Sicherheitsrichtlinie

ONE MILLION BOT, SL ist ein Technologieunternehmen im Bereich Künstliche Intelligenz mit umfangreicher Erfahrung in der Verarbeitung natürlicher Sprache (NLP) und intelligenten virtuellen Assistenten.

1MILLIONBOT wurde im Juli 2018 als Spin-off von ITYIS SIGLO XXI, SL gegründet, einer Wirtschaftsgruppe mit 20 Jahren Erfahrung und Erfolgen in der digitalen Wirtschaft.

Unsere Unternehmensvision lautet wie folgt: Führen Sie die Sprache, die noch kommen wird, und schaffen Sie eine künstliche Intelligenz +e:

+ Ethik

+ einfühlsam

+ evolutionär

Diese Werte spiegeln sich in all unseren Projekten wider, in denen wir strengste Ethik bei der Anwendung künstlicher Intelligenz gewährleisten, stets auf das Benutzererlebnis achten und Flexibilität und wachsenden Wert für Unternehmen und Gesellschaft gewährleisten.  

Unser Unternehmenszweck besteht darin, personalisierte Lösungen im Bereich der künstlichen Intelligenz zu schaffen, um unseren Kunden und der Gesellschaft einen Mehrwert zu bieten, stets geleitet von Effizienz und Ethik als Grundprinzipien. 1MILLIONBOT legt großen Wert auf Innovation, kontinuierliche Verbesserung und die Qualität der seinen Kunden gebotenen Dienstleistungen.

• Rechtsrahmen
• Geltungsbereich
• Grundsätze und Richtlinien
• Ziele
• Sicherheitsorganisation
• Sicherheitsdokumentation
• persönliche Daten
• Risikomanagement
• Personalverpflichtung
• Dritte

 

Rechtsrahmen

Der rechtliche Rahmen zur Informationssicherheit, in dem 1MILLIONBOT seine Tätigkeit ausübt, ist im Wesentlichen der Folgende: 

• Organgesetz 3/2018 vom 5. Dezember, Schutz personenbezogener Daten. 
• Königlicher Erlass 1720/2007 vom 21. Dezember, der die Verordnungen zur Entwicklung des Organgesetzes 15/1999 zum Schutz personenbezogener Daten genehmigt. 
• VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr dieser Daten und zur Aufhebung der Richtlinie 95/46/ EC. 
• Königlicher Erlass 3/2010 vom 8. Januar, der das nationale Sicherheitssystem im Bereich der elektronischen Verwaltung regelt. 
• Königlicher Erlass 951/2015 vom 23. Oktober zur Änderung des Königlichen Erlasses 3/2010 vom 8. Januar, der das nationale Sicherheitssystem im Bereich der elektronischen Verwaltung regelt.
• Gesetz 34/2002 vom 11. Juli über Dienstleistungen der Informationsgesellschaft und des elektronischen Geschäftsverkehrs. 
• Königliches Gesetzesdekret 1/1996 vom 12. April, das den konsolidierten Text des Gesetzes über geistiges Eigentum genehmigt. 

Geltungsbereich

Diese Sicherheitsrichtlinie betrifft alle Systeme, Mitarbeiter und Lieferanten, die mit 1MILLIONBOT in Zusammenhang stehen. 

Der Geltungsbereich dieser Richtlinie umfasst die Systeme, Personen und Lieferanten, die in die Informationssysteme eingreifen, die die Prozesse des Entwurfs, der Entwicklung und der Wartung virtueller Assistenten auf Basis künstlicher Intelligenz für Dienste im SaaS-Modus unterstützen, sowie im Entwurf, Entwicklung und Wartung von Anwendungen für die den Kunden bereitgestellten Dienste.

Grundsätze und Richtlinien

Die Grundsätze, die 1MILLIONBOT bei der Gewährleistung der Informationssicherheit berücksichtigt, sind in Artikel 4 des RD 3/2010 festgelegt, der das nationale Sicherheitssystem im Bereich der elektronischen Verwaltung regelt.

