Política de seguridad de la información
(ENS Nivel medio)

POL01 | Política | RD 311/2022 - ENS Categoría Media

EmpresaICSOFT INFORMÁTICA Y COMUNICACIONES, S.L.
NIFB06387724
DirecciónC/ Pantano Puerto Peña, 25 - 06010 Badajoz
Categoría ENSMEDIA
Versión1.0
Fecha01/06/2026
ClasificaciónUSO PÚBLICO
AprobaciónMediante acta global de aprobación documental
Sustituye / consolidaPOL01

1. Índice

1. Índice
2. Control de versiones
3. Objeto, alcance y criterio de uso
4. Contexto ICSOFT y servicios incluidos
5. Trazabilidad ENS / CCN-STIC-808
6. Responsabilidades
7. Misión, alcance y principios
8. Organización de la seguridad
9. Marco normativo y cumplimiento
10. Registros y evidencias
11. Aprobación

2. Control de versiones

VersiónFechaAutorDescripciónRevisadoAprobado
1.0 01/06/2026 Ascendia Versión inicial adaptada a ICSOFT ENS Categoría Media. Responsable de Seguridad (RSEG) Dirección - mediante acta global de aprobación documental
1.1 18/06/2026 Ascendia Añadido párrafo de difusión a empleados (org.1, A.5.2) y Anexo I de aceptación y firma de la Política y Normativa de Seguridad ENS (mp.per.1, mp.per.2). Responsable de Seguridad (RSEG) Dirección
1.2 02/07/2026 Ascendia Subsanación pre-auditoría: identificación y actualización de la legislación aplicable (org.1). Responsable de Seguridad (RSEG) Dirección

3. Objeto, alcance y criterio de uso

Establecer el marco de alto nivel para dirigir y controlar la seguridad de la información, fijando principios, objetivos, responsabilidades generales y compromiso de la Dirección conforme al ENS.

Este documento forma parte del sistema documental ENS de ICSOFT para categoría MEDIA.

Alcance vigente: los sistemas de información que dan soporte a la gestión completa del ciclo de vida del software, la protección del código fuente, la administración de repositorios, la gestión de versiones, la infraestructura tecnológica asociada y los servicios prestados a cliente para la gestión, control y seguimiento de actividades para la prevención de riesgos laborales.

Los responsables se nombran por rol en el documento. Las personas concretas quedarán formalizadas en el acta de nombramiento de roles ENS.

La aprobación documental se realizará mediante acta global de aprobación de política, normativa y procedimientos, por lo que no se incluye bloque de firma individual por documento.

La política aplica al sistema ENS de categoría MEDIA de ICSOFT y se apoya en el alcance definitivo confirmado para el proyecto.

Los nombramientos personales no se incluyen en este documento: se formalizarán en acta específica de nombramiento de roles ENS.

La aprobación de esta política se realizará mediante acta global de aprobación documental, evitando firmas documento por documento.

4. Contexto ICSOFT y servicios incluidos

IDServicioDescripción
S1 Desarrollo y mantenimiento de INTEGRA PRL Diseño, desarrollo, parametrización, mantenimiento evolutivo y correctivo del software INTEGRA PRL y sus componentes de escritorio, web, base de datos e integraciones.
S2 Prestación SaaS y alojamiento gestionado de INTEGRA PRL Alojamiento, disponibilidad de servidores, control de acceso, licenciamiento, comunicaciones y soporte técnico asociado.
S3 Soporte técnico, implantación e integraciones con clientes Atención técnica, soporte a incidencias, implantación de entornos, configuraciones, migraciones, conectores, APIs e integraciones con sistemas de clientes.
S4 Gestión documental, comunicaciones y servicios web asociados Plantillas, generación de documentos, correos, importación/exportación de datos, área de clientes, descargas y aplicaciones web relacionadas con INTEGRA PRL.

4.1 Herramientas e infraestructura de referencia

ÁmbitoDescripción
Cloud/hostingAWS, Azure, Arsys y Gigas.
Red y comunicacionesFirewall Fortinet 40F duplicado, router Movistar Smart WiFi, switches FS/Longshine, VPN/OpenVPN.
SeguridadESET Endpoint Security / ESET Server Security con gestión centralizada, antivirus de Microsoft cuando aplique, monitorización Zabbix/Grafana, SIEM Wazuh y asistencia remota Supremo.
SistemasWindows Server, máquinas virtuales VMware y entornos locales/cloud/híbridos.
DesarrolloAngular, Spring Boot/Java, Delphi, SQL Server, Firebird, SonarQube, revisión por pares y QA independiente.
RepositoriosEl repositorio documental ENS se mantiene en INTEGRA SOFTWARE SHE. Los repositorios de código fuente se gestionan con credenciales individualizadas, conexión cifrada y acceso desde equipos securizados, conforme a los controles de acceso y trazabilidad aplicables.

