KYMOS depends on ICT (Information and Communications Technology) systems to achieve its objectives.<\/p>\n
Estos sistemas deben gestionarse con diligencia, adoptando las medidas adecuadas para protegerlos frente a da\u00f1os accidentales o deliberados que pudieran afectar a la disponibilidad, integridad y confidencialidad de la informaci\u00f3n tratada o de los servicios prestados.<\/p>\n
El objetivo de la seguridad de la informaci\u00f3n es garantizar la calidad de la informaci\u00f3n y la prestaci\u00f3n continuada de los servicios, actuando de forma preventiva, supervisando la actividad diaria y reaccionando con prontitud ante los incidentes.<\/p>\n
To defend against these threats, a strategy that adapts to changing environmental conditions is required to ensure the continued provision of services.<\/p>\n
This implies that departments must implement the security measures required by ISO 27001 and the NIS 2 Directive (Annex I, point 5 \u201cHealth Sector\u201d, in conjunction with NACE Rev.2, Section C, point 21 \u201cManufacturing of medicine\u201d)<\/strong>, as well as continuously monitor service delivery levels, track, analyse and correct reported vulnerabilities, and prepare an effective incident response to ensure continuity of services provided.<\/p>\n The different departments must ensure that ICT security is an integral part of every stage of the system’s lifecycle, from its conception to its decommissioning, through development or procurement decisions and operational activities.<\/p>\n Security requirements and funding need to be identified and included in planning, request for tenders, and tender documents for ICT projects. Departments need to be prepared to prevent, detect, react and recover from incidents in accordance with NIS2 Directive in its article 29.a.<\/p>\n Departments must avoid, or at least prevent as far as possible, information or services from being compromised by security incidents. Both ISO 27001 and the NIS2 Directive state that systems must be designed and configured to ensure security by default, in line with the \u00abNeed to Know\u00bb least privilege policy.<\/p>\n A tal efecto, los departamentos deben implementar las medidas de seguridad m\u00ednimas determinadas por ISO 27001, de acuerdo con los requisitos establecidos en la Directiva NIS2, as\u00ed como cualquier control adicional identificado mediante una evaluaci\u00f3n de amenazas y riesgos. Estos controles, junto con los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.<\/p>\n Para garantizar el cumplimiento de la pol\u00edtica, los departamentos deben:<\/p>\n Dado que los servicios pueden degradarse r\u00e1pidamente debido a los incidentes, desde una simple ralentizaci\u00f3n hasta una paralizaci\u00f3n total, los servicios deben supervisar el funcionamiento de forma continua para detectar anomal\u00edas en los niveles de prestaci\u00f3n de servicios y actuar en consecuencia, tal y como se establece en la norma ISO 27001 y en NIS 2.<\/p>\n La supervisi\u00f3n es especialmente relevante a la hora de establecer l\u00edneas de defensa. Se establecer\u00e1n mecanismos de detecci\u00f3n, an\u00e1lisis e informaci\u00f3n que lleguen a los responsables de forma peri\u00f3dica y cuando exista una desviaci\u00f3n significativa respecto a los par\u00e1metros preestablecidos como normales.<\/p>\n Intrusion detection systems primarily monitor and audit the organisation’s resources, verifying that security policy is not violated and attempting to identify any malicious activity early and effectively.<\/p>\n Deber\u00e1n establecerse las siguientes clasificaciones seg\u00fan las necesidades:<\/p>\n Los departamentos deben:<\/p>\n Para garantizar la disponibilidad de los servicios cr\u00edticos, la organizaci\u00f3n velar\u00e1 por la existencia de un plan de continuidad y las actividades de recuperaci\u00f3n correspondientes.<\/p>\n Esta pol\u00edtica se aplica a los sistemas de informaci\u00f3n que soportan el an\u00e1lisis, el control de calidad y la certificaci\u00f3n de productos farmac\u00e9uticos, biotecnol\u00f3gicos y cosm\u00e9ticos gestionados por Kymos Group.<\/p>\n \u00a0<\/strong><\/p>\n KYMOS, as a private company, looks after the management of its interests and within the scope of the provision of its services for the Public Administration and\/or Private Companies in the pharmaceutical sector, serves with objectivity the general interests by providing services that contribute to satisfy the needs of the services provided.