun-gorabeherak eta ahuleziak kudeatzeko prozedurak daude.
Prozedura horiek detekzio-mekanismoak, sailkapen-irizpideak, analisi- eta ebazpen-prozedurak, alde interesdunentzako komunikazio-bideak eta GlobalSUITE tresnako jardueren erregistroa estaltzen dituzte, sistemaren segurtasuna etengabe hobetzeko asmoz erabili ahal izateko.
MUTUALIAk modu proaktiboan ekiditen du informazioa galtzea, segurtasun-kopiak eginez eta DBZren erreplika eginez. Halaber, ohiko lan-baliabideak galduz gero eragiketen jarraipena bermatzen duten beharrezko mekanismoak ditu, erakundearen negozioarekin jarraitzeko prozesuen bidez.
MUTUALIAn ezarritako segurtasun-prozesu integrala etengabe eguneratu eta hobetuko da. Prozesuak maiz eguneratzen dira aplikatutako segurtasun-prozesuen etengabeko hobekuntza bermatzeko eta balizko mehatxu berrietara egokitzeko.
Segurtasun Batzordeak behartutako subjektu guztien artean zabalduko da Politika hau, eta denei komunikatuko zaie.
Aplikazioari buruzko edozein zalantza izanez gero, Segurtasun Batzordearekin eta zuzendari kudeatzailearekin kontsultatu beharko da.
Segurtasun Batzordearen zeregina izango da Segurtasun Politika hori aldian behin berrikustea, eta, azkenik, zuzendari kudeatzaileak onartuko du.
Segurtasunarekin lotutako politika guztiak informazioaren mende daude, eta ezin diote ezertan ere kontra egin hemen xedatutakoari.