Hablemos

Política de seguridad

1. Aprobación y entrada en vigor

Texto aprobado el día 03/07/2025 por la Dirección de la Empresa. Esta Política se Seguridad de la Información está vigente desde la fecha de aprobación y hasta que sea reemplazada por una nueva Política. Este texto deroga al anterior, que fue aprobado el día de 31/03/2023.

2. Introducción

ASLAM (En adelante ASLAM) es una consultora tecnológica española con una presencia relevante en el sector de servicios IT, especialmente en outsourcing especializado, ciberseguridad e infraestructuras.

ASLAM con sede principal en Madrid, que ha logrado posicionarse como un referente en la externalización de talento y ejecución de proyectos digitales complejos.

ASLAM divide su actividad en varios pilares estratégicos:

1.    Consultoría y Transformación Digital: Diseño de estrategias para optimizar procesos de negocio mediante tecnología.

2.    Desarrollo de Software a Medida: Creación de aplicaciones específicas con metodologías ágiles.

3.    Inteligencia Artificial: Implementación de soluciones de IA para mejorar la capacidad operativa y la toma de decisiones.

4.    Ciberseguridad: Protección de infraestructuras.

5.    Outsourcing (Staffing): Suministro de perfiles técnicos especializados para proyectos externos.

ASLAM depende de los sistemas de información para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas, en función del riesgo, para protegerlos frente a daños accidentales o deliberados que puedan afectar a la autenticidad, trazabilidad, integridad o confidencialidad de la información tratada o la disponibilidad de los servicios prestados.

Para ello, ASLAM, establece un conjunto de actividades de gestión que tienen como objetivo preservar los sistemas TIC contra amenazas de rápida evolución con potencial para incidir en la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.

Esto implica que los diferentes departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad y normas internacionales como la ISO 27001:2022 Sistemas de Seguridad de la Información y la UNE-EN ISO/IEC  27701:2019 Sistemas de gestión de la privacidad de la información, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

ASLAM debe cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Dentro del amparo de lo anterior, se encuentra embebida la protección de la privacidad. Nuestros sistemas tratan datos personales sensible y por ello, la protección de la privacidad se erige como un pilar esencial en el marco de SGSI y se constituye como una necesidad social que las empresas deben respetar y proteger, así como objeto de legislación y/o regulación específica en todo el mundo.

3. Alcance

Esta política se aplica a todos los sistemas de información de a las personas que conforman la organización y a los prestadores de servicios o proveedores de soluciones TIC de ASLAM.

4. Misión

La Política de Seguridad proporciona las bases para definir y delimitar los objetivos y responsabilidades para las diversas actuaciones técnicas, legales y organizativas que se requieran para garantizar la seguridad de la información y la privacidad, cumpliendo el marco legal de aplicación y las políticas globales y específicas de firma, así como los procedimientos definidos.

Los objetivos en materia de seguridad que la pretende garantizar con la presente Política serán:

  • Garantizar la confidencialidad, integridad, autenticidad de la información y la continuidad en la prestación de los servicios. • Implementar medidas de seguridad en función del riesgo.
  • Formar y concienciar a los integrantes de la respecto a la seguridad de la información. Implementar medidas de seguridad que permitan la trazabilidad de los accesos y respetar, entre otros, el principio de mínimo privilegio, reforzando también el deber de confidencialidad de las personas usuarias en relación con la información que conocen en el desempeño de sus funciones.
  • Desplegar y controlar la seguridad física haciendo que los activos de información se encuentren en áreas seguras, protegidos por controles de acceso, atendiendo a los riesgos detectados.
  • Establecer la seguridad en la gestión de comunicaciones mediante los procedimientos necesarios, logrando que la información que sea transmita a través de redes de comunicaciones sea adecuadamente protegida.
  • Controlar la adquisición, desarrollo y mantenimiento de los sistemas de información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
  • Controlar el cumplimiento de las medidas de seguridad en la prestación de los servicios, manteniendo el control en la adquisición e incorporación de nuevos componentes del sistema.
  • Gestionar los incidentes de seguridad para la correcta detección, contención, mitigación y resolución de estos, adoptando las medidas necesarias para que los mismos no vuelvan a reproducirse.
  • Proteger la información personal, adoptando las medidas técnicas y organizativas en atención a los riesgos derivados del tratamiento conforme a la legislación en materia de protección de datos.
  • Supervisar de forma continuada el sistema de gestión de la seguridad, mejorando y corrigiendo las ineficiencias detectadas.

