1.        Memoria Explicativa

KYMOS depends on ICT (Information and Communications Technology) systems to achieve its objectives.

Estos sistemas deben gestionarse con diligencia, adoptando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que pudieran afectar a la disponibilidad, integridad y confidencialidad de la información tratada o de los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando de forma preventiva, supervisando la actividad diaria y reaccionando con prontitud ante los incidentes.

To defend against these threats, a strategy that adapts to changing environmental conditions is required to ensure the continued provision of services.

This implies that departments must implement the security measures required by ISO 27001 and the NIS 2 Directive (Annex I, point 5 “Health Sector”, in conjunction with NACE Rev.2, Section C, point 21 “Manufacturing of medicine”), as well as continuously monitor service delivery levels, track, analyse and correct reported vulnerabilities, and prepare an effective incident response to ensure continuity of services provided.

The different departments must ensure that ICT security is an integral part of every stage of the system’s lifecycle, from its conception to its decommissioning, through development or procurement decisions and operational activities.

Security requirements and funding need to be identified and included in planning, request for tenders, and tender documents for ICT projects. Departments need to be prepared to prevent, detect, react and recover from incidents in accordance with NIS2 Directive in its article 29.a.

2.        Gestión de Incidentes de Seguridad

2.1         Prevención

Departments must avoid, or at least prevent as far as possible, information or services from being compromised by security incidents. Both ISO 27001 and the NIS2 Directive state that systems must be designed and configured to ensure security by default, in line with the «Need to Know» least privilege policy.

A tal efecto, los departamentos deben implementar las medidas de seguridad mínimas determinadas por ISO 27001, de acuerdo con los requisitos establecidos en la Directiva NIS2, así como cualquier control adicional identificado mediante una evaluación de amenazas y riesgos. Estos controles, junto con los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

• Establecer áreas seguras para los sistemas de información críticos o confidenciales.
• Autorizar los sistemas antes de su puesta en funcionamiento.
• Evaluar periódicamente la seguridad, incluidas las evaluaciones de los cambios de configuración realizados diariamente.
• Solicitar revisiones periódicas por parte de terceros para obtener una evaluación independiente.

2.2         Detección

Dado que los servicios pueden degradarse rápidamente debido a los incidentes, desde una simple ralentización hasta una paralización total, los servicios deben supervisar el funcionamiento de forma continua para detectar anomalías en los niveles de prestación de servicios y actuar en consecuencia, tal y como se establece en la norma ISO 27001 y en NIS 2.

La supervisión es especialmente relevante a la hora de establecer líneas de defensa. Se establecerán mecanismos de detección, análisis e información que lleguen a los responsables de forma periódica y cuando exista una desviación significativa respecto a los parámetros preestablecidos como normales.

Intrusion detection systems primarily monitor and audit the organisation’s resources, verifying that security policy is not violated and attempting to identify any malicious activity early and effectively.

Deberán establecerse las siguientes clasificaciones según las necesidades:

• Sistemas de detección de intrusiones a nivel de red.
• Intrusion detection systems at system level.

2.3         Respuesta

Los departamentos deben:

• Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
• Designar un punto de contacto para las comunicaciones relativas a los incidentes detectados en otros departamentos u otras agencias.
• Establish protocols for the exchange of information related to the incident.

2.4         Recuperación

Para garantizar la disponibilidad de los servicios críticos, la organización velará por la existencia de un plan de continuidad y las actividades de recuperación correspondientes.

3.        Alcance

Esta política se aplica a los sistemas de información que soportan el análisis, el control de calidad y la certificación de productos farmacéuticos, biotecnológicos y cosméticos gestionados por Kymos Group.

 

4.        Misión y Servicios Prestados

KYMOS, as a private company, looks after the management of its interests and within the scope of the provision of its services for the Public Administration and/or Private Companies in the pharmaceutical sector, serves with objectivity the general interests by providing services that contribute to satisfy the needs of the services provided.

5.        Marco Normativo

El marco legal de la seguridad de la información está establecido por los siguientes instrumentos:

• ISO/IEC 27001:2022, Seguridad de la información, ciberseguridad y protección de la privacidad.
• Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures to ensure a high common level of cybersecurity throughout the Union (NIS 2) and local implementing legislation.