VERHÜTUNG

1MILLIONBOT verhindert, dass Informationen oder Dienste durch Sicherheitsvorfälle geschädigt werden. Zu diesem Zweck wenden die Abteilungen die im National Security Framework festgelegten Mindestsicherheitsmaßnahmen sowie alle zusätzlichen Kontrollen an, die durch eine Bedrohungs- und Risikobewertung ermittelt wurden. Diese Kontrollen, die Sicherheitsrollen und Verantwortlichkeiten aller Mitarbeiter sind klar definiert und dokumentiert. 

Um die Einhaltung der Sicherheitsrichtlinie sicherzustellen, 1MILLIONBOT: 

• Autorisieren Sie Anlagen vor Inbetriebnahme
• Fordern Sie eine regelmäßige Überprüfung durch Dritte an, um eine unabhängige Bewertung zu erhalten.

ERKENNUNG

Die Dienste werden kontinuierlich überwacht, um Anomalien bei der Bereitstellung der Dienste zu erkennen und entsprechend gemäß Art. 8 zu handeln. 9 und Kunst. XNUMX der ENS.

Es gibt etablierte Erkennungs-, Analyse- und Meldemechanismen, die die Verantwortlichen regelmäßig und insbesondere bei Abweichungen von den vorgegebenen Parametern erreichen.

ANTWORT

Es sind Mechanismen vorhanden, um wirksam auf Sicherheitsvorfälle reagieren zu können. Als Kommunikationskanal für Sicherheitsvorfälle wird ein Postfach eingerichtet, das vom Verantwortlichen überwacht wird. Das Verfahren für den diesbezüglichen Informationsaustausch wird durch das interne Verfahren zu diesen Zwecken festgelegt.

WIEDERAUFNAHME

Um die Verfügbarkeit kritischer Dienste zu gewährleisten, verfügt 1MILLIONBOT über einen Kontinuitätsplan für IKT-Systeme als Teil seines allgemeinen Plans für Geschäftskontinuitäts- und Wiederherstellungsaktivitäten.

Ziele

Die Systeme müssen sorgfältig verwaltet werden und geeignete Maßnahmen ergreifen, um sie vor zufälligen oder vorsätzlichen Schäden zu schützen, die die Authentizität, Verfügbarkeit, Integrität, Vertraulichkeit oder Rückverfolgbarkeit der verarbeiteten Informationen oder der bereitgestellten Dienste beeinträchtigen können.

Das Ziel der Informationssicherheit besteht darin, die Qualität der Informationen und die kontinuierliche Bereitstellung von Diensten zu gewährleisten, präventiv zu handeln, die täglichen Aktivitäten zu überwachen und schnell auf Vorfälle zu reagieren.

Für die aktuelle Sicherheitspolitik werden folgende Ziele festgelegt: 