5. Trazabilidad ENS / CCN-STIC-808

Medida ENSTratamiento en este documento
Org.1 La medida se desarrolla en las secciones operativas y registros asociados de este documento.

6. Responsabilidades

RolResponsabilidades
Dirección Aprobar la política de seguridad, el alcance ENS, recursos, riesgos residuales, excepciones relevantes y el acta global de aprobación documental.
Responsable de la Información (RINFO) Determinar requisitos de seguridad de la información, clasificación, necesidades de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
Responsable del Servicio (RSER) Determinar requisitos de seguridad de los servicios prestados a clientes y validar impactos sobre continuidad, disponibilidad y calidad del servicio.
Responsable de Seguridad (RSEG) Coordinar el cumplimiento ENS, mantener trazabilidad documental, supervisar evidencias, impulsar auditorías, tratamiento de riesgos y acciones correctivas.
Responsable del Sistema (RSIS) Implantar y operar controles técnicos, gestionar infraestructura, accesos, cambios, copias, logs, configuraciones y evidencias técnicas.
Usuarios y terceros Cumplir la normativa, proteger activos asignados, custodiar credenciales y comunicar incidentes o debilidades.

7. Misión, alcance y principios

La política debe declarar la misión de la organización y explicar por qué los sistemas de información son esenciales para la prestación de servicios. Debe delimitar con precisión los servicios, ubicaciones, procesos, activos, proveedores y usuarios incluidos en el alcance del ENS.

Los principios mínimos son seguridad integral, gestión basada en riesgos, prevención, detección, respuesta, recuperación, líneas de defensa, reevaluación periódica y diferenciación de responsabilidades.

Criterios operativos aplicables en ICSOFT:

• Responsable de ejecución y responsable de validación asignados por rol, sin nombres personales en el documento.

• Registro o evidencia conservada en el expediente ENS de ICSOFT o en el repositorio documental corporativo INTEGRA SOFTWARE SHE.

• Revisión ordinaria anual y revisión extraordinaria ante cambios de alcance, servicios, riesgos, incidentes o auditoría.

• Excepciones documentadas, aprobadas por el rol competente y con plazo de regularización.

PrincipioAplicación exigida
Seguridad integral La seguridad se considera en personas, procesos, tecnología, proveedores, instalaciones e información.
Gestión de riesgos La Dirección acepta formalmente el nivel de riesgo residual y prioriza los planes de tratamiento.
Mejora continua El sistema se revisa mediante indicadores, auditorías, revisión por la dirección, incidentes y acciones correctivas.

De conformidad con el artículo 12.6 del RD 311/2022, la presente política se desarrolla aplicando los siguientes requisitos mínimos: a) Organización e implantación del proceso de seguridad; b) Análisis y gestión de los riesgos; c) Gestión de personal; d) Profesionalidad; e) Autorización y control de los accesos; f) Protección de las instalaciones; g) Adquisición de productos de seguridad y contratación de servicios de seguridad; h) Mínimo privilegio; i) Integridad y actualización del sistema; j) Protección de la información almacenada y en tránsito; k) Prevención ante otros sistemas de información interconectados; l) Registro de la actividad y detección de código dañino; m) Incidentes de seguridad; n) Continuidad de la actividad; ñ) Mejora continua del proceso de seguridad. Cada requisito queda desarrollado en los procedimientos PR01 a PR10 del sistema documental ENS de ICSOFT.

8. Organización de la seguridad

La política debe identificar los órganos y roles de gobierno: Dirección, Responsable de la Información, Responsable del Servicio, Responsable de Seguridad, Responsable del Sistema, propietarios de activos/procesos y usuarios. Si la organización no usa exactamente estos nombres, debe documentar equivalencias funcionales.

La resolución de conflictos entre responsables debe quedar definida. Cuando una decisión afecte al riesgo aceptado, recursos, alcance o cumplimiento legal, debe elevarse a Dirección o al comité/foro de seguridad que corresponda.

Criterios operativos aplicables en ICSOFT:

• Responsable de ejecución y responsable de validación asignados por rol, sin nombres personales en el documento.

• Registro o evidencia conservada en el expediente ENS de ICSOFT o en el repositorio documental corporativo INTEGRA SOFTWARE SHE.

• Revisión ordinaria anual y revisión extraordinaria ante cambios de alcance, servicios, riesgos, incidentes o auditoría.