5. Principios rectores de la política

Alcance estratégico: la seguridad de la información debe contar con el compromiso y apoyo de todos los niveles de la entidad y deberá coordinarse e integrarse con el resto de las iniciativas estratégicas de forma coherente

  • Seguridad integral: la seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con los sistemas de la información, procurando evitar cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas TIC.
  • Gestión de la seguridad basada en el riesgo: la gestión de la seguridad basada en los riesgos identificados permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. Las medidas de seguridad se establecerán en función de los riesgos a que esté sujeta la información y sus sistemas. y serán proporcionales al riesgo que tratan, debiendo estar justificadas. Se tendrán también en cuenta los riesgos identificados en el tratamiento de datos personales.
  • Prevención, detección, respuesta y conservación con la implementación de acciones preventivas de incidentes, minimizando las vulnerabilidades detectadas, evitando la materialización de las amenazas y, cuando estas se produzcan, danto una respuesta ágil para restaurar la información o servicios prestados, garantizando una conservación segura de la información.
  • Existencia de líneas de defensa, la estrategia de seguridad de la entidad se diseña e implementa en capas de seguridad.
  • Vigilancia continua y reevaluación periódica: la entidad implementa medios la detección y respuesta a actividades o comportamientos anómalos. Además, de otros que permitan una evaluación continuada del estado de seguridad de los activos, Existirá, también, un proceso de mejora continua para la revisión y actualización de las medidas de seguridad, de manera periódica, conforme a su eficacia y la evolución de los riesgos y sistemas de protección.
  • Seguridad por defecto y desde el diseño: los sistemas deben estar diseñados y configurados para garantizar la seguridad por defecto. Los sistemas proporcionarán la funcionalidad mínima necesaria para prestar el servicio para el que fueron diseñados.
  • Diferenciación de responsabilidades, en aplicación de este principio las funciones del Responsable de la Seguridad y del Responsable del Sistema estarán diferenciadas.

En lo que respecta de manera específica a la protección de los datos personales, ASLAM   se compromete a cumplir con los principios indicados en la legislación de referencia y en y la UNE-EN ISO/IEC  27701:2019 Sistemas de gestión de la privacidad de la información.

La documentación relativa, a la que tendrán acceso sólo las personas autorizadas, recoge los registros de actividad de tratamiento de datos afectados y los responsables correspondientes. Todos los sistemas de información de ASLAM se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal.

En lo que respecta de manera específica a la protección de los datos personales, ASLAM se compromete a cumplir con los principios indicados en la legislación de referencia. Estos son:

  • Principio de “licitud, transparencia y lealtad”. Los datos deben ser tratados de manera lícita, leal y transparente para el interesado.
  • Principio de “finalidad”. Los datos deben ser tratados con una o varias finalidades determinadas, explícitas y legítimas y, por otro lado, se prohíbe que los datos recogidos con unos fines determinados, explícitos y legítimos sean tratados posteriormente de una manera incompatible con esos fines.
  • Principio de “minimización de datos”. Aplicar medidas técnicas y organizativas para garantizar que sean objeto de tratamiento los datos que únicamente sean precisos para cada uno de los fines específicos del tratamiento reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad.
  • Principio de “exactitud”. Disponer de medidas razonables para que los datos se encuentren actualizados, se supriman o modifiquen sin dilación cuando sean inexactos con respecto a los fines para los que se tratan.
  • Principio de “limitación del plazo de conservación”. La conservación de los datos debe limitarse en el tiempo al logro de los fines que persigue el tratamiento.
  • Principio de “seguridad” Realizar un análisis de riesgos orientado a determinar las medidas técnicas y organizativas necesarias para garantizar la integridad, la disponibilidad y la confidencialidad de los datos personales que traten.
  • Principio de “responsabilidad activa” o “responsabilidad demostrada”. Mantener diligencia debida de manera permanente para proteger y garantizar los derechos y libertades de las personas físicas cuyos datos son tratados en base a un análisis de los riesgos que el tratamiento representa para esos derechos y libertades, de modo que podamos garantizar y demostrar que el tratamiento se ajusta a las previsiones del RGPD, la LOPDGD y la UNE-EN ISO/IEC 27701:2019 Sistemas de gestión de la privacidad de la información.
  • Coordinar todos los aspectos relacionados con la adecuación de las actuaciones de ASLAM en materia de protección de datos de carácter personal.
  • Coordinar, de forma conjunta con el Responsable de Seguridad, el cumplimiento del propio ENS en todo lo concerniente a la protección de datos de carácter personal
  • Dirigir, apoyar y supervisar el sistema de gestión de la seguridad de la información, según lo establecido en el RD 311.2022 y posteriores modificaciones y buscar se alcancen los objetivos del mismo.