1. Nutzung von Unternehmensressourcen wie E-Mail, Internetzugang, Computer und Kommunikationsgeräten.
2. Verwaltung von Informationsbeständen, die inventarisiert, kategorisiert und einer verantwortlichen Person zugeordnet werden.
3. Notwendige Mechanismen, damit jede Person, die auf Informationsressourcen zugreift oder darauf zugreifen kann, ihre Verantwortlichkeiten kennt und so das Risiko verringert, das sich aus dem Missbrauch von Vermögenswerten ergibt. 
4. Physische Sicherheit, sodass sich Informationsressourcen in sicheren Bereichen befinden und durch physische Zugangskontrollen geschützt werden, die ihrem Kritikalitätsgrad entsprechen. Die in diesen Bereichen enthaltenen Informationssysteme und Vermögenswerte werden ausreichend vor physischen oder umweltbedingten Bedrohungen geschützt. 
5. Sicherheit bei der Verwaltung von Kommunikation und Betrieb, sodass die über Kommunikationsnetze übertragenen Informationen unter Berücksichtigung ihrer Sensibilität und Kritikalität durch Mechanismen, die ihre Sicherheit gewährleisten, angemessen geschützt werden müssen. 
6. Zugriffskontrolle, Beschränkung des Zugriffs auf Informationsressourcen durch Benutzer, Prozesse und Informationssysteme durch die Implementierung von Identifikations-, Authentifizierungs- und Autorisierungsmechanismen entsprechend der Kritikalität jedes Assets. 
7. Erwerb, Entwicklung und Wartung von Informationssystemen unter Berücksichtigung von Aspekten der Informationssicherheit in allen Phasen des Lebenszyklus dieser Systeme. 
8. Management von Sicherheitsvorfällen durch Implementierung geeigneter Mechanismen zur korrekten Identifizierung, Aufzeichnung und Lösung von Sicherheitsvorfällen. 
9. Kontinuitätsmanagement durch Implementierung geeigneter Mechanismen, um die Verfügbarkeit von Informationssystemen sicherzustellen und die Kontinuität Ihrer Geschäftsprozesse aufrechtzuerhalten.

Sicherheitsorganisation

Die Umsetzung der 1MILLIONBOT-Sicherheitsrichtlinie erfordert, dass alle Mitglieder der Organisation ihre Pflichten und Verantwortlichkeiten basierend auf der ausgeübten Position verstehen.

AUSSCHUSS FÜR INFORMATIONSSICHERHEIT

Informationssicherheit ist eine organisatorische Verantwortung, die vom Vorstand von 1MILLIONBOT geteilt wird. Daher fördert es die Zusammensetzung eines Ausschusses für Informationssicherheit, um einen definierten Weg festzulegen und Sicherheitsinitiativen zu unterstützen.

Dieser Ausschuss besteht mindestens aus dem Verantwortlichen für Sicherheit, dem Verantwortlichen für Information, dem Verantwortlichen für den Dienst, dem Verantwortlichen für Informationssysteme und einem Präsidenten, der letztendlich für die Entscheidungen verantwortlich ist verabschiedet und wer die Sitzungen des Ausschusses leitet. Sicherheit, Information, Vorschläge und Koordinierung der Aktivitäten und Entscheidungen.

Diese Rolle des Präsidenten obliegt zunächst der Geschäftsführung von 1MILLIONBOT. 

Die Aufgaben des Informationssicherheitsausschusses sind folgende: 

• Überprüfung der Informationssicherheitsrichtlinie und der Hauptverantwortlichkeiten. 
• Definieren und fördern Sie die Strategie und Planung der Informationssicherheit und schlagen Sie die Zuweisung von Budgets und genauen Ressourcen vor. 
• Überwachung und Kontrolle wesentlicher Veränderungen in der Exposition von Informationsressourcen gegenüber den Hauptbedrohungen sowie Entwicklung und Umsetzung von Kontrollen und Maßnahmen zur Gewährleistung der Sicherheit dieser Vermögenswerte. 
• Genehmigung der wichtigsten Initiativen zur Verbesserung der Informationssicherheit. 
• Überwachung und Überwachung von Aspekten wie: 
• Hauptvorfälle in der Informationssicherheit.
• Erstellung und Aktualisierung von Kontinuitätsplänen.
• Einhaltung und Verbreitung von Sicherheitsrichtlinien.

