信息系统安全政策

Fraternidad-Muprespa信息系统安全策略体现在以下原则中：

• 医疗记录，我们要保护的主要资产。
  Fraternidad-Muprespa 是一个具有社会保障的互助者，其职能包括提供健康和康复援助。因此，其最重要的资产之一是在其医疗机构接受治疗的受伤工人和患者的病历。管理层制定的信息系统安全政策将在保密性、可用性和完整性参数下保护该资产确定为优先事项，该领域包括向互助公司自己的员工以及通过数字办公室访问该信息的投保工人本身提供信息服务。
• 自动化数据、其他需要保护的资产。
  信息系统安全策略还将其范围扩展到自动化的其余数据和管理程序，这几乎是我们组织的全部实践。因此，业务系统（公司、工人、暂时和永久残疾的经济福利、行政档案、预防）和 Mutua 本身内部的信息系统（人事管理、金融经济环境、企业内联网）受到 ISMS 的保护。
• 概念的范围“ 受保护的信息”.
  对于受保护的信息，我们不仅必须了解以传统方式（数据库）在计算机化系统中可用的信息，而且还必须了解通过扫描或批量导入程序已合并到不同文档文件中的非结构化信息。术语“信息”还将包括仍然以剩余方式保留在传统支持（纸质、醋酸盐）上的文档，即使系统的使命是在中期实现 100% 信息的完全自动化。
• 技术控制和政策 培训和意识。
  安全性是一个目标，旨在通过实施技术性控制以及对参与系统管理的所有人员进行培训和提高认识政策来实现，因为 Fraternidad-Muprespa 的管理层坚信所有参与安全链的人员积极参与的重要性。为此，针对所有人力资源以及内部和外部客户制定了相应的培训行动。
• 遵守法律 当前的。
  在安全领域，有关个人数据保护的立法以及有关病史和利益相关方访问的规定都具有特殊的相关性。这些原则在信息本身的管理以及可能在共同基金管理范围内占有一席之地的所有关系和数据传输中均得到遵循。
• 政策延伸 与供应商的音乐会。
  另一方面，就信息和通信技术而言，与不同供应商签订的所有合同和协议都明确包括在提供合​​同服务时必须满足的安全要求。
• 适应标准.
  信息安全管理系统中生成的安全方法、操作程序、公司政策以及总体上整个监管机构都具有明显的标准化成分，以便遵循ICT行业的“最佳实践”，适应主要利益群体（制造商、用户社区、意见领袖）的建议，并尽可能促进已在其他环境和组织中测试过的解决方案的适应。具体而言，国际标准 UNE-EN ISO/IEC 27001:2017 和 UNE-EN ISO/IEC 27002:2017。还满足对来自国家安全计划的标准的适应，特别是对国家情报中心国家密码中心制定的技术标准的适应。
• 安全，一个过程。
  信息系统的安全不被理解为一组仅根据法律要求、现有技术或技术趋势实施的孤立措施；相反，安全被理解为一个包括组织、程序、技术和人力资源管理方面的过程，而后者对于用户意识和培训政策至关重要。
• 持续改进。
  通过利用信息安全政策、目标、内部和外部审计结果、数据分析、纠正和预防措施以及信息系统总局对系统的审查，确保ISMS的持续改进和有效性。
• 风险分析和管理。
  安全措施的实施是应用风险处理计划的结果，该计划源自风险管理决策，根据 Fraternidad-Muprespa 定义和批准的方法，并包含在建立风险分析和管理方法的程序中。该方法在概念上基于 RD 3/2010 批准的国家安全计划。 
  组织承担的剩余风险由风险负责人批准，风险负责人的角色由信息和通信技术委员会（ICT委员会）扮演。

• 信息安全管理系统 (ISMS) 的组件。
  ISMS 由一系列文件组成，其中包括政策和程序、技术说明和记录，除了允许系统运行之外，还支持系统的组织、程序和技术方面。某些政策适用并广泛适用于所有员工，并且必须遵守。
  Fraternidad-Muprespa 的管理层促进信息系统安全政策，并促进提供其完整实施所需的技术和人力资源。

Fraternidad-Muprespa 管理定义的优先信息安全目标是：

• 保证信息系统的机密性、可用性、完整性、真实性和可追溯性。从这个意义上说，信息系统总局开展的所有项目都考虑到了实施过程中涉及的风险。
• 通过风险处理计划、风险监控和定期开展的人员培训、文化适应和意识活动，永久降低组织中的风险水平。