5.1         Protección de Datos Personales

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

5.2         Administración Electrónica y Firma Electrónica

• Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo (Identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior).
• Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
• COM (2001) 298 – final, de la Comisión Europea – Seguridad de las redes y de la información: Propuesta para un enfoque político europeo.
• Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.

5.3         Seguridad de Redes y de la Información

• OECD Guidelines for the security of information systems and networks. Towards a culture of security. As a complement to current legislation, there is currently the international standard UNE ISO/IEC 27002 «Code of Good Practice for information security management», which has become a standard for auditing aspects related to information security in organisations.

6.        Security Organisation: Committees Roles and Responsibilities

El Comité de Seguridad es el órgano que coordina la seguridad de la información a nivel organizativo.

Estará compuesto por el Responsable de Seguridad de la Información y representantes de otras áreas afectadas por ISO 27001 y NIS2.

Funciones y Responsabilidades Asociadas

• Responsabilidades derivadas del tratamiento de datos personales, apoyando al Delegado de Protección de Datos (DPD) en el ejercicio de sus funciones.
• Atender las inquietudes de los órganos superiores competentes y de los distintos departamentos.
• Informar periódicamente sobre el estado de la seguridad de la información a los superiores correspondientes.
• Promover la mejora continua del Sistema de Gestión de Seguridad de la Información (SGSI).
• Develop the organisation’s strategy for the evolution of information security.
• Coordinar los esfuerzos de las distintas áreas en materia de seguridad de la información, para garantizar que sean coherentes y estén alineados con la estrategia decidida en este ámbito, y para evitar duplicidades.
• Desarrollar (y revisar periódicamente) la Política de Seguridad de la Información.
• Aprobar la normativa interna de seguridad de la información.
• Desarrollar y aprobar los requisitos de formación y cualificación de administradores, operadores y usuarios desde el punto de vista de la seguridad de la información.
• Supervisar los principales riesgos residuales asumidos por la organización y recomendar posibles acciones a adoptar.
• Supervisar el rendimiento de los procesos de gestión de incidentes de seguridad y recomendar posibles acciones al respecto. En particular, garantizar la coordinación de las distintas áreas de seguridad en la gestión de incidentes de seguridad de la información.
• Promote periodic audits to verify compliance with the organisation’s security obligations.
• Approve plans to improve the organisation’s information security.
• Ensure that information security is taken into account in all projects from their initial specification to their implementation.
• Resolver los conflictos de responsabilidad que puedan surgir entre los distintos responsables y/o entre las distintas áreas de la organización, comunicando la situación a los superiores en aquellos casos en los que no tenga autoridad suficiente para decidir.

En caso de incidente de seguridad de la información

Aprobará el Plan de Mejora de la Seguridad, con la correspondiente asignación presupuestaria. El Comité de Seguridad de la Información no es un comité técnico, pero recabará periódicamente de su propio personal técnico o externo información relevante para la toma de decisiones. El Comité de Seguridad de la Información solicitará asesoramiento sobre los asuntos en los que deba decidir o emitir opinión. Este asesoramiento se determinará caso por caso y podrá adoptar diferentes formas y modalidades:

• Grupos de trabajo especializados internos, externos o mixtos.
• Consultoría externa.
• Asistencia a cursos u otros tipos de entornos de formación o intercambio de experiencias.

El Responsable de Seguridad de la Información es el secretario del Comité de Seguridad de la Información y, como tal:

• Convoca las reuniones del Comité de Seguridad de la Información.
• Prepara los temas a tratar en las reuniones del Comité, proporcionando información oportuna para la toma de decisiones.
• Elabora las actas de las reuniones.
• It is responsible for the direct or delegated implementation of the Committee’s decisions.

6.1         Definición de roles

La Política de Seguridad debe identificar a los claramente responsables de garantizar su cumplimiento y debe ser conocida por todos los miembros de la organización administrativa.

Se establecen en la organización los siguientes roles relacionados con la Seguridad de la Información.

