Funcionamiento del SGCSI
El Sistema de garantía interna de la calidad y seguridad de la información (SGQSI) funciona de la siguiente forma:
Identificación de los grupos de interés y sus necesidades
AQU Catalunya tiene identificados sus grupos de interés y detecta las necesidades y expectativas a través de:
- Participación en reuniones, encuentros, etc.
- Valoración de la satisfacción mediante encuestas sobre actividades o procesos.
- Atención de consultas y quejas que pueden llegar por distintos canales, especialmente a través de la atención al usuario.
Mantenimiento y actualización de los documentos del sistema
El SGCSI está formado por una estructura documental controlada y compuesta por los siguientes niveles de información:
- Documentos clave: son documentos de referencia que describen el funcionamiento del nivel de ámbitos concretos dentro de la Agencia, como son el Documento de Seguridad, Política de personal, Política de formación, etc.
- Procedimientos: Son documentos que detallan cómo se debe ejecutar un proceso y las responsabilidades de cada una de las fases que deben seguirse. AQU Catalunya tiene implantados y mantiene actualizados 73 procedimientos que describen los 14 procesos.
- Instrucciones: Son documentos que concretan con detalle una parte de un procedimiento.
- Normativa: es un conjunto de documentos que son de obligado cumplimiento y que regulan el funcionamiento interno de la Agencia.
Identificación y gestión de los riesgos
AQU Catalunya identifica y evalúa los riesgos de los procesos que conforman el SGCSI, ya que para cada uno de ellos tiene identificados los posibles riesgos, las acciones para prevenirlos o minimizarlos y de forma periódica se realiza una revisión de la eficacia de las acciones. También evalúa los riesgos del sistema de seguridad de la información que desea garantizar:
- Integridad: la información a la que tenemos acceso debe ser exacta, completa e íntegra. Se asegura que nadie ni ningún mecanismo la altera o modifica de forma voluntaria o involuntaria.
- Disponibilidad: se asegura que las personas autorizadas disponen de la información o tienen acceso a los datos cuando los requieren para ejercer sus funciones.
- Confidencialidad: la información es accesible sólo para aquellas personas que están autorizadas a tener acceso.
Ejecución de las actividades
- Planificación anual de las actividades a realizar
AQU Catalunya concreta las actividades recogidas en la Planificación anual, que tiene en cuenta el Plan estratégico, mediante su identificación con un código único, que es imprescindible para poder destinar recursos económicos y humanos. En este documento se concretan los objetivos anuales globales de AQU Catalunya.
- Ejecución de las actividades
Las actividades se desarrollan teniendo en cuenta los documentos del Sistema de Garantía de Calidad y Seguridad de la Información (normativa, manuales, procedimientos, normativas e instrucciones).
Algunas actividades pueden tener consideración de proyectos. Cada proyecto se inicia con una ficha inicial (en la que se identifican los objetivos a conseguir, las personas implicadas, las diferentes necesidades de recursos, el análisis de riesgos, y de una planificación aproximada de ejecución); se realiza un seguimiento periódico y un cierre del proyecto que incluye la elaboración de una metaevaluación y la publicación de los resultados.
- Medición del cumplimiento de las actividades y procesos
Trimestralmente, se realiza un seguimiento del cumplimiento global de la Planificación anual de Actividades y semestralmente del Plan estratégico, teniendo en cuenta los objetivos establecidos.
Asimismo, AQU Catalunya tiene identificados indicadores para medir cada uno de los procesos de la Agencia y sus resultados. Estos indicadores se gestionan mediante una aplicación informática, que los ofrece como cuadros de mando.
Semestralmente, el Comité de Gestión de la Calidad y de Seguridad de la Información realiza el seguimiento de los indicadores y éstos se tienen en cuenta en la revisión de los procesos de AQU Catalunya.
Todas las actividades de AQU Catalunya, dado que están codificadas, disponen de un seguimiento de la carga de trabajo (por áreas y niveles laborales y, en algunos casos, por tipologías de tareas) y del presupuesto.
- Revisamos nuestras actuaciones:
AQU Catalunya realiza la metaevaluación en tres niveles: la metaevaluación de los proyectos, la metaevaluación de las áreas y procesos y la metaevaluación global de AQU Catalunya, que se presenta en el Consejo de Gobierno de la Agencia. Asimismo, realiza la Revisión de la Dirección, donde se revisa el SGCSI.
Informe de metaevaluación de AQU Catalunya 2022 [Catalán]
Asimismo, se somete periódicamente a auditorías internas y externas que le permiten asegurar que cumple con los requerimientos de todas ellas y mantenerse actualizada. Las auditorías que supera evalúan:
- El Sistema de Garantía de Calidad y Seguridad de la Información. AQU Catalunya realiza auditorías anuales internas y externas de revisión y renovación de la certificación ISO 9001 y ISO 27001.
- Cumplimiento de los ESG. AQU Catalunya realiza cada cinco años una evaluación externa internacional de cumplimiento de los ESG.
- La protección de datos. AQU Catalunya realiza una auditoría interna anual de cumplimiento normativo del reglamento General de Protección de Datos y normativas que se derivan.
- Las Cuentas anuales. AQU Catalunya realiza anualmente una auditoría externa de las cuentas anuales para mostrar su conformidad con la normativa de finanzas.
- La Contratación pública. AQU Catalunya realiza anualmente una auditoría externa de cumplimiento de las normativas de contratación pública.
- La Accesibilidad en las páginas web. AQU Catalunya realiza trienalmente auditorías externas de cumplimiento de la directiva europea sobre accesibilidad a las webs y aplicaciones móviles.
- Mejoras
Las mejoras, recomendaciones, sugerencias, etc. que surgen de los procesos de metaevaluación y revisión del sistema se introducen en una aplicación informática que las gestiona. Su conjunto constituye el Plan de acciones de mejora. Para cada mejora, se establece el área y la persona responsable, las acciones a realizar, el objetivo a alcanzar y el calendario para implementarlas. Trimestralmente se realiza un seguimiento de su realización.