POLÍTICA DE SEGURIDAD MANPOWERGROUP
Fecha: 31-01-2025
En ManpowerGroup existe implantada una política de gestión Seguridad de los Sistemas de Información, que permite cumplir con la misión actual y avanzar hacia la visión que se tiene para la empresa en el futuro, basándose en los valores propios y diferenciales
El objetivo de ManpowerGroup es mantener y mejorar de forma continua el Sistema de Gestión de Seguridad de la Información de las actividades de las sociedades del grupo incluidas en el alcance del mismo.
Esta Política de Seguridad de la Información es coherente con los objetivos de negocio establecidos por la Dirección la cual efectúa los seguimientos sistemáticos que entienda oportunos y comprueba si los recursos asignados son los adecuados para su correcto desarrollo.
Otro de los objetivos de ManpowerGroup y de esta Política de Seguridad de la Información es garantizar la seguridad de la información en todos los procesos. Para ello proporciona directrices a través de los documentos de su Sistema de Gestión de Seguridad de la Información, cuya misión es definir operativas y comportamientos que refuercen la seguridad de la información integrados siempre en los procesos de la compañía. Esta Política conlleva acciones en seguridad física, electrónica e informática.
Para alcanzar nuestros objetivos, la Dirección lidera e impulsa la ejecución de las siguientes acciones:
- Establecer y mantener el Sistema de Gestión de Seguridad de la Información, planeado y desarrollado en conjunto con el resto de las funciones de la Dirección, y verificado regularmente para asegurar su adecuación y eficacia, persiguiendo la mejora continua, y para garantizar el cumplimiento de los requisitos aplicables a la seguridad de la información de la que dispone.
- Estructurar una organización acorde a las necesidades para el cumplimiento de los objetivos marcados, de modo que los esfuerzos individuales contribuyan coordinados a la consecución eficiente de los objetivos de mejora.
- Instruir, motivar e implicar a todos los profesionales en la gestión y desarrollo del Sistema de Gestión de Seguridad de la Información implantado.
- Asegurar que el Sistema de Gestión de Seguridad de la Información cumple con el Real Decreto 311 de 2022 que regula el Esquema Nacional de Seguridad, así como con la legislación relacionada que sea aplicable, entre la que destaca el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- Asegurar que nuestros Activos y Servicios cumplen con las medidas del ENS de Nivel MEDIO para las dimensiones de Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad estando el sistema categorizado según Art.40 y Anexo 1 del Real Decreto 311/2022
- Asegurar que el Sistema de Gestión de Seguridad de la Información cumple con los requerimientos de la norma UNE-ISO/IEC 27001:2017 que son de obligado cumplimiento para toda la organización, así como requisitos mínimos de seguridad expresados en el Art.12 y principios básicos del Art. 5 del ENS
- Proporcionar mecanismos de coordinación y resolución de conflictos fomentando la transversalidad de la información que alcance o incumba a las diferentes áreas del departamento (Ej. Reuniones mensuales de Status)
- El Responsable de Seguridad de la Información se responsabiliza del desarrollo, implantación, actualización y supervisión del cumplimiento de todo el Sistema de Gestión de Seguridad de la Información.
ALCANCE
Las siguientes actividades quedarían dentro del alcance que englobaría el Sistema de Gestión de Seguridad de la Información conforme a la norma UNE-ISO/IEC 27001:2017 de ManpowerGroup:
Los sistemas de información (hardware y software) que dan soporte a las actividades de negocio:
MANPOWER TEAM E.T.T, S.A.U.
- Los servicios de selección y gestión del trabajo temporal.
- Los servicios de selección de personal para la contratación por parte de las empresas clientes.
- Actividades de intervención laboral de agencias de colocación.
MANPOWERGROUP SOLUTIONS, S.L.U.
- Gestión y prestación de los servicios de recursos humanos.
- Los servicios de selección de personal para la contratación por parte de las empresas clientes.
EXPERIS MANPOWERGROUP, S.L.U.
- Servicios profesionales en el área de las tecnologías de la información y las comunicaciones.
- La consultoría de sistemas de información y de cumplimiento normativo, la Asistencia Técnica (Gestión, Administración, Desarrollo y Mantenimiento de Sistemas de Información).
RIGHT MANAGEMENT SPAIN, S.L.U.
- Servicios de recolocación y transición de carrera profesional.
RESPONSABILIDADES DEL DIRECTOR GENERAL
- Establecer y revisar periódicamente la política de Seguridad de la Información de ManpowerGroup.
- Máximo responsable de implantar el ENS.
- Establecer, realizar el seguimiento y revisión de los objetivos de mejora del Sistema de Gestión de Seguridad de la Información de ManpowerGroup.
- Proporcionar los recursos necesarios para garantizar la mejora continua de la eficacia del Sistema de Gestión de Seguridad de la Información.
- Satisfacer tanto los requerimientos de los clientes como los legales y reglamentarios en materia de Seguridad de la Información.
- Asegurar la disponibilidad de recursos necesarios para el correcto funcionamiento del Sistema de Gestión de Seguridad de la Información y la consecución de los objetivos de mejora del mismo.
RESPONSABLES DEL SERVICIO:
Los Responsables del Servicio para cada una de las sociedades o negocios que se integran en el Sistema de Gestión de Seguridad de la Información son sus Directores Generales y de ellos depende:
- Establecer, realizar el seguimiento y revisión de los objetivos de mejora de seguridad de la información de la sociedad de la que son responsables.