6.1.1        Responsable de la Información

Corresponde al nivel de un órgano de gobierno de nivel superior que comprende la misión de la organización, determina los objetivos que pretende alcanzar y es responsable de garantizar que se consigan.

Sus funciones podrán ser asignadas a una persona física o por el Comité de Seguridad de la Información.

La persona o entidad que lo asuma deberá ser identificada para cada Información gestionada por la organización.

Funciones y Responsabilidades Asociadas

• It sets out the requirements for security information.
• Tiene la responsabilidad última sobre el uso de la información crítica y, por tanto, sobre su protección.
• It shall determine the security levels in each dimension of the information.
• Aunque la aprobación formal de los niveles de información depende del Responsable de la Información, éste podrá solicitar una propuesta al Responsable de Seguridad de la Información, al Responsable del SGSI y a la Administración de Seguridad del Sistema, este último si procede.

Compatibilidad con otros Roles

Este rol puede coincidir con el del Responsable del Servicio.

Este rol no coincidirá con el del Responsable de Seguridad de la Información, el Responsable del SGSI ni el Administrador de Seguridad del Sistema, este último si procede.

6.1.2        Responsable del Servicio

Cuando sea diferente del Responsable de la Información, podrá estar al nivel de un órgano de gobierno de nivel superior, como el Responsable de la Información, o al nivel de una dirección ejecutiva o dirección, que comprenda lo que hace cada departamento y cómo se coordinan entre sí para alcanzar los objetivos establecidos por los órganos superiores pertinentes.

Sus funciones podrán ser asignadas a una persona física o por el Comité de Seguridad de la Información.

La persona o entidad que lo asuma deberá ser identificada para cada Servicio prestado por la organización.

Funciones y Responsabilidades Asociadas

• Establishes the security requirements for services.
• It has the ultimate responsibility for the use of certain services and therefore for their protection. In case of the existence of a Service Provider, it shall be responsible for managing and mitigating errors or negligent actions under its control that may lead to service availability incidents.
• It shall determine the security levels in each dimension of the service.
• Although the formal approval of the levels depends on the Service Manager, the Service Manager may seek a proposal from the Information Security Officer, the ISMS Manager and the System Security Administrator, the latter if applicable.
• The provision of a service always has to meet the security requirements of the information it handles, as well as the security requirements of the service, adding availability requirements and others, such as accessibility and interoperability.

Compatibilidad con otros Roles

Este rol puede coincidir con el del Responsable de la Información.

Este rol no coincidirá con el del Responsable de Seguridad de la Información, el Responsable del SGSI ni el Administrador de Seguridad del Sistema, este último si procede.

6.1.3        Responsable de Seguridad de la Información / CISO

Corresponde al nivel de una Dirección Ejecutiva o Dirección.

Only one person in the organisation shall be formally appointed as the Information Security Officer, although the Information Security Officer may delegate part of the functions to other people called delegates.

Associated Functions and Responsibilities

• Reportará directamente al Comité de Seguridad de la Información.
• Actuará como Secretario del Comité de Seguridad de la Información.
• Convocar el Comité de Seguridad de la Información.
• Mantener la seguridad de la información utilizada, los servicios prestados y los sistemas de información.
• Promote information security training and awareness.
• It shall compile the security requirements of the Information and Service Officers together with the ISMS Manager and determine the criticality of the system.
• Llevar a cabo el Análisis de Riesgos.
• Elaborar una Declaración de Aplicabilidad basada en las medidas de seguridad requeridas según ISO 27001 y NIS2, y el resultado del Análisis de Riesgos.
• Proporcionar a la dirección y a los demás miembros del Comité información sobre el nivel de riesgo residual esperado tras la implementación de las opciones de tratamiento seleccionadas en el análisis de riesgos y las medidas de seguridad requeridas.
• Coordinará la elaboración de la Documentación de Seguridad del Sistema.
• Participará en la elaboración, en el marco del Comité de Seguridad de la Información, de la Política de Seguridad de la Información, para su aprobación por la dirección.
• Participará en la elaboración y aprobación de las políticas, procedimientos y normativa interna de seguridad de la información de la organización en el marco del Comité de Seguridad de la Información
• Desarrollar, mantener y aprobar los procedimientos operativos de seguridad de la información.
• Proporcionará periódicamente al Comité de Seguridad un resumen de las acciones de seguridad, los incidentes de seguridad de la información y el estado de seguridad del sistema.
• Elaborará, junto con el Responsable del SGSI, Planes de Mejora de la Seguridad para su aprobación por el Comité de Seguridad de la Información.
• Promoverá la formación y la concienciación, así como la elaboración de Planes de Formación y Concienciación en Seguridad de la Información para el personal, que serán aprobados por el Comité de Seguridad de la Información.
• Validará los Planes de Continuidad de los Sistemas elaborados por el Responsable del SGSI, que serán aprobados por el Comité de Seguridad de la Información y probados periódicamente por el Responsable del SGSI.
• Aprobar las directrices propuestas por el Responsable del SGSI para considerar la Seguridad de la Información a lo largo del ciclo de vida de los activos y procesos: especificación, arquitectura, desarrollo, operación y cambios.

