INGECID, en su compromiso con la mejora continua del Sistema de Gestión Integrado, ha obtenido el certificado UNE-EN-ISO/IEC 27001:2017 de “Sistemas de Gestión de Seguridad de la Información”, que se une a los que ya ostentaba anteriormente: ISO 9001, ISO 14001, UNE 166002 y UNE 73401.
Esta certificación, con carácter internacional, reconoce la gestión eficaz de los activos y los controles establecidos para su protección, según lo recogido en nuestra declaración de aplicabilidad. La norma internacional ISO/IEC 27001:2013 especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de gestión de la seguridad de la información. Esta norma también incluye los requerimientos para la apreciación y el tratamiento de los riesgos de seguridad de información a la medida de las necesidades de la organización.
Durante el proceso para la obtención de esta acreditación, se han realizado las siguientes acciones:
- Diagnóstico previo del sistema de gestión presente en INGECID con anterioridad.
- Identificación de los requisitos legislativos y reglamentarios.
- Elaboración del inventario de activos.
- Elaboración de la detección de riesgos de Seguridad de la información y el plan de acciones.
- Elaboración de la declaración de aplicabilidad, estableciendo los controles indicados en la UNE-EN ISO/IEC 27002:2017 sin exclusiones.
Para esta integración del proceso de Gestión de Seguridad de la Información, se han elaborado nuevos procedimientos e instrucciones:
- Elaboración del procedimiento de Seguridad de Información, que detalla la sistemática empleada para inventariar y catalogar los activos, gestionar los riesgos y establecer los controles oportunos.
- Instrucción relativa a la Política Interna de Seguridad de la Información
- Plan de continuidad del negocio
- Constitución del Comité de Seguridad de la Información
Además, fue necesario revisar y mejorar los procedimientos existentes, destacando:
- Procedimiento de comunicación
- Procedimiento de infraestructura
- Procedimiento de no conformidades para incorporar la detección y tratamiento de incidentes de seguridad de información
- Procedimiento de control de documentación
- Procedimiento de compras en lo relativo a la seguridad de la información y a la Protección de Datos.
- Procedimiento de auditoría, incluyendo la realización de la auditoría interna programada anualmente.
La correcta implantación de las mejoras por parte de INGECID en todos los departamentos de la compañía se completa con diversas acciones de concienciación y formación para todo el personal.
Finalmente, Bureau Veritas, entidad acreditada por ENAC, ha efectuado las auditorías externas de certificación, distribuidas en dos fases, otorgando el certificado del Sistema de Gestión conforme con los requisitos de la norma UNE-EN ISO/IEC 27001:2017, válido hasta 2025.
Este logro reafirma la importancia que da INGECID a la seguridad de la información en sus procesos internos y servicios ofrecidos, así como a los requisitos de la legislación y de nuestros clientes en los sectores más exigentes y competitivos: diseño, formación y desarrollo de software en los campos de la ingeniería civil e ingeniería nuclear.