<\/p>\n El marco legal de la seguridad de la informaci\u00f3n est\u00e1 establecido por los siguientes instrumentos:<\/p>\n El Comit\u00e9 de Seguridad es el \u00f3rgano que coordina la seguridad de la informaci\u00f3n a nivel organizativo.<\/p>\n Estar\u00e1 compuesto por el Responsable de Seguridad de la Informaci\u00f3n y representantes de otras \u00e1reas afectadas por ISO 27001 y NIS2.<\/p>\n <\/a>Funciones y Responsabilidades Asociadas<\/u><\/strong><\/p>\n Aprobar\u00e1 el Plan de Mejora de la Seguridad, con la correspondiente asignaci\u00f3n presupuestaria. El Comit\u00e9 de Seguridad de la Informaci\u00f3n no es un comit\u00e9 t\u00e9cnico, pero recabar\u00e1 peri\u00f3dicamente de su propio personal t\u00e9cnico o externo informaci\u00f3n relevante para la toma de decisiones. El Comit\u00e9 de Seguridad de la Informaci\u00f3n solicitar\u00e1 asesoramiento sobre los asuntos en los que deba decidir o emitir opini\u00f3n. Este asesoramiento se determinar\u00e1 caso por caso y podr\u00e1 adoptar diferentes formas y modalidades:<\/p>\n El Responsable de Seguridad de la Informaci\u00f3n es el secretario del Comit\u00e9 de Seguridad de la Informaci\u00f3n y, como tal:<\/p>\n La Pol\u00edtica de Seguridad debe identificar a los claramente responsables de garantizar su cumplimiento y debe ser conocida por todos los miembros de la organizaci\u00f3n administrativa.<\/p>\n Se establecen en la organizaci\u00f3n los siguientes roles relacionados con la Seguridad de la Informaci\u00f3n.<\/p>\n Corresponde al nivel de un \u00f3rgano de gobierno de nivel superior que comprende la misi\u00f3n de la organizaci\u00f3n, determina los objetivos que pretende alcanzar y es responsable de garantizar que se consigan.<\/p>\n Sus funciones podr\u00e1n ser asignadas a una persona f\u00edsica o por el Comit\u00e9 de Seguridad de la Informaci\u00f3n.<\/p>\n La persona o entidad que lo asuma deber\u00e1 ser identificada para cada Informaci\u00f3n gestionada por la organizaci\u00f3n.<\/p>\n Este rol puede coincidir con el del Responsable del Servicio.<\/p>\n Este rol no coincidir\u00e1 con el del Responsable de Seguridad de la Informaci\u00f3n, el Responsable del SGSI ni el Administrador de Seguridad del Sistema, este \u00faltimo si procede.<\/p>\n Cuando sea diferente del Responsable de la Informaci\u00f3n, podr\u00e1 estar al nivel de un \u00f3rgano de gobierno de nivel superior, como el Responsable de la Informaci\u00f3n, o al nivel de una direcci\u00f3n ejecutiva o direcci\u00f3n, que comprenda lo que hace cada departamento y c\u00f3mo se coordinan entre s\u00ed para alcanzar los objetivos establecidos por los \u00f3rganos superiores pertinentes.<\/p>\n Sus funciones podr\u00e1n ser asignadas a una persona f\u00edsica o por el Comit\u00e9 de Seguridad de la Informaci\u00f3n.<\/p>\n La persona o entidad que lo asuma deber\u00e1 ser identificada para cada Servicio prestado por la organizaci\u00f3n.<\/p>\n Este rol puede coincidir con el del Responsable de la Informaci\u00f3n.<\/p>\n Este rol no coincidir\u00e1 con el del Responsable de Seguridad de la Informaci\u00f3n, el Responsable del SGSI ni el Administrador de Seguridad del Sistema, este \u00faltimo si procede.<\/p>\n Corresponde al nivel de una Direcci\u00f3n Ejecutiva o Direcci\u00f3n.<\/p>\n Only one person in the organisation shall be formally appointed as the Information Security Officer, although the Information Security Officer may delegate part of the functions to other people called delegates.<\/p>\n Este rol no puede coincidir con el del Responsable del SGSI ni con el del Administrador de Seguridad del Sistema, este \u00faltimo si procede.<\/p>\n For certain Information Systems which, due to their complexity, distribution, physical separation of their elements or number of users, require additional personnel to carry out the functions of the Information Security Officer, the Delegated Security Officers deemed necessary may be appointed by the Information Security Officer, prior approval by the Information Security Committee.<\/p>\n Mediante la designaci\u00f3n de delegados, se delegan funciones. La responsabilidad \u00faltima recae en el Responsable de Seguridad de la Informaci\u00f3n.