[PLANTILLA] Política de Seguridad de la Información (ISMS Top-Level)

Bases:

ISO/IEC 27001:2022 §5.2.

ETSI EN 319 401 §6 (Policies and Practices).

Documento aprobado por la Alta Dirección. Es la cabecera del SGSI; las políticas detalladas (gestión de claves, accesos, etc.) se derivan de ésta.

1. Identificación

Campo	Valor
Nombre	Política de Seguridad de la Información de [Nombre del QTSP]
Versión	TBD
Fecha	TBD
Aprobado por	Comité de Dirección — firma

2. Compromiso de la dirección

[Nombre del QTSP] reconoce que la seguridad de la información es crítica para la prestación de sus servicios cualificados de confianza (QTSA y QERDS) y para la confianza de sus clientes y de terceros en sus evidencias.

La Alta Dirección establece, mantiene y mejora un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO/IEC 27001:2022 y alineado con los requisitos de ETSI EN 319 401, eIDAS y la Ley 6/2020.

3. Objetivos de la seguridad

Confidencialidad — proteger la información sensible de accesos no autorizados.
Integridad — garantizar la exactitud y completitud de la información y su procesamiento.
Disponibilidad — asegurar el acceso a la información y los servicios cuando se requiera.
Autenticidad — verificar la identidad de actores y origen de la información.
No repudio — proporcionar prueba inalterable de la ocurrencia de eventos.
Conformidad — cumplir todas las obligaciones legales, contractuales y regulatorias.

4. Alcance del SGSI

Servicios: QTSA + QERDS (servicios cualificados objetivo).
Sites: SITE-01, SITE-02.
Procesos: ciclo completo de operación de los servicios cualificados, incluyendo desarrollo, despliegue, operación, soporte y cese.
Activos: todos los activos de información asociados a los servicios cualificados (definidos en inventario).
Personal: empleados con acceso a los servicios cualificados; subcontratistas críticos.

5. Estructura organizativa de seguridad

Rol	Responsabilidad
Comité de Dirección	Aprobación de la política y supervisión global.
CISO	Implementación operativa del SGSI. Reporta a Dirección.
Comité de Seguridad	Comité interfuncional. Revisa riesgos, incidentes, conformidad. Periodicidad mensual.
DPO	Cumplimiento RGPD. Coordina con CISO.
Owners de proceso	Responsables de aplicar controles en sus áreas.
Auditor interno	Verifica conformidad. Independiente del CISO.
Todo el personal	Cumplir la política y reportar incidentes.

6. Principios rectores

Defensa en profundidad — múltiples capas de control.
Mínimo privilegio — usuarios y procesos con los privilegios mínimos necesarios.
Separación de funciones — sin concentración de privilegios críticos en una sola persona.
Trazabilidad — todas las acciones críticas registradas con logs firmados.
Mejora continua — ciclo PDCA aplicado al SGSI.
Cumplimiento normativo — la conformidad regulatoria es requisito mínimo, no objetivo.

7. Documentos derivados

Esta política se desarrolla en los siguientes documentos:

Política de gestión de claves criptográficas — politica-gestion-claves.md.
Política de control de accesos.
Política de gestión de incidentes.
Política de continuidad del negocio — plan-continuidad.md.
Política de uso aceptable.
Política de gestión de subcontratistas.
Política de privacidad y protección de datos.
(etc.)

8. Cumplimiento y consecuencias

El incumplimiento de esta política puede dar lugar a medidas disciplinarias conforme a la legislación laboral.
En caso de subcontratistas, puede dar lugar a finalización del contrato.
En todos los casos, se notifica el incidente conforme al procedimiento establecido.

9. Revisión

Revisión anual programada.
Revisión extraordinaria ante cambios regulatorios significativos, incidentes mayores o cambios estructurales.
Comunicación de cambios a todo el personal con acuse de recibo registrable.

10. Histórico de versiones

Versión	Fecha	Cambios	Aprobador
v0.1	TBD	Borrador inicial	—

Firma de la Alta Dirección

[Nombre y cargo del aprobador]

[Fecha]

[Firma con sello cualificado del QTSP — al publicarse]