Funcionament del SGQSI
El Sistema de Gestió de la Qualitat i Seguretat de la Informació (SGQSI) funciona de la manera següent:
Identificació dels grups d’interès i de les seves necessitats
AQU Catalunya té identificats els seus grups d’interès i detecta les necessitats i expectatives a través de:
- La seva participació en reunions, trobades, etc.
- La valoració de la satisfacció mitjançant enquestes sobre activitats o processos.
- L'atenció de consultes i queixes que poden arribar per diferents canals, principalment mitjançant el formulari d’atenció a l’usuari disponible al nostre web.
Manteniment i actualització dels documents del sistema
El SGQSI està format per una estructura documental controlada i composta pels següents nivells d’informació:
- Documents clau: són documents de referència que descriuen el funcionament d’alt nivell d'àmbits concrets de l’Agència, com ara el Manual de Qualitat i Seguretat de la Informació, el Document de Seguretat de les Dades Personals, la Política de Recursos Humans, la Política de Formació, entre d’altres.
- Procediments: són documents que detallen com s’ha d’executar un procés i les responsabilitats de cadascuna de les fases que s’han de seguir. AQU Catalunya té implantats i manté actualitzats 75 procediments que descriuen els 15 processos.
- Instruccions: són documents que concreten amb detall una part d’un procediment.
- Normatives internes: són un conjunt de documents que són d’obligat compliquem i que regulen el funcionament intern de l’Agència.
Identificació i gestió dels riscos
AQU Catalunya identifica i avalua els riscos dels processos que conformen el SGQSI, ja que per a cadascun d’ells té identificats els possibles riscos, les accions per prevenir-los o minimitzar-los; de forma periòdica es fa una revisió de l’eficàcia de les accions. També avalua els riscos del sistema de seguretat de la informació per garantir els aspectes següents:
- Integritat: la informació a la qual tenen accés els grups d'interès ha de ser exacta, completa i íntegra. S’assegura que ningú ni cap mecanisme l'altera o la modifica de forma voluntària o involuntària.
- Disponibilitat: s’assegura que les persones autoritzades disposen de la informació o tenen accés a les dades quan les requereixen per exercir les seves funcions.
- Confidencialitat: la informació és accessible només per a aquelles persones que estan autoritzades a tenir-hi accés.
Execució de les activitats
Planificació anual de les activitats a realitzar
AQU Catalunya concreta les activitats recollides en la Planificació d'activitats anual, que té el compte el Pla estratègic, mitjançant la seva identificació amb un codi únic, que és imprescindible per poder destinar-hi recursos econòmics i humans. En aquest document es concreten els objectius anuals d’AQU Catalunya.
Execució de les activitats
Les activitats es desenvolupen tenint en compte els documents del Sistema de Gestió de la Qualitat i Seguretat de la Informació.
Algunes activitats poden tenir consideració de projectes. Cada projecte s'inicia amb una fitxa inicial (en la qual s’identifiquen els objectius a aconseguir, les persones implicades, les diferents necessitats de recursos, l’anàlisi de riscos, i una planificació de l’execució); es realitza un seguiment periòdic i un tancament del projecte que inclou l’elaboració d’una metaavaluació i la publicació dels resultats.
Mesura del compliment de les activitats i procesos
Trimestralment es fa un seguiment del compliment global de la Planificació d'activitats anual, mentre que del Pla estratègic es fa un seguiment semestral, tenint en compte els objectius establerts.
Així mateix, AQU Catalunya té identificats indicadors per mesurar cadascun dels processos de l’Agència i els seus resultats. Aquests indicadors es gestionen mitjançant una aplicació informàtica, que els ofereix com a quadre de comandament.
Semestralment, el Comitè de la Qualitat i de Seguretat de la Informació fa el seguiment de tres aspectes: els indicadors, que s’utilitzen per a la revisió dels processos d’AQU Catalunya; les millores proposades; i les accions derivades de les auditories internes i externes.
Totes les activitats d’AQU Catalunya, atès que estan codificades, disposen d’un seguiment de la càrrega de treball (per àrees i nivells laborals i, en alguns casos, per tipologies de tasques) i del pressupost.
Revisem les nostres actuacions
AQU Catalunya realitza la metaavaluació en tres nivells: la metaavaluació dels projectes, la metaavaluació de les àrees i processos i la metaavaluació global d’AQU Catalunya, que es presenta al Consell de Govern. Així mateix, realitza la Revisió de la Direcció, on es revisa el SGQSI.
Informe de metaavaluació d'AQU Catalunya 2023
Així mateix, se sotmet periòdicament a auditories internes i externes que li permeten assegurar que compleix amb els requeriments de totes elles i a mantenir-se actualitzada. Les auditories que supera avaluen:
- El Sistema de Garantia de la Qualitat i Seguretat de la Informació. AQU Catalunya realitza auditories anuals internes i externes de revisió i renovació de la certificació ISO 9001 i ISO 27001.
- Compliment dels ESG. AQU Catalunya realitza cada cinc anys una avaluació externa internacional de compliment dels ESG.
- La Protecció de dades. AQU Catalunya realitza periòdicament auditories de compliment normatiu del reglament General de Protecció de Dades i de les normatives que en deriven.
- Els Comptes anuals. AQU Catalunya realitza anualment una auditoria externa dels comptes anuals per mostrar la conformitat amb la normativa de finances.
- La Contractació pública. AQU Catalunya realitza anualment una auditoria externa de compliment de les normatives de contractació pública.
- L’Accessibilitat a les pàgines web. AQU Catalunya realitza triennalment auditories externes de compliment de la directiva europea sobre accessibilitat als webs i aplicacions mòbils.
Millores
Les millores, recomanacions, suggeriments, etc. que sorgeixen dels processos de metaavaluació i de revisió del sistema s’introdueixen en una aplicació informàtica que les gestiona. El seu conjunt constitueixen el Pla d’accions de millora. Per a cada millora, s’estableix l’àrea i persona responsable, les accions a realitzar, l’objectiu a assolir i el calendari per implementar-les. Trimestralment es fa un seguiment de la seva realització.