ROLLEN UND VERANTWORTLICHKEITEN

Die Organisationsstruktur, Rollen und Verantwortlichkeiten von 1MILLIONBOT werden durch interne Verfahren festgelegt. Die Hauptrollen werden wie folgt identifiziert:

• Sicherheitsmanager
• Informationsmanager
• Verantwortlich für den Service
• Systemmanager

El Sicherheitsmanager ist derjenige, der die entsprechenden Entscheidungen trifft, um den Sicherheitsanforderungen der Informationen und Dienste gerecht zu werden. Ihnen stehen folgende Funktionen zur Verfügung:

• Überwachen Sie die Einhaltung dieser Richtlinie sowie der daraus abgeleiteten Regeln und Verfahren.
• Berät die Mitglieder des Sicherheitsausschusses in Sicherheitsfragen, wenn dies erforderlich ist.
• Seien Sie sich der Untersuchung und Überwachung von Sicherheitsvorfällen bewusst und überwachen Sie diese.
• Richten Sie angemessene und wirksame Sicherheitsmaßnahmen ein, um die von den Dienst- und Informationsmanagern festgelegten Sicherheitsanforderungen zu erfüllen, und befolgen Sie jederzeit die Anforderungen in Anhang II der ENS.
• Beraten Sie in Zusammenarbeit mit den Systemmanagern, den Dienst- und Informationsmanagern bei der Durchführung von Risikoanalysen und -management und legen Sie den daraus resultierenden Bericht dem Sicherheitsausschuss vor.
• Überwachen Sie den Sicherheitsstatus des Systems, der durch im System implementierte Tools zur Verwaltung von Sicherheitsereignissen und Prüfmechanismen bereitgestellt wird.
• Fördern Sie Sicherheitsbewusstsein und Schulungsaktivitäten in ihrem Verantwortungsbereich und befolgen Sie dabei die Richtlinien des Sicherheitsausschusses.
• Führen Sie regelmäßige Audits durch oder fördern Sie diese, um die Einhaltung der Sicherheitsverpflichtungen des Sicherheitsausschusses zu überprüfen.
• Bereiten Sie die Themen vor, die in den Sitzungen des Sicherheitsausschusses besprochen werden sollen, und stellen Sie rechtzeitig Informationen für die Entscheidungsfindung bereit.
• Vorbereitung und Überprüfung von Sicherheitsvorschriften Sicherheitsausschuss.
• Genehmigung der vom Systemmanager erstellten Sicherheitsverfahren.

El Informationsmanager wird deren Eigentümer sein und folgende Funktionen haben:

• Klassifizieren Sie die Informationen nach den festgelegten Kriterien und in jeder der bekannten und anwendbaren Sicherheitsdimensionen (Verfügbarkeit, Authentizität, Rückverfolgbarkeit, Vertraulichkeit und Integrität).
• Arbeiten Sie bei der Wartung der technologischen Dienste mit der für Sicherheit und System verantwortlichen Person zusammen.
• Führen Sie die Risikoanalyse durch, die das Risiko gefährdet, sowie die verschiedenen umzusetzenden Risikomanagementoptionen.
• Bewerten und entscheiden Sie gemeinsam mit den Servicemanagern über die in der Risikoanalyse berechneten Restrisiken und führen Sie deren Überwachung und Kontrolle durch, unbeschadet der Möglichkeit, diese Aufgabe zu delegieren.
• Stellen Sie sicher, dass Sicherheitsklauseln in Verträge mit Dritten aufgenommen werden, die möglicherweise Zugriff auf Informationen über die von ihr verwalteten Verfahren haben und deren Einhaltung überwachen.

El Verantwortlich für den Service ermittelt die Anforderungen der erbrachten Dienstleistungen und hat dementsprechend folgende Funktionen:

• Legen Sie die Sicherheitsanforderungen des Dienstes fest oder, in der ENS-Terminologie, die Befugnis, die Sicherheitsstufen der Dienste zu bestimmen.
• Klassifizieren Sie Dienste nach den in der ENS festgelegten Kriterien und Kategorien und in jeder der bekannten und anwendbaren Sicherheitsdimensionen (Verfügbarkeit, Authentizität, Rückverfolgbarkeit, Vertraulichkeit und Integrität) innerhalb des in Anhang I der ENS festgelegten Rahmens.
• Erfüllen Sie die Anforderungen an die Informationssicherheit, wie Verfügbarkeit, Zugänglichkeit, Interoperabilität usw., die bei der Bereitstellung von Diensten gefordert werden.
• Stellen Sie sicher, dass Sicherheitsklauseln in Verträge mit Dritten aufgenommen werden, die sich auf deren Dienste auswirken können, und überwachen Sie deren Einhaltung.