 

La dirección de ASLAM se compromete a apoyar y promover los principios establecidos en esta Política, para lo que pide al personal de ASLAM que asuma y se atenga a las previsiones del sistema de gestión documentado para el ENS.

6. Criterios para la determinación del nivel de seguridad

ASLAM establecerá los criterios para determinar el nivel de seguridad requerido para la información y los servicios, de acuerdo con el marco establecido en el artículo 40 del ENS y los criterios generales definidos en su Anexo I.

En particular:

  • El nivel de seguridad de la información y de los sistemas se determinará en función de:
    • El impacto que tendría un incidente sobre la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.
    • La naturaleza de la información tratada (por ejemplo, datos personales, información sensible, información pública).
    • Los requisitos legales, reglamentarios y contractuales aplicables.

 

  • ASLAM aplicará la categorización de sistemas establecida en el ENS, asignando un nivel Medio a cada sistema de información.
  • Los criterios de categorización y el nivel de seguridad resultante serán revisados periódicamente y siempre que se produzcan cambios relevantes en los sistemas, la información o el contexto de riesgo.

7. Organización de la seguridad

Esta política se aplica a todos los sistemas TIC de ASLAM y a todos los miembros de la organización, sin excepciones.

ASLAM se compromete a prestar sus servicios de forma gestionada y cumpliendo con los requisitos establecidos en su Sistema Integrado de Gestión de modo que se garantice un servicio ininterrumpido conforme a los requisitos de disponibilidad, seguridad y calidad hacia los clientes.

Para ello, la organización establece un órgano de gobierno – Comité de Seguridad, que transforme las directrices de seguridad en acciones operativas reales y coordinadas

7.1 Comité de Seguridad

Los integrantes del Comité de Seguridad serán designados en un acta fundacional, donde se indicará la persona designada y el cargo que deberá ostentar.

El Comité de Seguridad tendrá las siguientes funciones:

  • Atender las inquietudes de la Alta Dirección y de los diferentes departamentos.
  • Informar regularmente del estado de la seguridad de la información a la Alta Dirección.
  • Promover la mejora continua del sistema de gestión de la seguridad de la información.
  • Elaborar la estrategia de evolución de la Organización en lo que respecta a seguridad de la información.
  • Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que los esfuerzos son consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
  • Elaborar (y revisar regularmente) la Política de Seguridad para que sea aprobada por la Dirección.
  • Aprobar la normativa de seguridad de la información.
  • Coordinar todas las funciones de seguridad de la organización.
  • Velar por el cumplimiento de la normativa legal y sectorial de aplicación.
  • Velar por el alineamiento de las actividades de seguridad a los objetivos de la organización.
  • Coordinar los Planes de Continuidad de las diferentes áreas, para asegurar una actuación sin fisuras en caso de que deban ser activados.
  • Coordinar y aprobar, en su caso, las propuestas de proyectos recibidas de los diferentes ámbitos de seguridad, encargándose gestionar un control y presentación regular del progreso de los proyectos y anuncio de las posibles desviaciones.
  • Recibir las inquietudes en materia de seguridad de la Dirección de la entidad y transmitirlas a los responsables departamentales pertinentes, recabando de ellos las correspondientes respuestas y soluciones que, una vez coordinadas, habrán de ser comunicadas a la Dirección.
  • Recabar de los responsables de seguridad departamentales informes regulares del estado de la seguridad de la organización y de los posibles incidentes. Estos informes, se consolidan y resumen para su comunicación a la Dirección de la entidad.
  • Coordinar y dar respuesta a las inquietudes transmitidas a través de los responsables de seguridad departamentales.
  • Definir, dentro de la Política de Seguridad Corporativa, la asignación de roles y los criterios para alcanzar las garantías pertinentes en lo relativo a segregación de funciones
  • Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de la información.
  • Monitorizar los principales riesgos residuales asumidos por la Organización y recomendar posibles actuaciones respecto de ellos.
  • Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto de ellos. En particular, velar por la coordinación de las diferentes áreas de seguridad en la gestión de incidentes de seguridad de la información.
  • Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
  • Aprobar planes de mejora de la seguridad de la información de la Organización. En particular velará por la coordinación de diferentes planes que puedan realizarse en diferentes áreas.
  • Priorizar las actuaciones en materia de seguridad cuando los recursos sean limitados.
  • Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
  • Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes áreas de la Organización.

