Grupo Ximenez Politique de sécurité

Politique de sécurité

Politique de sécurité

1. OBJET

ILUMINACIONES XIMÉNEZ, S.A.U. (ci-après Iluminaciones Ximénez) considère l’information comme un actif essentiel pour l’accomplissement adéquat de ses fonctions. Une grande partie des informations contenues dans les systèmes d’information des entités publiques et privées, ainsi que les services qu’elles fournissent, constituent des actifs stratégiques nationaux. Les informations et les services fournis sont soumis à des menaces et à des risques provenant d’actions malveillantes ou illicites, d’erreurs ou de défaillances, ainsi que d’accidents ou de catastrophes.

Dans son engagement à garantir que les services mis à disposition des utilisateurs par voie électronique soient fournis dans des conditions de sécurité maximales, Iluminaciones Ximénez élabore et approuve la présente Politique de Sécurité de l’Information, en appliquant les mesures de sécurité minimales exigées par le Schéma National de Sécurité (ENS), relatives à :

A. Organisation et mise en œuvre du processus de sécurité.

B. Analyse et gestion des risques.

C. Gestion du personnel.

D. Professionnalisme.

E. Autorisation et contrôle des accès.

F. Protection des installations.

G. Acquisition de produits de sécurité et passation de services de sécurité.

H. Principe du moindre privilège.

I. Intégrité et mise à jour du système.

J. Protection de l’information stockée et en transit.

K. Prévention liée aux autres systèmes d’information interconnectés.

L. Enregistrement de l’activité et détection de code malveillant.

M. Incidents de sécurité.

N. Continuité d’activité.

O. Amélioration continue du processus de sécurité.

Les différentes unités doivent s’assurer que la sécurité de l’information constitue une partie essentielle des services fournis par Iluminaciones Ximénez et protéger cette information tout au long de son cycle de vie (collecte, transport, traitement, stockage et destruction). Elles doivent être prêtes à prévenir, détecter, réagir et se rétablir face aux incidents, garantissant ainsi la continuité des services avec un niveau de sécurité et de qualité adéquat.

La présente Politique de Sécurité garantit l’engagement manifeste de la direction pour sa diffusion, sa consolidation et son respect.

2. CHAMP D’APPLICATION

La présente Politique de Sécurité s’applique à toutes les unités, services, employés internes et externes d’Iluminaciones Ximénez, quel que soit leur niveau hiérarchique. Elle s’applique également à tous les systèmes d’information et infrastructures de communication utilisés dans l’exercice des fonctions de l’organisation.

À travers cette politique, l’organisation montre son engagement à établir, mettre en œuvre, maintenir et améliorer continuellement un système de gestion de la sécurité conforme aux principes de l’article 5 du Décret Royal 311/2022 :

• Comprendre la sécurité comme un processus global.

• Gérer la sécurité sur la base des risques.

• Surveiller et contrôler en continu les événements de sécurité afin de garantir la prévention, la détection, la réponse et la conservation.

• Mettre en place des dispositifs de défense.

• Évaluer périodiquement l’état de la sécurité.

• Assurer une différenciation claire des responsabilités.

3. MISSION ET OBJECTIFS

Pour accomplir les missions et compétences qui lui ont été confiées, Iluminaciones Ximénez met à disposition des utilisateurs les services nécessaires afin de satisfaire les besoins et attentes de l’entité, de ses utilisateurs et de ses clients. Pour soutenir sa mission, Iluminaciones Ximénez s’appuie sur des technologies appropriées et valorise la relation électronique avec les utilisateurs et clients, instaurant la confiance nécessaire grâce à un système de sécurité de l’information global couvrant l’ensemble de l’organisation.

Ces systèmes visent à garantir la qualité de l’information et la continuité des services, en agissant de manière préventive, en supervisant l’activité quotidienne et en réagissant rapidement aux incidents. Les objectifs généraux en matière de sécurité de l’information sont :

1. Disposer des mesures de contrôle nécessaires pour se conformer aux exigences légales applicables, notamment relatives à la protection des données à caractère personnel et à la prestation de services électroniques.

2. Garantir l’accès, l’intégrité, la confidentialité, la disponibilité, l’authenticité et la traçabilité de l’information, ainsi que la continuité des services, en agissant préventivement et en réagissant promptement aux incidents.

3. Protéger les ressources informationnelles de l’entité et les technologies utilisées pour leur traitement contre les menaces internes ou externes, intentionnelles ou accidentelles.

4. Instaurer la confiance des utilisateurs en protégeant leurs informations durant tout leur cycle de vie.

5. Faciliter l’amélioration continue des processus, procédures, produits et services de sécurité.

6. Garantir la continuité d’activité en établissant des plans de contingence pour les services critiques et en maintenant la sécurité en permanence.

7. Sensibiliser, former et motiver le personnel quant à l’importance de la sécurité dans leur environnement professionnel.

4. CADRE NORMATIF

Le cadre normatif applicable aux activités d’Iluminaciones Ximénez, qui implique l’implantation explicite de mesures de sécurité, inclut principalement :

• Décret Royal 311/2022 du 3 mai, régulant le Schéma National de Sécurité.