- Proporcionar los recursos necesarios para garantizar la mejora continua de la eficacia del Sistema de Gestión de Seguridad de la Información en las sociedades de las que son responsables.
- Asegurarse de satisfacer tanto los requerimientos de los clientes como los legales y reglamentarios en materia de Seguridad de la Información de las sociedades de las que son responsables.
- Determinar los requisitos de seguridad de la información de los servicios prestados por las sociedades de las que son responsables.
- Garantizar el cumplimiento de los objetivos y métricas establecidos para los servicios prestados por las sociedades de las que son responsables (SLAs).
- Organización diaria de los recursos.
RESPONSABLE DE LA INFORMACIÓN:
Las responsabilidades del Responsable de la Información son:
- Determinar los requisitos de la información tratada.
Esta Responsabilidad es asumida por la C.I.O. de ManpowerGroup.
RESPONSABLE DEL SISTEMA:
Las responsabilidades del Responsable del Sistema son:
- Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida, incluyendo sus especificaciones, instalación y verificación de su correcto funcionamiento
Esta Responsabilidad es asumida por la C.I.O. de ManpowerGroup.
RESPONSABLE DE LA SEGURIDAD:
Las responsabilidades del Responsable de la Seguridad de Información son:
- Determinar las decisiones de seguridad pertinentes para satisfacer los requisitos establecidos por los responsables de la información y de los servicios.
- Analizar los informes de autoevaluación y/o los informes de auditoría.
- Elaborar la documentación propia de los procesos del Sistema de Gestión de Seguridad de la Información.
- Proponer indicadores para el seguimiento de los procesos del Sistema de Gestión de Seguridad de la Información y objetivos de mejora de los mismos.
- Realizar el seguimiento de los objetivos de mejora de Seguridad de la Información.
- Proponer acciones correctivas y acciones preventivas que eviten la repetición de problemas.
- Realizar la evaluación de riesgos de seguridad de la información.
- Mantener actualizado el Documento de Seguridad.
- Mantener el Sistema de Gestión de Seguridad de la Información
- Colaborar estrechamente con el Responsable de Calidad y con la Dirección General en todos los aspectos de Seguridad de la Información relacionados con el Sistema de Gestión.
El Director General asigna la responsabilidad de que los requerimientos de Seguridad de la Información recogidos en el Sistema de Gestión se mantengan actualizados y en funcionamiento al Responsable de Seguridad de la Información, responsabilidad que asume el Director Ejecutivo de Tecnología.
DIRECTOR EJECUTIVO DE TECNOLOGÍA:
Las responsabilidades del Director Ejecutivo de Tecnología son:
- Gestionar a nivel de administración a todos los usuarios/grupos.
- Colaborar con los Responsables de Calidad, Dirección General y Responsable de Seguridad.
- Mejorar y actualizar el sistema de hardware y software en estado óptimo.
DPO
Las responsabilidades del DPO son:
- Velar por el cumplimiento de la legislación y normativa aplicable en protección de datos personales aplicable.
- Asumir las funciones establecidas por la legislación y normativa aplicable a la organización en materia de protección de datos.
RENOVACIÓN/CAMBIO DE ROL
Toda renovación o cambio de rol, sea por el motivo que fuere (desvinculación, promoción, etc..), así como la estructura del comité para la gestión y coordinación de la seguridad, se decidirá tras reunión entre Country Manager y el/la Responsable de la Información.
Todos los cambios deberán ser comunicados a la organización con el objetivo de proporcionar el correspondiente nuevo contacto a la misma.
ESTRUCTURA COMITÉ SEGURIDAD DE LA INFORMACION
Comité De Seguridad de la Información |
CEO |
CIO / Responsable de la Información |
DPO |
Dtor Ejecutivo Tecnología/Responsable de seguridad |
DIRECTRICES GENERALES DE LA SEGURIDAD DE LA INFORMACION
- Identificación y clasificación de la documentación:
- Identifica y clasifica la documentación de seguridad del sistema en función de su sensibilidad y relevancia para la protección de los activos de información.
- Creación de políticas y procedimientos:
- Desarrolla políticas y procedimientos claros para la creación, revisión, aprobación y distribución de la documentación de seguridad del sistema.
- Especifica los roles y responsabilidades de las partes involucradas en la gestión de la documentación.
- Control de versiones y cambios:
- Implementa un sistema de control de versiones para garantizar la integridad y la trazabilidad de los documentos.
- Establece un proceso formal para solicitar, revisar y aprobar cambios en la documentación, con seguimiento de auditoría.
- Acceso y seguridad de la documentación:
- Limita el acceso a la documentación de seguridad del sistema solo a las personas autorizadas.
- Utiliza medidas de seguridad adecuadas, como cifrado, contraseñas seguras y sistemas de autenticación de dos factores, para proteger la documentación almacenada electrónicamente.
- Implementa controles de acceso físico y lógico para proteger la documentación en formato impreso y electrónica.
- Distribución y difusión:
- Establece un proceso para la distribución y difusión controlada de la documentación de seguridad del sistema a las partes interesadas pertinentes.
- Proporciona capacitación y concienciación sobre la importancia de la seguridad de la información y el manejo adecuado de la documentación.
- Auditoría y cumplimiento:
- Se realizarán auditorías periódicas para verificar el cumplimiento de las políticas y procedimientos relacionados con la documentación de seguridad del sistema.
- La documentación debe estar alineada con los estándares de seguridad de la información relevantes.