7.2 Roles: Funciones y responsabilidades

Se detallarán a continuación las funciones de los responsables de la organización:

Responsable de la Información

  • Responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección.
  • Responsable último de cualquier error o negligencia que conlleve un incidente de confidencialidad o de integridad (en materia de protección de datos) y de disponibilidad (en materia de seguridad de la información).
  • Establecer los requisitos de la información en materia de seguridad.
  • Determinar y aprobar los niveles de seguridad de la información.
  • Aprobar la categorización del sistema con respecto a la información.
  • Los que se vayan indicando en los documentos dentro del alcance del ENS.

Responsable del Servicio

  • Establecer los requisitos del servicio en materia de seguridad.
  • Determinar los niveles de seguridad de los servicios.
  • Aprobar la categorización del sistema con respecto a los servicios.
  • Los que se vayan indicando en los documentos dentro del alcance del ENS.

Responsable de la Seguridad

Sus funciones serán las siguientes:

  • Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, de acuerdo a lo establecido en la Política de Seguridad de la Información de la organización.
  • Promover la formación y concienciación en materia de seguridad de la información dentro de su ámbito de responsabilidad.
  • Aprobar la declaración de aplicabilidad.
  • Canalizar y supervisar, tanto el cumplimiento de los requisitos de seguridad del servicio que se presta o solución que provee, como las comunicaciones relativas a la seguridad de la información y la gestión de los incidentes para el ámbito de dicho servicio (POC).
  • Los que se vayan indicando en los documentos dentro del alcance del ENS.
  • El Responsable de la Seguridad será el secretario del Comité de Seguridad con las funciones indicadas en el apartado 3.5.1 de la presente política.

Responsable del Sistema

Sus funciones serán las siguientes:

  • Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • Definir la topología y la gestión del sistema de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.
  • Cerciorarse de que las medidas de seguridad se integren adecuadamente en el marco general de seguridad.
  • Potestad para proponer la suspensión del tratamiento de una cierta información o la prestación de un determinado servicio si aprecia deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos.
  • Los que se vayan indicando en los documentos dentro del alcance del ENS.

Responsable de Privacidad

Sus funciones serán las siguientes:

  • Coordinar todos los aspectos relacionados con la adecuación de las actuaciones de ASLAM en materia de protección de datos de carácter personal.
  • Coordinar, junto con el Responsable de Seguridad, el cumplimiento del ENS con respecto a la protección de datos de carácter personal.

Secretario del Comité de Seguridad

Será el RESPONSABLE DE SEGURIDAD y tendrá como funciones:

  • Convoca las reuniones del Comité de Seguridad.
  • Prepara los temas a tratar en las reuniones del Comité, aportando información puntual para la toma de decisiones.
  • Elabora el acta de las reuniones.
  • Es responsable de la ejecución directa o delegada de las decisiones del Comité.
  • El Comité de Seguridad reportará a Dirección General.

7.3 Procedimientos de designación

El Responsable de Seguridad será nombrado por el Comité de Seguridad. El nombramiento se revisará cada 2 años o cuando el puesto quede vacante.

Igualmente, el resto de los cargos indicados en el apartado anterior será designado por el Comité de Seguridad mediante acta de reunión.

7.4 Revisión de la Política de Seguridad

Será misión del Comité de Seguridad la revisión anual de esta Política de Seguridad y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por la Alta Dirección y difundida para que la conozcan todas las partes afectadas.