• Loi Organique 3/2018 du 5 décembre relative à la Protection des Données Personnelles et à la Garantie des Droits Numériques.

• Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (RGPD).

Les autres lois nationales et régionales relatives à la sécurité de l’information, aux services prestés ou à la protection des données personnelles font également partie du cadre normatif.

La maintenance de ce cadre relève du Responsable de la Sécurité de l’Information d’Iluminaciones Ximénez ou de la personne déléguée. Seront également intégrés les guides de sécurité du CCN applicables au respect du ENS.

5. ORGANISATION DE LA SÉCURITÉ

Pour gérer et coordonner proactivement la sécurité de l’information, le COMITÉ DE SÉCURITÉ DE L’INFORMATION est créé.

Il est composé des rôles suivants :

a. RESPONSABLE DE L’INFORMATION

Détermine les exigences relatives aux informations traitées et assume la responsabilité ultime de leur utilisation et protection.

Informe sur l’état de la sécurité et peut convoquer les réunions du Comité.

b. RESPONSABLE DE SERVICE

Définit les exigences des services fournis et leurs niveaux de sécurité.

Assure la conformité des règles de sécurité dans son domaine et informe le Responsable de l’Information.

c. RESPONSABLE DE LA SÉCURITÉ

Détermine et supervise les mesures nécessaires pour satisfaire les exigences de sécurité.

Ses fonctions incluent : analyse des risques, déclaration d’applicabilité, documentation de sécurité, rapports, élaboration des plans de formation, de continuité, d’amélioration, etc.

Ce rôle doit être différent de celui du Responsable du Système.

d. RESPONSABLE DU SYSTÈME

Met en œuvre la sécurité dans le système d’information, supervise son fonctionnement quotidien et réalise les tests de continuité.

Peut suspendre temporairement un service en cas de graves défaillances de sécurité (avec accord des rôles concernés).

f. SECRÉTAIRE DU COMITÉ

Assure la rédaction des procès-verbaux (tenu par le Responsable de la Sécurité).

g. DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPD/DPO)

Garantit le respect des droits des personnes concernées.

Nomination et fonctionnement

Les membres du Comité sont nommés par la direction.

Les rôles sont révisés tous les trois ans ou en cas de vacance.

Les conflits non résolus par le Comité sont transmis à la direction.

5.1. FONCTIONS DU COMITÉ DE SÉCURITÉ

• Assurer le respect des obligations liées aux données personnelles.

• Informer la direction de l’état de la sécurité.

• Promouvoir l’amélioration continue.

• Élaborer la stratégie de sécurité.

• Coordonner les efforts des unités.

• Rédiger et réviser la Politique de Sécurité.

• Approuver la réglementation sécurité.

• Évaluer les risques.

• Définir les exigences de formation.

• Surveiller les risques résiduels et les incidents.

• Promouvoir des audits périodiques.

• Prioriser les actions lorsque les ressources sont limitées.

• Veiller à la sécurité des projets TIC.

• Résoudre les conflits de responsabilité.

• Approuver les plans d’amélioration après incidents.

6. DÉVELOPPEMENT DE LA POLITIQUE DE SÉCURITÉ

Le Comité a approuvé le développement d’un système de gestion conforme aux standards de sécurité et aux contrôles du ENS, documenté et fondé sur des preuves.

La documentation de sécurité sera accessible au personnel, fournisseurs et sous-traitants selon les besoins.

7. SENSIBILISATION

Iluminaciones Ximénez mettra en œuvre les mécanismes nécessaires pour assurer l’information, la formation et la sensibilisation du personnel en matière de sécurité et de confidentialité.

Tout le personnel doit connaître et respecter cette Politique ainsi que les procédures associées.

8. GESTION DES RISQUES

Iluminaciones Ximénez réalisera régulièrement des analyses de risques, notamment en cas de modifications significatives, conformément à l’article 6 du ENS.

Le Comité analysera les conclusions et définira les mesures nécessaires pour maintenir les risques à un niveau acceptable.

9. PROTECTION DES DONNÉES PERSONNELLES

L’entité ne collectera que des données personnelles pertinentes, adéquates et limitées à ce qui est nécessaire.

Les mesures techniques et organisationnelles requises par la loi et par le ENS seront appliquées.

10. TIERCES PARTIES

Lorsque l’entité fournit des services ou traite des données pour d’autres organisations, celles-ci seront informées de la Politique et des mécanismes de coordination et de réponse aux incidents.

Les prestataires doivent respecter le ENS, permettre des audits et assurer la formation de leur personnel.

En cas de risques non couverts, un rapport doit être approuvé avant toute contractualisation.

Les systèmes d’intelligence artificielle devront également être évalués par les rôles compétents et le DPO.

11. GESTION DES INCIDENTS DE SÉCURITÉ

L’entité disposera d’une procédure agile pour la gestion des incidents, intégrée avec les obligations sectorielles (ex. RGPD) et les autorités compétentes.

12. APPROBATION ET RÉVISION

Cette politique reflète l’engagement d’Iluminaciones Ximénez envers la sécurité de l’information.

Elle peut être modifiée sur proposition du Comité et est approuvée par la direction.

Une révision annuelle au minimum sera réalisée.

Puente Genil, le 4 novembre 2025

/