El InformationssystemmanagerIhnen werden im Rahmen ihrer Tätigkeitsbereiche folgende Aufgaben übertragen:

• Entwicklung, Betrieb und Wartung des Informationssystems während seines gesamten Lebenszyklus, seiner Spezifikationen, Installation und Überprüfung seines korrekten Betriebs.
• Stellen Sie sicher, dass Sicherheitsmaßnahmen angemessen in den allgemeinen Rahmen der Informationssicherheit integriert sind.
• Genehmigen Sie jede wesentliche Änderung der Konfiguration eines beliebigen Elements des Systems.
• Entwickeln Sie technische Sicherheitsverfahren für Informationssysteme.
• Bereiten Sie Kontinuitätspläne für Informationssysteme vor.
• Mitarbeit bei der Durchführung der Risikoanalyse der Informationssysteme, für die er verantwortlich ist.
• Implementieren, verwalten und pflegen Sie Sicherheitsmaßnahmen für das Informationssystem.
• Verwalten, konfigurieren und aktualisieren Sie gegebenenfalls die Hardware und Software, auf der die Sicherheitsmechanismen und -dienste des Informationssystems basieren.

BESTELLUNGSVERFAHREN

Ernennungen werden von der Geschäftsleitung von 1MILLIONBOT festgelegt und alle zwei Jahre oder wenn die Stelle frei wird, überprüft.

Sicherheitsdokumentation

Die Richtlinien zur Strukturierung der Systemdokumentation, ihrer Verwaltung und ihrem Zugriff sind im allgemeinen Verfahren „Verwaltung dokumentierter Informationen“ detailliert beschrieben.

Die Dokumentation zur Informationssicherheit wird in drei Ebenen eingeteilt, sodass jedes Ebenendokument auf denen einer höheren Ebene basiert: 

• Erste Ebene: Informationssicherheitsrichtlinie.
• Zweite Ebene: Vorschriften, interne Richtlinien und Sicherheitsverfahren.
• Dritte Ebene: Berichte, Aufzeichnungen und Beweise.

Erste Ebene: Sicherheitsrichtlinie.

Verpflichtendes Dokument für alle internen und externen Mitarbeiter der Organisation.

Zweites Level: Vorschriften, interne Richtlinien und Sicherheitsverfahren.

Obligatorische Einhaltung entsprechend dem entsprechenden organisatorischen, technischen oder rechtlichen Umfang, entwickelt von 1MILLIONBOT im Rahmen seines Managementsystems, in das die spezifischen Aspekte des ENS einbezogen wurden, um die in Artikel 11 festgelegten Mindestsicherheitsanforderungen zu erfüllen.

Die Verantwortung für die Genehmigung der auf dieser Ebene erstellten Dokumente liegt beim Sicherheitsausschuss.

Drittes Level: Berichte, Aufzeichnungen und Beweise.

Dokumente technischer Art, die in allen Phasen des Lebenszyklus des Informationssystems generierte Beweise sowie Bedrohungen und Schwachstellen der Informationssysteme sammeln.

Allgemeine Daten

Alle Informationssysteme von 1MILLIONBOT entsprechen den Sicherheitsniveaus, die in den Vorschriften für die Art und den Zweck personenbezogener Daten vorgeschrieben sind.