<\/p>\n Los Responsables de Seguridad Delegados se encargar\u00e1n de todas las funciones delegadas por el Responsable de Seguridad de la Informaci\u00f3n y reportar\u00e1n directamente al Responsable de Seguridad de la Informaci\u00f3n.<\/p>\n Corresponde al nivel de una Direcci\u00f3n Operativa.<\/p>\n A natural person shall be formally appointed as ISMS Manager.<\/p>\n Sus funciones ser\u00e1n las siguientes:<\/p>\n This role shall not coincide with that of the System Security Administrator and Information Security Officer.<\/p>\n Corresponde al nivel de un empleado cualificado en seguridad de sistemas TI.<\/p>\n The System Security Administrator shall be nominated by the ISMS Manager, to whom the System Security Administrator shall report on all matters relating to information security of the systems managed.<\/p>\n Este rol no coincidir\u00e1 con el rol de Responsable del SGSI ni con el de Responsable de Seguridad de la Informaci\u00f3n.<\/p>\n For certain Information Systems which, due to their complexity, distribution, physical separation of their elements or number of users, require additional personnel to carry out the functions of the System Security Administrator, the Delegated System Security Administrators deemed necessary may be appointed by the System Security Administrator, prior approval by the Information Security Committee.<\/p>\n Mediante la designaci\u00f3n de delegados, se delegan funciones. La responsabilidad \u00faltima recae en el Administrador de Seguridad del Sistema.<\/p>\n Los Administradores de Seguridad del Sistema Delegados se encargar\u00e1n de todas las funciones delegadas por el Administrador de Seguridad del Sistema y reportar\u00e1n directamente al Administrador de Seguridad del Sistema.<\/p>\n The Data Protection Officer is a role contemplated by the RGPD (European Data Protection Regulation) and the applicable Spanish Organic Law 3\/2018 on General Protection of Personal Data.<\/p>\n Such role shall be assumed by a natural person.<\/p>\n The main responsibilities are shown below in correlation with the security measures:<\/p>\n A este respecto, v\u00e9ase el siguiente documento: \u201cREG-03 RACI\u201d.<\/p>\n KYMOS processes personal data, thus, the organisation has the corresponding Register of Processing Activities <\/em><\/strong>de acuerdo con las disposiciones del RGPD.<\/p>\n All KYMOS Group information systems shall comply with the security levels required by the regulations, for the purpose and effect of the nature and purpose of the personal data collected.<\/p>\n Todos los sistemas sujetos a esta Pol\u00edtica deber\u00e1n realizar un an\u00e1lisis de riesgos, evaluando las amenazas y riesgos a los que est\u00e1n expuestos.<\/p>\n The risk analysis will be the basis for determining the security measures to be taken which shall be detailed in the Risk Analysis and its Statement of Applicability.<\/p>\n Para la armonizaci\u00f3n de la metodolog\u00eda de an\u00e1lisis de riesgos, el Comit\u00e9 de Seguridad de la Informaci\u00f3n establecer\u00e1 una evaluaci\u00f3n de referencia para los distintos tipos de informaci\u00f3n gestionada y los distintos servicios prestados.<\/p>\n Los criterios detallados de evaluaci\u00f3n de riesgos se especificar\u00e1n en la metodolog\u00eda de evaluaci\u00f3n de riesgos a desarrollar por la organizaci\u00f3n, basada en normas y pr\u00e1cticas reconocidas.<\/p>\n All risks that could seriously prevent the operational capability of the organisation or the achievement of the organisation’s mission shall be addressed.<\/p>\n Se dar\u00e1 especial prioridad a los riesgos que impliquen una interrupci\u00f3n de la prestaci\u00f3n de los servicios prestados.<\/p>\n El Comit\u00e9 de Seguridad de la Informaci\u00f3n racionalizar\u00e1 la disponibilidad de recursos para satisfacer las necesidades de seguridad de los distintos sistemas, promoviendo las inversiones horizontales.<\/p>\n Los riesgos residuales ser\u00e1n determinados por el Responsable de Seguridad de la Informaci\u00f3n.<\/p>\n Los niveles de riesgo residual esperados en cada Informaci\u00f3n tras la implementaci\u00f3n de las opciones de tratamiento (incluida la implementaci\u00f3n de las medidas de seguridad previstas en ISO 27002 y en la Directiva NIS2) ser\u00e1n aceptados por el Comit\u00e9 de Seguridad de la Informaci\u00f3n.