CompartirFuncionamiento del SGCSI
El Sistema de Gestión de la Calidad y Seguridad de la Información (SGCSI) funciona de la siguiente forma:
Identificación de los grupos de interés y sus necesidades
AQU Catalunya tiene identificados sus grupos de interés y detecta las necesidades y expectativas a través de:
- La participación en reuniones, encuentros, etc.
- La valoración de la satisfacción mediante encuestas sobre actividades o procesos.
- La atención de consultas y quejas que pueden llegar por diferentes canales, principalmente mediante el formulario de atención al usuario disponible en nuestra web.
Mantenimiento y actualización de los documentos del sistema
El SGCSI está formado por una estructura documental controlada y compuesta por los siguientes niveles de información:
- Documentos clave: son documentos de referencia que describen el funcionamiento de alto nivel de ámbitos concretos de la Agencia, como el Manual de Calidad y Seguridad de la Información, el Documento de Seguridad de los Datos Personales, la Política de Recursos Humanos, la Política de Formación, entre otros.
- Procedimientos: son documentos que detallan cómo se debe ejecutar un proceso y las responsabilidades de cada una de las fases que deben seguirse. AQU Catalunya tiene implantados y mantiene actualizados 75 procedimientos que describen los 15 procesos.
- Instrucciones: son documentos que concretan con detalle una parte de un procedimiento.
- Normatias internas: son un conjunto de documentos que son de obligado cumplimiento y que regulan el funcionamiento interno de la Agencia.
Identificación y gestión de los riesgos
AQU Catalunya identifica y evalúa los riesgos de los procesos que conforman el SGCSI, ya que para cada uno de ellos tiene identificados los posibles riesgos, las acciones para prevenirlos o minimizarlos; de forma periódica se revisa la eficacia de las acciones. También evalúa los riesgos del sistema de seguridad de la información para garantizar los aspectos siguientes:
- Integridad: la información a la que tienen acceso los grupos de interés debe ser exacta, completa e íntegra. Se asegura que nadie ni ningún mecanismo la altera o modifica de forma voluntaria o involuntaria.
- Disponibilidad: se asegura que las personas autorizadas disponen de la información o tienen acceso a los datos cuando los requieren para ejercer sus funciones.
- Confidencialidad: la información es accesible sólo para aquellas personas que están autorizadas a tener acceso.
Ejecución de las actividades
Planificación anual de las actividades a realizar
AQU Catalunya concreta las actividades recogidas en la Planificación anual de actividades, que tiene en cuenta el Plan estratégico, mediante su identificación con un código único, que es imprescindible para poder destinar recursos económicos y humanos. En este documento se concretan los objetivos anuales de AQU Catalunya.
Ejecución de las actividades
Las actividades se desarrollan teniendo en cuenta los documentos del Sistema de Gestión de la Calidad y Seguridad de la Información.
Algunas actividades pueden tener consideración de proyectos. Cada proyecto se inicia con una ficha inicial (en la que se identifican los objetivos a conseguir, las personas implicadas, las diferentes necesidades de recursos, el análisis de riesgos, y una planificación de ejecución); se realiza un seguimiento periódico y un cierre del proyecto que incluye la elaboración de una metaevaluación y la publicación de los resultados.
Medición del cumplimiento de las actividades y procesos
Se hace un seguimiento trimestral del cumplimiento de la Planificación anual de actividades, mientras que del Plan estratégico se hace un seguimiento semestral, teniendo en cuenta los objetivos establecidos.
Asimismo, AQU Catalunya tiene identificados indicadores para medir cada uno de los procesos de la Agencia y sus resultados. Estos indicadores se gestionan mediante una aplicación informática, que los ofrece como cuadros de mando.
Semestralmente, el Comité de Gestión de la Calidad y de Seguridad de la Información hace el seguimiento de diferentes aspectos, entre los cuales destacan: los indicadores, que se utilizan para la revisión de los procesos de AQU Catalunya; las mejoras propuestas; y las acciones derivadas de las auditorías internas y externas.
Todas las actividades de AQU Catalunya, dado que están codificadas, disponen de un seguimiento de la carga de trabajo (por áreas y niveles laborales y, en algunos casos, por tipologías de tareas) y del presupuesto.
Revisamos nuestras actuaciones
AQU Catalunya hace la metaevaluación en tres niveles: la metaevaluación de los proyectos, la metaevaluación de las áreas y procesos y la metaevaluación global de AQU Catalunya, que se presenta en el Consejo de Gobierno. Asimismo, realiza la Revisión de la Dirección, donde se revisa el SGCSI.
Informe de metaevaluación de AQU Catalunya 2024 [Catalán]
Asimismo, se somete periódicamente a auditorías internas y externas que le permiten asegurar que cumple con los requerimientos de todas ellas y mantenerse actualizada. Las auditorías que supera evalúan:
- El Sistema de Garantía de Calidad y Seguridad de la Información. AQU Catalunya realiza auditorías anuales internas y externas de revisión y renovación de la certificación ISO 9001 y ISO 27001.
- Cumplimiento de los ESG. AQU Catalunya realiza cada cinco años una evaluación externa internacional de cumplimiento de los ESG.
- La protección de datos. AQU Catalunya realiza periódicamente auditorías de cumplimiento normativo del reglamento General de Protección de Datos y de las normativas que se derivan.
- Las Cuentas anuales. AQU Catalunya realiza anualmente una auditoría externa de las cuentas anuales para mostrar su conformidad con la normativa de finanzas.
- La Contratación pública. AQU Catalunya realiza anualmente una auditoría externa de cumplimiento de las normativas de contratación pública.
- La Accesibilidad en las páginas web. AQU Catalunya realiza trienalmente auditorías externas de cumplimiento de la directiva europea sobre accesibilidad a las webs y aplicaciones móviles.
Mejoras
Las mejoras, recomendaciones, sugerencias, etc. que surgen de los procesos de metaevaluación y revisión del sistema se introducen en una aplicación informática que las gestiona. Su conjunto constituye el Plan de acciones de mejora. Para cada mejora, se establece el área y la persona responsable, las acciones a realizar, el objetivo a alcanzar y el calendario para implementarlas. Trimestralmente se hace un seguimiento de su realización.