Establecer las directrices y principios que regirán el modo en que Grant Thornton gestionará y protegerá su información y sus servicios, a través de la implantación, mantenimiento y mejora de un Sistema de Gestión de Seguridad de la Información (en adelante, SGSI) en base a los requisitos de la norma ISO/IEC 27001, el Esquema Nacional de Seguridad y TISAX, siempre dentro del marco regulatorio legal y vigente.
Tomando en cuenta el contexto de Grant Thornton para el SGSI, en el cual se determinan las cuestiones internas y externas de la Firma, las partes interesadas que son relevantes y sus requisitos para la seguridad de la información, así como las interfaces y dependencias entre las actividades realizadas por la Firma y las que se llevan a cabo por otras organizaciones en el cumplimiento de su misión como entidad privada.
Con el SGSI, se fortalece la seguridad de los servicios, así como de la información y datos que incluyen dichos servicios y que son necesarios para su correcta y adecuada prestación, por la estrecha relación entre ambos y los elementos adicionales que mejoran notablemente la gestión de la seguridad que es necesaria para Grant Thornton.
La presente política y el SGSI se mantendrá en concordancia con el marco legal vigente siendo necesario una revisión continua del mismo.
La Dirección se compromete a facilitar y proporcionar los recursos necesarios para el establecimiento, mantenimiento y mejora del SGSI, así como a demostrar liderazgo y compromiso respecto a este, a través de la constitución del Comité de Seguridad que tendrá la responsabilidad de:
Los objetivos de seguridad de la información se establecerán en las funciones y niveles pertinentes, enfocados a la mejora y utilizando como marco de referencia:
Grant Thornton determinará el nivel de riesgo de seguridad de la información en que se encuentra la Firma e identificará los controles de seguridad necesarios para el tratamiento del riesgo y llevarlo a un nivel aceptable, así como las oportunidades de mejora, considerando las cuestiones internas y externas y los requisitos de las partes interesadas antes indicados.
Los controles de seguridad deberán implantarse, mantenerse y mejorarse continuamente, y estar disponibles como información documentada, revisada y aprobada por el Comité Seguridad.
Si necesitara cualquier información adicional sobre la Política de Seguridad de la Información o tiene alguna sugerencia al respecto puede enviar un mensaje de correo electrónico a ciberseguridad@es.gt.com
Se realizarán auditorías que revisen y verifiquen el cumplimiento del SGSI para con los marcos normativos en los que la Firma se encuentra certificada, por lo que, en caso necesario, el personal afectado por el alcance deberá colaborar en estas para una mejora continua.
El Comité de Seguridad será el órgano encargado de aprobar la política y será el responsable de la autorización de sus modificaciones, así como de toda la información documentada del SGSI.
El Responsable de Seguridad (CISO) será el encargado de notificar la presente política al personal de Grant Thornton, y proveedores, y de los cambios que en ella se produzcan, así como de coordinar las acciones de implantación, mantenimiento y mejora del SGSI de la Firma, y de sus auditorías.
El Delegado de Protección de Datos (DPO) será el responsable de supervisar y velar por el cumplimiento de la normativa vigente en materia de protección de datos personales.
Todo el personal de la Firma será responsable de cumplir la presente política dentro de su área de trabajo, así como de aplicar toda la información documentada del SGSI en sus actividades laborales que afecta a su desempeño en seguridad de la información.
La presente versión de la Política de Seguridad de la Información es aprobada por el Comité de Seguridad de Grant Thornton y difundida a las partes interesadas de la Firma, con fecha de aprobación a 31 de enero del 2025.
 |
 |