<\/p>\n Los niveles de Riesgo Residual ser\u00e1n presentados por el Responsable de Seguridad de la Informaci\u00f3n al Comit\u00e9 de Seguridad de la Informaci\u00f3n (CSI), que evaluar\u00e1, aprobar\u00e1 o rectificar\u00e1 las opciones de tratamiento propuestas seg\u00fan corresponda.<\/p>\n El an\u00e1lisis de los riesgos y su tratamiento debe ser una actividad regular, tal y como exigen la norma ISO 27001 y la Directiva NIS2. Este an\u00e1lisis se repetir\u00e1:<\/p>\n Todos los miembros de la organizaci\u00f3n est\u00e1n obligados a conocer y cumplir esta Pol\u00edtica de Seguridad de la Informaci\u00f3n y la Normativa de Seguridad que les sea de aplicaci\u00f3n, siendo responsabilidad del Comit\u00e9 de Seguridad de la Informaci\u00f3n proporcionar los medios necesarios para garantizar que la informaci\u00f3n llegue a los afectados.<\/p>\n Compliance with this Security Policy is mandatory for all internal and external personnel involved in the organisation’s processes, and non-compliance with it constitutes a serious offence for employment purposes, in accordance with the collective labour agreement.<\/p>\n In this regard, the organisation has the document \u201cIT-REGU-04 Security Regulations of Duties and Roles of Staff\u201d.<\/p>\n La Direcci\u00f3n se compromete con la Formaci\u00f3n Profesional y la Concienciaci\u00f3n del Personal del Grupo KYMOS.<\/p>\n KYMOS\u2019s objective is to continuously raise awareness of cybersecurity among employees, and to this end, the organisation carries out:<\/p>\n Cuando los servicios sean prestados o la informaci\u00f3n sea gestionada por otras organizaciones, se les dar\u00e1 a conocer esta Pol\u00edtica de Seguridad de la Informaci\u00f3n, se establecer\u00e1n canales de comunicaci\u00f3n y coordinaci\u00f3n para los respectivos Comit\u00e9s de Seguridad de la Informaci\u00f3n, y se establecer\u00e1n procedimientos para reaccionar ante incidentes de seguridad.<\/p>\n Cuando se utilicen servicios de terceros o se proporcione informaci\u00f3n a terceros, se les dar\u00e1 a conocer esta Pol\u00edtica de Seguridad y los Roles y Deberes del Personal que sean de aplicaci\u00f3n a dichos servicios o informaci\u00f3n. Este tercero estar\u00e1 sujeto a las obligaciones establecidas en esta pol\u00edtica y podr\u00e1 desarrollar sus propios procedimientos operativos para cumplir con estas obligaciones.<\/p>\n Se establecer\u00e1n procedimientos espec\u00edficos de notificaci\u00f3n y resoluci\u00f3n de incidentes. Se garantizar\u00e1 que el personal de terceros est\u00e9 adecuadamente concienciado en materia de seguridad, al menos en el mismo nivel establecido en esta Pol\u00edtica.<\/p>\n Where any aspect of the Policy cannot be satisfied by a third party as required in the above paragraphs, a report from the Information Security Officer specifying the risks involved and how they will be addressed will be required. Such report shall be reviewed by the Information Security Committee and approved by the Information and Service Managers, together with the Management.<\/p>\n La Pol\u00edtica de Seguridad de la Informaci\u00f3n ser\u00e1 revisada por el Comit\u00e9 de Seguridad de la Informaci\u00f3n a intervalos planificados, no superiores a un a\u00f1o, o siempre que se produzcan cambios significativos, con el fin de garantizar que se mantiene su idoneidad, adecuaci\u00f3n y eficacia.<\/p>\n Any changes to the Information Security Policy shall be reviews by the Information Security Committee and approved by Management.<\/p>\n Management shall ensure that all personnel understand and fulfil their information security responsibilities as well as shall promote compliance with information security policies, procedures and controls and shall provide the necessary support and resources for their implementation.<\/p>\n Por \u00faltimo, la Pol\u00edtica de Seguridad de la Informaci\u00f3n se comunicar\u00e1 y pondr\u00e1 a disposici\u00f3n de todo el personal y las partes interesadas del Grupo KYMOS.<\/p>\n<\/div><\/div><\/div><\/div><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":8,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"open","template":"100-width.php","meta":{"_acf_changed":false,"footnotes":""},"categories":[],"tags":[],"class_list":["post-40059","page","type-page","status-publish","hentry"],"acf":[],"yoast_head":"\n<\/a><\/a>2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Gesti\u00f3n de Incidentes de Seguridad<\/h1>\n