7.5 Resolución de conflictos

En el caso de conflictos entre los diferentes responsables, el Comité de Seguridad de la Información tendrá autoridad para dirimir las discrepancias.

8. Gestión de la documentación

Esta Política de Seguridad complementa las políticas de seguridad de ASLAM en diferentes materias y se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

La documentación relativa a la Seguridad de la Información estará clasificada en tres niveles, de manera que cada documento de un nivel se fundamenta en los de nivel superior:

  • Primer nivel: Política de seguridad.
  • Segundo nivel: Normativas y procedimientos de seguridad.
  • Tercer nivel: Informes, registros y evidencias electrónicas.

 

El personal tendrá acceso a la información relevante en el siguiente repositorio:

https://aslamnewit.sharepoint.com/sites/S Calidad/Documentos%20compartidos/Forms/AllItems.aspx?viewid=0c4b53c1%2Dcd61%2D4525%2D9f7e%2Debbcc6aa3383&view=0-

9. Gestión de incidentes

Se detallarán a continuación las funciones de los responsables de la organización:

9.1 Prevención

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.

9.2 Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS y en la ISO 27001:2022 Sistemas de Seguridad de la Información.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales.

9.3. Respuesta

Los departamentos deben:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

9.4 Recuperación

Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas como parte de su plan general de continuidad de negocio y actividades de recuperación.

10. Gestión de riesgos

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • Regularmente, al menos una vez al año
  • Cuando cambie la información manejada
  • Cuando cambien los servicios prestados
  • Cuando ocurra un incidente grave de seguridad
  • Cuando se reporten vulnerabilidades graves

 

Para la armonización de los análisis de riesgos, el Comité de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité de Seguridad dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

11. Concienciación y formación

Es responsabilidad de la organización lograr la plena conciencia respecto a que la seguridad de la información afecta a todos los miembros de y a todas las actividades, de acuerdo con el principio de Seguridad como proceso integral recogido en el Artículo 6 del ENS, así como la articulación de los medios necesarios para que todas las personas que intervienen en el proceso y sus responsables jerárquicos tengan una sensibilidad hacia los riesgos que se corren. Por ello, ASLAM cuenta con una sistemática implementada en todas las áreas de la organización para formar, informar y concienciar a todo el personal con respecto a su implicación en la consecución de los objetivos de seguridad.

12. Obligaciones del personal

Todos los miembros de ASLAM tienen la obligación de conocer y cumplir esta Política de Seguridad y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad disponer los medios necesarios para que la información llegue a los afectados.

Todos los miembros de ASLAM atenderán a una sesión de concienciación en materia de seguridad de la información al menos una vez al año. Se establecerá un programa de concienciación continua para atender a todos los miembros de ASLAM en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

13. Terceras partes

Cuando ASLAM preste servicios a otras organizaciones públicas o privadas o maneje información de otras organizaciones públicas o privadas, se les hará partícipes de esta Política de Seguridad, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando ASLAM utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

14. Legislación aplicable

A continuación, se detallan las leyes que se consideran aplicables al SGSI, junto con una definición del área responsable de evaluar su impacto en la organización.

Ley / Regulación Responsabilidad
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas Responsable de Seguridad
Ley 40/2015, de 1 de octubre, establece y regula las bases del régimen jurídico de las Administraciones Públicas, los principios del sistema de responsabilidad de las Administraciones Públicas y de la potestad sancionadora, así como la organización y funcionamiento de la Administración General del Estado y de su sector público institucional para el desarrollo de sus actividades Responsable de Seguridad
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. Responsable de Seguridad
Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal Responsable de Seguridad
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos Responsable de Seguridad
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Responsable de Seguridad
Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI) Responsable de Seguridad
Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza Responsable de Seguridad
ISO 27001:2022 Sistemas de Gestión de Seguridad de la Información Responsable de Seguridad
UNE-EN ISO/IEC 27701:2019 Sistemas de gestión de la privacidad de la información Responsable de Seguridad y Privacidad

Además del marco legislativo general, ASLAM ha desarrollado el proceso PSI-16 Cumplimiento legal y Normativo y el registro Cumplimiento Legal y Normativo. A través de estos, ASLAM actualiza la legislación aplicable y verifica su cumplimiento.