Política de
Seguridad de la Información

Octubre 2025
Imagen Sello Certificación 27001. Clínica Universidad de Navarra

Introducción

El Sistema de Gestión de Seguridad de la Información (en adelante, SGSI) de la Organización Universitaria de Navarra (en adelante, la CUN o la Organización) está basado en el modelo ISO 27001:2022 de Seguridad de la información, Ciberseguridad y Protección de la Privacidad - Sistemas de Gestión de la Seguridad de la Información, que utiliza un enfoque basado en la gestión del riesgo de todo el sistema en aras de identificar, planificar y actuar sobre los riesgos y oportunidades que son pertinentes para el logro de los resultados esperados y en el cumplimiento de los objetivos de Seguridad de la Información establecidos que hubiesen sido establecidos al respecto.

Liderazgo y Compromiso

La Dirección de la CUN demuestra su liderazgo y compromiso respecto al Sistema de Gestión de Seguridad de la Información de la siguiente manera:

  • Garantizando que la Política de Seguridad de la CUN y los objetivos de la misma se han establecido y son compatibles con la dirección estratégica de la Organización.
  • Garantizando la integración de los requerimientos del SGSI en los procesos de la organización.
  • Proporcionando los recursos necesarios para implementar, mantener y mejorar continuamente el SGSI.
  • Comunicando la importancia de una gestión eficaz del sistema y de satisfacer los requisitos del mismo.
  • Asegurando que el SGSI alcanza sus resultados previstos.
  • Dirigiendo y apoyando a las personas a contribuir a la eficacia del SGSI.
  • Promoviendo la mejora continua.
  • Fomentando una cultura de seguridad de la información entre todos los miembros de la Organización.
  • Asegurando que los objetivos de seguridad de la información sean establecidos y comunicados.
  • Apoyando otras funciones de gestión pertinentes para demostrar su liderazgo aplicable a sus áreas de responsabilidad.

Política General de Seguridad de la Informacion

La Dirección de la CUN acuerda que el desarrollo de las actividades de esta Organización, así como de la consecución de sus objetivos estratégicos en materia de Seguridad de la Información requieren garantizar, en todo momento, un nivel alto de cumplimiento de los niveles establecidos en materia de Confidencialidad, Disponibilidad, Trazabilidad, Autenticidad e Integridad de la información para sus activos, así como a los principios legales, organizativos y técnicos correspondientes, en especial, y a efectos de esta política, en materias relacionadas con la protección de datos de carácter personal.

La CUN considera que es fundamental garantizar la seguridad de la información en todas sus vertientes (integridad, confidencialidad, disponibilidad) así como la seguridad de los procesos, infraestructuras, personas y otros recursos que participan en la prestación de los servicios de la Organización. La CUN debe gestionar de forma adecuada la seguridad: protegiendo dichos elementos de posibles amenazas, minimizando sus riesgos y garantizando la continuidad de sus procesos de negocio.

Por lo tanto, proteger la información y mantener su seguridad se convierte en un objetivo global que debe ser marcado como propio por todos y cada uno de los miembros de la CUN, por lo que deben conocer y cumplir con la Política de Seguridad de la Información, los procedimientos, normativas, estándares y recomendaciones que la implantan.

Con esta finalidad, se ha desarrollado e implantado el SGSI que establece el marco de referencia para tratar de forma segura los activos de dicha Organización.

El compromiso de la CUN en cuanto a la Gestión de la Seguridad de la Información son los siguientes:

  • Hacer patente el compromiso de la Dirección con el SGSI, incluyendo la Gestión de la Seguridad de la Información.
  • Garantizar que se integren los requisitos del SGSI en los procesos de negocio de la CUN.
  • Asegurar que se establezcan los objetivos de Seguridad de la Información en el SGSI y que éstos sean compatibles con el contexto y la dirección estratégica de la Organización.
  • Definir, desarrollar y poner en funcionamiento los controles necesarios promoviendo el uso del enfoque a procesos y el pensamiento basado en riesgos para garantizar el cumplimiento, en todo momento, de los niveles de riesgo aprobados por la Organización.
  • Cumplir en todo momento la legislación vigente, además de las normas y especificaciones particulares aplicables a los servicios prestados por la Organización.
  • Crear una cultura de gestión de los Sistemas de Información y de la Seguridad integrada, tanto internamente, a todo el personal, como externamente a los pacientes y proveedores.
  • Comprometer, dirigir y apoyar al personal con el fin de contribuir a la eficacia del SGSI, asegurar la disponibilidad de los recursos necesarios para el mismo, así como apoyar a otros roles pertinentes de la dirección en la forma en la que aplique el sistema de gestión en sus áreas de responsabilidad.
  • Tratar la gestión de la Seguridad de la Información como un proceso de mejora continua.
  • Mantener la confianza y satisfacción de los pacientes y personal de la Organización.

Alcance y ámbito de aplicación

Esta Política de Seguridad de la Información aplica a toda la información gestionada por la CUN, todos los sistemas de información, redes, aplicaciones, equipamiento de hardware y software propiedad de la CUN o bajo su control, así como a todo el personal que, de manera permanente o eventual, preste sus servicios en la CUN, incluyendo el personal de organizaciones externas, directa o indirectamente, relacionado con la CUN y su SGSI, que necesite para el desarrollo de sus funciones y tareas.

Marco legal y normativo legal

La CUN se compromete a cumplir con toda la legislación y regulaciones vigentes aplicables en materia de protección de datos y seguridad de la información, incluyendo:

  • Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
  • Reglamento General de Protección de Datos (RGPD).
  • Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
  • Ley de Prevención de Riesgos Laborales (LPRL).
  • Ley de Propiedad Intelectual (LPI)..
  • Ley 6/2020, de 11 de noviembre (Servicios Electrónicos de Confianza).
  • Reglamento eIDAS 2.
  • Requerimientos Joint Commission International.
  • Directiva NIS2 del Parlamento Europeo y del Consejo.
  • ISO 27001 Seguridad de la información, Ciberseguridad y Protección de la Privacidad.

Revisión y cumplimiento

Esta Política de Seguridad de la Información será revisada anualmente o cuando se produzcan cambios significativos en el entorno de la CUN o en la normativa aplicable. Su incumplimiento podrá conllevar medidas disciplinarias, de acuerdo con el régimen interno de la CUN y la legislación vigente.