<\/a><\/a>2.1\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Prevenci\u00f3n<\/h2>\n
\n
<\/a><\/a>2.2\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Detecci\u00f3n<\/h2>\n
\n
<\/a><\/a>2.3\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Respuesta<\/h2>\n
\n
<\/a><\/a>2.4\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Recuperaci\u00f3n<\/h2>\n
<\/a>3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Alcance<\/h1>\n
<\/a><\/a>4.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Misi\u00f3n y Servicios Prestados<\/h1>\n
<\/a><\/a>5.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Marco Normativo<\/h1>\n
\n
<\/a><\/a>5.1\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Protecci\u00f3n de Datos Personales<\/h2>\n
\n
<\/a><\/a>5.2\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Administraci\u00f3n Electr\u00f3nica y Firma Electr\u00f3nica<\/h2>\n
\n
<\/a><\/a>5.3\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Seguridad de Redes y de la Informaci\u00f3n<\/h2>\n
\n
<\/a><\/a>6.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Security Organisation: <\/a>Committees Roles and Responsibilities<\/h1>\n
\n
<\/a><\/a>En caso de incidente de seguridad de la informaci\u00f3n<\/u><\/h3>\n
\n
\n
<\/a><\/a>6.1\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Definici\u00f3n de roles<\/h2>\n
<\/a>6.1.1\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Responsable de la Informaci\u00f3n<\/u><\/h3>\n
<\/a>Funciones y Responsabilidades Asociadas<\/h4>\n
\n
<\/a>Compatibilidad con otros Roles<\/h4>\n
<\/a>6.1.2\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Responsable del Servicio<\/u><\/h3>\n
Funciones y Responsabilidades Asociadas<\/h4>\n
\n
<\/a>Compatibilidad con otros Roles<\/h4>\n
<\/a><\/a>6.1.3\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Responsable de Seguridad de la Informaci\u00f3n \/ CISO<\/u><\/h3>\n
<\/a>Associated Functions and Responsibilities<\/h4>\n
\n
En caso de incidente de seguridad de la informaci\u00f3n<\/h4>\n
El Responsable de Seguridad de la Informaci\u00f3n analizar\u00e1 y propondr\u00e1 salvaguardas para prevenir incidentes similares en el futuro.<\/h4>\n
<\/a>Compatibilidad con otros roles<\/h4>\n
Delegaci\u00f3n de Funciones<\/h4>\n
<\/a>6.1.4\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Responsable del SGSI<\/u><\/h3>\n
Associated Functions and Responsibilities<\/h4>\n
\n
<\/a>In the event of an information security incident<\/h4>\n
Planificar\u00e1 la implementaci\u00f3n de salvaguardas en el sistema e implementar\u00e1 el plan de seguridad aprobado.<\/h4>\n
Compatibilidad con otros Roles<\/h4>\n
<\/a><\/a>6.1.5\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Administrador de Seguridad del Sistema<\/u><\/h3>\n
Associated Functions and Responsibilities<\/h4>\n
\n
<\/a>En caso de incidente de seguridad de la informaci\u00f3n<\/h4>\n
\n
Compatibilidad con otros roles<\/h4>\n
<\/a>Delegaci\u00f3n de Funciones<\/h4>\n
<\/a><\/a>6.1.6\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Delegado de Protecci\u00f3n de Datos<\/u><\/h3>\n
Associated Functions and Responsibilities<\/h4>\n
\n
<\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a>6.2\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Responsabilidades en virtud de ISO 27001 y NIS 2<\/h2>\n
<\/a>7.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Datos Personales<\/h1>\n
<\/a><\/a>8.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Gesti\u00f3n de Riesgos<\/h1>\n
<\/a><\/a>8.1\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Justificaci\u00f3n<\/h2>\n
<\/a><\/a>8.2\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Criterios de evaluaci\u00f3n de riesgos<\/h2>\n
<\/a><\/a>8.3\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Directrices de tratamiento<\/h2>\n
<\/a><\/a>8.4\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Proceso de aceptaci\u00f3n del riesgo residual<\/h2>\n
<\/a><\/a>8.5\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Necesidad de realizar o actualizar evaluaciones de riesgos<\/h2>\n
\n
<\/a><\/a>9.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Obligaciones del Personal<\/h1>\n
<\/a>10.\u00a0\u00a0\u00a0\u00a0 Formaci\u00f3n y Concienciaci\u00f3n del Personal<\/h1>\n
\n
<\/a><\/a>11.\u00a0\u00a0\u00a0\u00a0 Terceros<\/h1>\n
<\/a><\/a>12.\u00a0\u00a0\u00a0\u00a0 Revisi\u00f3n y Aprobaci\u00f3n de la Pol\u00edtica de Seguridad<\/h1>\n