-
La seguretat s’entén com un procés integral constituït per tots els elements tècnics, humans, materials i organitzatius relacionats amb les tecnologies de la informació i les comunicacions (TIC).
-
La seguretat de la informació s’ha d’integrar en tots els processos de l’organització i, per tant, s’ha d’aplicar tant en el disseny inicial de les TIC com en el seu funcionament, amb l’objectiu de garantir la protecció, la integritat i la disponibilitat de les dades.
-
La Política de seguretat de la informació, conforme a l’ENS-AD, se sustenta en els sis principis bàsics següents:
- a) La seguretat com un procés integral que tingui en compte no només actius o elements tecnològics, sinó també el personal, la seguretat física i aspectes organitzatius, que s’aplicaran de manera sistemàtica utilitzant un sistema de gestió de la seguretat o SGSI.
Les mesures de protecció i els controls són necessaris per garantir la seguretat i la privacitat de la informació que tracta el Govern d’Andorra, tant en els paràmetres de confidencialitat, integritat i disponibilitat com en els de traçabilitat i autenticitat, i també per assegurar l’accés a les dades i la seva conservació.
El cos normatiu de seguretat s’estructura de forma jeràrquica, de manera que les normes i els procediments de nivell inferior s’ajusten i se supediten als de nivell superior. En aquest sentit, la Política de seguretat se situa en el primer nivell o el nivell més alt.
Els estàndards estan situats en el segon nivell i han d’estar alineats amb la Política de seguretat de la informació. Les mesures de seguretat i privacitat indicades en els estàndards són de compliment obligat per als procediments de seguretat, que són els documents de nivell més baix de la piràmide jeràrquica i han d’estar alineats tant amb la Política com amb els estàndards de seguretat.
La PSIGdA s’aplica a tots els processos dins l’abast de l’SGSI, així com al personal del Govern que hi intervé, tant propi com extern a l’organització.
En conseqüència, tant el personal del Govern com els proveïdors i tercers han de conèixer i complir el marc normatiu en matèria de seguretat de la informació.
- b) Principi de proporcionalitat: s’apliquen les mesures de seguretat de forma proporcional, segons el nivell de risc definit per a cada servei o element.
- c) Modelatge dels actius d’informació bàsics, mitjançant actius d’informació estàndard per als quals cal preveure mesures o procediments de prevenció, per eliminar o reduir la possibilitat que les amenaces arribin a materialitzar-se; de detecció, per identificar la presència d’un ciberincident; de resposta, per restaurar la informació i els serveis afectats, i de conservació i integritat de les dades i informacions en suport electrònic.
- d) Estructuració de les mesures de seguretat en capes: una primera o bàsica, una segona de nivell de seguretat mitjà i una de categoria alta, de forma que es redueixi la probabilitat que la bretxa en una capa comprometi els actius d’informació que suporten els serveis als quals s’aplica l’ENS-AD (principi d’estratificació de les mesures).
- e) Monitoratge i millora contínua, per poder respondre a atacs o amenaces de seguretat, i tenir la capacitat de modular les mesures i les respostes a les situacions i riscos associats.
- f) Diferenciació de responsabilitats: el responsable de la prestació del servei ha de ser una persona diferent del responsable de la seguretat dels actius que suporten el servei.