En caso de incidente de seguridad de la información

El Responsable de Seguridad de la Información analizará y propondrá salvaguardas para prevenir incidentes similares en el futuro.

Compatibilidad con otros roles

Este rol no puede coincidir con el del Responsable del SGSI ni con el del Administrador de Seguridad del Sistema, este último si procede.

Delegación de Funciones

For certain Information Systems which, due to their complexity, distribution, physical separation of their elements or number of users, require additional personnel to carry out the functions of the Information Security Officer, the Delegated Security Officers deemed necessary may be appointed by the Information Security Officer, prior approval by the Information Security Committee.

Mediante la designación de delegados, se delegan funciones. La responsabilidad última recae en el Responsable de Seguridad de la Información.

Los Responsables de Seguridad Delegados se encargarán de todas las funciones delegadas por el Responsable de Seguridad de la Información y reportarán directamente al Responsable de Seguridad de la Información.

6.1.4        Responsable del SGSI

Corresponde al nivel de una Dirección Operativa.

A natural person shall be formally appointed as ISMS Manager.

Associated Functions and Responsibilities

Sus funciones serán las siguientes:

• Establish, review and maintain the organisation’s information security policy.
• Coordinar la identificación, análisis y tratamiento de riesgos.
• Garantizar la aplicación de controles y medidas de seguridad.
• Coordinar las auditorías internas del SGSI y las acciones correctivas resultantes.
• Gestionar la documentación del SGSI, incluida la Declaración de Aplicabilidad (SoA), en colaboración con el Responsable de Seguridad de la Información.
• Colaborar con el Responsable de Seguridad de la Información, el DPD y otros roles clave para garantizar la integración de la seguridad y la privacidad en toda la organización.

In the event of an information security incident

Planificará la implementación de salvaguardas en el sistema e implementará el plan de seguridad aprobado.

Compatibilidad con otros Roles

This role shall not coincide with that of the System Security Administrator and Information Security Officer.

6.1.5        Administrador de Seguridad del Sistema

Corresponde al nivel de un empleado cualificado en seguridad de sistemas TI.

The System Security Administrator shall be nominated by the ISMS Manager, to whom the System Security Administrator shall report on all matters relating to information security of the systems managed.

Associated Functions and Responsibilities

• La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al Sistema de Información.
• Ensure that established security controls are strictly implemented.
• Garantizar que las pistas de auditoría y los registros de seguridad requeridos estén habilitados, conservados y supervisados de acuerdo con los requisitos de seguridad de la información de la organización.
• Implementar, operar y mantener los procedimientos, mecanismos y controles de seguridad requeridos para los sistemas, usuarios y activos internos y externos asociados.
• Garantizar que se apliquen los procedimientos aprobados para gestionar el sistema de información y los mecanismos y servicios de seguridad requeridos.
• La gestión, configuración y actualización, cuando proceda, del hardware y software en los que se basan los mecanismos y servicios de seguridad del Sistema de Información.
• Supervisar las instalaciones, modificaciones y actualizaciones de hardware y software para garantizar que la seguridad no se ve comprometida.
• Aprobar los cambios en la configuración actual del Sistema de Información, garantizando que los mecanismos y servicios de seguridad implantados sigan siendo operativos.
• Notificar al Responsable del SGSI cualquier anomalía, compromiso o vulnerabilidad relacionados con la seguridad.
• Supervisar el estado de seguridad del sistema.