• Excepciones documentadas, aprobadas por el rol competente y con plazo de regularización.

RolDecisión que debe quedar cubierta
Dirección Aprobar política, alcance, recursos, riesgos residuales y revisiones principales.
Responsable de Seguridad (RSEG) Coordinar el cumplimiento del ENS, supervisar controles y promover mejora.
Responsable del Sistema (RSIS) Implantar y operar medidas técnicas sobre los sistemas.
Usuarios Cumplir normativa de uso, proteger credenciales y comunicar incidentes.

9. Marco normativo y cumplimiento

La política debe citar el RD 311/2022, la CCN-STIC-808 como referencia de verificación, la normativa de protección de datos, propiedad intelectual, secretos empresariales, continuidad, contratación pública o sectorial que resulte aplicable.

Debe establecer que el desarrollo documental de la política se realiza mediante normativa de seguridad, procedimientos, instrucciones, registros y evidencias técnicas alineadas con la Declaración de Aplicabilidad.

La presente Política de Seguridad de la Información se comunicará formalmente a todos los empleados y personas incluidas en el alcance ENS de ICSOFT mediante correo electrónico o sesión informativa, al menos una vez al año y siempre que sea objeto de revisión o modificación sustancial. El Responsable de Seguridad (RSEG) conservará evidencia de la comunicación realizada. La aceptación formal por parte del personal queda recogida en el Anexo I de este documento (Declaración de conocimiento y aceptación de la Política y Normativa de Seguridad ENS).

Criterios operativos aplicables en ICSOFT:

• Responsable de ejecución y responsable de validación asignados por rol, sin nombres personales en el documento.

• Registro o evidencia conservada en el expediente ENS de ICSOFT o en el repositorio documental corporativo INTEGRA SOFTWARE SHE.

• Revisión ordinaria anual y revisión extraordinaria ante cambios de alcance, servicios, riesgos, incidentes o auditoría.

• Excepciones documentadas, aprobadas por el rol competente y con plazo de regularización.

Identificación y actualización de la legislación aplicable: el Responsable de Seguridad (RSEG) identifica y revisa, al menos anualmente y ante cualquier cambio normativo relevante, la legislación aplicable a las actividades de ICSOFT, consultando fuentes oficiales (BOE, DOUE, portal del CCN-CERT y publicaciones sectoriales). El resultado se mantiene actualizado en el Registro de Legislación Aplicable, donde consta cada norma, su ámbito, la fecha de última revisión y el responsable de la misma.

10. Registros y evidencias

Registro / evidenciaContenidoResponsable designado
Categorización ENS Documento de categorización ENS de ICSOFT, con la valoración de las dimensiones de seguridad aplicables al sistema y la determinación de la categoría MEDIA. Responsable de Seguridad (RSEG); Responsable del Servicio (RSER)
Análisis de riesgos ENS Análisis de riesgos ENS de ICSOFT conforme a Op.pl.1, con identificación, valoración y tratamiento de los riesgos del sistema incluido en el alcance. Responsable de Seguridad (RSEG)
Inventario de activos Inventario de activos utilizado en el análisis de riesgos. Responsable del Sistema (RSIS)
Registro de copias de seguridad Registro operativo de backups, snapshots y rotación de soportes. Responsable del Sistema (RSIS)
Registro de incidencias de seguridad Código, clasificación, prioridad, fechas, acciones y cierre. Responsable de Seguridad (RSEG)
Registro de control de acceso a instalaciones Visitas, accesos autorizados y evidencias de control físico. Responsable del Sistema (RSIS)
Registro de usuarios y revisión de permisos Altas, bajas, cambios, motivo y revisión de derechos. Responsable del Sistema (RSIS)
Evaluación de proveedores Listado de proveedores homologados y revisión anual. Responsable de Seguridad (RSEG)
Plan de continuidad y pruebas PCN, pruebas de continuidad, backups y recuperación. Responsable del Sistema (RSIS)
Acta de nombramiento de roles ENS ACTA-CS-01 con las personas asignadas a cada rol ENS. Dirección
Acta de aprobación documental Acta global de aprobación de política, normativa y procedimientos ENS. Dirección

11. Aprobación

Elaborado porAscendia
Revisado porResponsable de Seguridad (RSEG)
Aprobado porDirección
Mecanismo de aprobaciónActa global de aprobación documental de política, normativa y procedimientos ENS
Fecha de aprobación01/06/2026
Nombramiento de responsablesACTA-CS-01 - Acta de Constitución del CSI y nombramiento de responsables ENS