In Anwendung des Grundsatzes der proaktiven Verantwortung, der in der Allgemeinen Datenschutzverordnung (DSGVO) und dem neuen LOPD festgelegt ist, werden Tätigkeiten zur Verarbeitung personenbezogener Daten in die Kategorisierung von Systemen des Nationalen Sicherheitssystems integriert, wobei die mit dieser Art von Systemen verbundenen Bedrohungen und Risiken berücksichtigt werden Behandlung.

Ebenso gelten etwaige sonstige geltende Vorschriften zum Schutz personenbezogener Daten.

Risikomanagement

Alle Systeme, die dieser Richtlinie unterliegen, müssen eine Risikoanalyse durchführen und die Bedrohungen und Risiken bewerten, denen sie ausgesetzt sind. 

Diese Analyse wird wiederholt: 

• Regelmäßig, mindestens einmal im Jahr. 
• Wenn sich die verarbeiteten Informationen ändern. 
• Wenn sich die bereitgestellten Dienste ändern. 
• Wenn ein schwerwiegender Sicherheitsvorfall auftritt. 
• Wenn schwerwiegende Schwachstellen gemeldet werden. 

Zur Harmonisierung der Risikoanalyse wird der Sicherheitsausschuss eine Referenzbewertung für die verschiedenen Arten von Informationen, die er verarbeitet, und die verschiedenen bereitgestellten Dienste erstellen. 

Der Sicherheitsausschuss wird die Verfügbarkeit von Ressourcen optimieren, um den Sicherheitsbedürfnissen der verschiedenen Systeme gerecht zu werden, und Investitionen horizontaler Art fördern. 

Personalverpflichtung

Alle Mitglieder von 1MILLIONBOT sind verpflichtet, diese Informationssicherheitsrichtlinie und die Sicherheitsvorschriften zu kennen und einzuhalten, wobei es in der Verantwortung des Sicherheitsausschusses liegt, die notwendigen Mittel bereitzustellen, damit die Informationen die Betroffenen erreichen. 

Alle 1MILLIONBOT-Mitglieder nehmen mindestens einmal im Jahr an einer Sicherheitsbewusstseinssitzung teil. Es wird ein kontinuierliches Sensibilisierungsprogramm eingerichtet, um alle 1MILLIONBOT-Mitglieder, insbesondere Neulinge, zu unterstützen. 

Personen, die für die Nutzung, den Betrieb oder die Verwaltung von IKT-Systemen verantwortlich sind, erhalten Schulungen für den sicheren Umgang mit den Systemen, soweit sie diese für die Ausübung ihrer Tätigkeit benötigen. Die Schulung ist obligatorisch, bevor Sie eine Verantwortung übernehmen, unabhängig davon, ob es sich um Ihren ersten Auftrag handelt oder ob es sich um einen Job- oder Aufgabenwechsel handelt.

Dritte

Wenn 1MILLIONBOT Dienste Dritter nutzt oder Informationen an Dritte weitergibt, werden sie auf diese Sicherheitsrichtlinie und die Sicherheitsbestimmungen aufmerksam gemacht, die sich auf diese Dienste oder Informationen beziehen.

Dieser Dritte unterliegt den in den genannten Vorschriften festgelegten Verpflichtungen und kann seine eigenen Betriebsverfahren entwickeln, um diese zu erfüllen. Es werden spezifische Verfahren zur Meldung und Lösung von Vorfällen eingerichtet. Es wird sichergestellt, dass das Personal Dritter über ein angemessenes Sicherheitsbewusstsein verfügt, das mindestens dem in dieser Richtlinie festgelegten Niveau entspricht. 

Wenn ein Dritter einen Aspekt der Richtlinie nicht erfüllen kann, wie in den vorherigen Absätzen gefordert, ist ein Bericht des Sicherheitsmanagers erforderlich, in dem die entstandenen Risiken und die Art und Weise, wie mit ihnen umgegangen wird, aufgeführt sind. Bevor Sie fortfahren, ist die Genehmigung dieses Berichts durch die für die Informationen und betroffenen Dienste verantwortlichen Personen erforderlich.