En caso de incidente de seguridad de la información

• Registro, contabilización y gestión de los incidentes de seguridad en los sistemas bajo su responsabilidad.
• Implementar el plan de seguridad aprobado.
• Isolate the incident to prevent spread to other elements not compromised by the incident.
• Tomar decisiones a corto plazo si la información ha sido comprometida de una manera que pudiera tener graves consecuencias (estas acciones serán documentadas).
• Garantizar la integridad de los elementos críticos del Sistema si su disponibilidad se ha visto afectada.
• Mantener y recuperar la información almacenada por el Sistema y sus servicios asociados.
• Investigate the incident: determine the characteristics, means, motives and origin of the incident.

Compatibilidad con otros roles

Este rol no coincidirá con el rol de Responsable del SGSI ni con el de Responsable de Seguridad de la Información.

Delegación de Funciones

For certain Information Systems which, due to their complexity, distribution, physical separation of their elements or number of users, require additional personnel to carry out the functions of the System Security Administrator, the Delegated System Security Administrators deemed necessary may be appointed by the System Security Administrator, prior approval by the Information Security Committee.

Mediante la designación de delegados, se delegan funciones. La responsabilidad última recae en el Administrador de Seguridad del Sistema.

Los Administradores de Seguridad del Sistema Delegados se encargarán de todas las funciones delegadas por el Administrador de Seguridad del Sistema y reportarán directamente al Administrador de Seguridad del Sistema.

6.1.6        Delegado de Protección de Datos

The Data Protection Officer is a role contemplated by the RGPD (European Data Protection Regulation) and the applicable Spanish Organic Law 3/2018 on General Protection of Personal Data.

Such role shall be assumed by a natural person.

Associated Functions and Responsibilities

• Reporting directly to the highest hierarchical level recommendations, assessments or advice regarding personal data protection.
• Collaborate with the Information Security Officer in the event of security incidents which may affect personal data.
• Supervise compliance of applicable privacy law, both internally and externally regarding providers.
• Asistir en la evaluación de los riesgos relacionados con los datos personales y sus salvaguardas.
• Participar en actividades de concienciación y formación relacionadas con la protección de datos.

6.2         Responsabilidades en virtud de ISO 27001 y NIS 2

The main responsibilities are shown below in correlation with the security measures:

A este respecto, véase el siguiente documento: “REG-03 RACI”.

7.        Datos Personales

KYMOS processes personal data, thus, the organisation has the corresponding Register of Processing Activities de acuerdo con las disposiciones del RGPD.

All KYMOS Group information systems shall comply with the security levels required by the regulations, for the purpose and effect of the nature and purpose of the personal data collected.

8.        Gestión de Riesgos

8.1         Justificación

Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y riesgos a los que están expuestos.

The risk analysis will be the basis for determining the security measures to be taken which shall be detailed in the Risk Analysis and its Statement of Applicability.

8.2         Criterios de evaluación de riesgos

Para la armonización de la metodología de análisis de riesgos, el Comité de Seguridad de la Información establecerá una evaluación de referencia para los distintos tipos de información gestionada y los distintos servicios prestados.

Los criterios detallados de evaluación de riesgos se especificarán en la metodología de evaluación de riesgos a desarrollar por la organización, basada en normas y prácticas reconocidas.

All risks that could seriously prevent the operational capability of the organisation or the achievement of the organisation’s mission shall be addressed.

Se dará especial prioridad a los riesgos que impliquen una interrupción de la prestación de los servicios prestados.

8.3         Directrices de tratamiento

El Comité de Seguridad de la Información racionalizará la disponibilidad de recursos para satisfacer las necesidades de seguridad de los distintos sistemas, promoviendo las inversiones horizontales.

8.4         Proceso de aceptación del riesgo residual

Los riesgos residuales serán determinados por el Responsable de Seguridad de la Información.

Los niveles de riesgo residual esperados en cada Información tras la implementación de las opciones de tratamiento (incluida la implementación de las medidas de seguridad previstas en ISO 27002 y en la Directiva NIS2) serán aceptados por el Comité de Seguridad de la Información.

Los niveles de Riesgo Residual serán presentados por el Responsable de Seguridad de la Información al Comité de Seguridad de la Información (CSI), que evaluará, aprobará o rectificará las opciones de tratamiento propuestas según corresponda.

8.5         Necesidad de realizar o actualizar evaluaciones de riesgos

El análisis de los riesgos y su tratamiento debe ser una actividad regular, tal y como exigen la norma ISO 27001 y la Directiva NIS2. Este análisis se repetirá:

• Regularmente, al menos una vez al año.
• Cuando se produzcan cambios significativos en la información gestionada.
• Cuando se produzcan cambios significativos en los servicios prestados.
• Cuando se produzcan cambios significativos en los sistemas que procesan información y están implicados en la prestación de servicios.
• Cuando se produzca un incidente de seguridad grave.
• Cuando se notifiquen vulnerabilidades graves.

9.        Obligaciones del Personal

Todos los miembros de la organización están obligados a conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad que les sea de aplicación, siendo responsabilidad del Comité de Seguridad de la Información proporcionar los medios necesarios para garantizar que la información llegue a los afectados.

Compliance with this Security Policy is mandatory for all internal and external personnel involved in the organisation’s processes, and non-compliance with it constitutes a serious offence for employment purposes, in accordance with the collective labour agreement.

In this regard, the organisation has the document “IT-REGU-04 Security Regulations of Duties and Roles of Staff”.

10.     Formación y Concienciación del Personal

La Dirección se compromete con la Formación Profesional y la Concienciación del Personal del Grupo KYMOS.

KYMOS’s objective is to continuously raise awareness of cybersecurity among employees, and to this end, the organisation carries out:

• Entrega oportuna de píldoras informativas sobre ciberseguridad, respondiendo a situaciones de riesgo.
• Formación anual de actualización en ciberseguridad para todo el personal.
• Campañas esporádicas de simulación de phishing, al menos cada dos años.

11.     Terceros

Cuando los servicios sean prestados o la información sea gestionada por otras organizaciones, se les dará a conocer esta Política de Seguridad de la Información, se establecerán canales de comunicación y coordinación para los respectivos Comités de Seguridad de la Información, y se establecerán procedimientos para reaccionar ante incidentes de seguridad.

Cuando se utilicen servicios de terceros o se proporcione información a terceros, se les dará a conocer esta Política de Seguridad y los Roles y Deberes del Personal que sean de aplicación a dichos servicios o información. Este tercero estará sujeto a las obligaciones establecidas en esta política y podrá desarrollar sus propios procedimientos operativos para cumplir con estas obligaciones.

Se establecerán procedimientos específicos de notificación y resolución de incidentes. Se garantizará que el personal de terceros esté adecuadamente concienciado en materia de seguridad, al menos en el mismo nivel establecido en esta Política.

Where any aspect of the Policy cannot be satisfied by a third party as required in the above paragraphs, a report from the Information Security Officer specifying the risks involved and how they will be addressed will be required. Such report shall be reviewed by the Information Security Committee and approved by the Information and Service Managers, together with the Management.

12.     Revisión y Aprobación de la Política de Seguridad

La Política de Seguridad de la Información será revisada por el Comité de Seguridad de la Información a intervalos planificados, no superiores a un año, o siempre que se produzcan cambios significativos, con el fin de garantizar que se mantiene su idoneidad, adecuación y eficacia.

Any changes to the Information Security Policy shall be reviews by the Information Security Committee and approved by Management.

Management shall ensure that all personnel understand and fulfil their information security responsibilities as well as shall promote compliance with information security policies, procedures and controls and shall provide the necessary support and resources for their implementation.

Por último, la Política de Seguridad de la Información se comunicará y pondrá a disposición de todo el personal y las partes interesadas del Grupo KYMOS.