SERMES es una CRO, dedicada a proporcionar servicios de investigación clínica a sus principales clientes: compañías farmacéuticas, empresas biotecnológicas e investigadores independientes.
Nuestro Sistema de Gestión de la Seguridad de la Información, a través de unos procesos establecidos y fundamentados en la mejora continua, garantiza la continuidad de los sistemas de información, minimizando riesgos y asegurando el cumplimiento de los objetivos fijados, para asegurar en todo momento la confidencialidad, integridad y disponibilidad de la información.
Por lo que asumimos nuestro compromiso con la seguridad de la información, según la norma de referencia ISO/IEC 27001:2022, para lo que la Dirección establece los siguientes principios:
- Competencia y liderazgo por parte de la Dirección
- Cumplir los requisitos de nuestras partes interesadas internas y externas
- Entender el contexto de la organización y determinar las oportunidades y los riesgos de esta, cómo base para la planificación de acciones, para abordarlos, asumirlos o tratarlos.
- Establecer objetivos y metas enfocados hacia la evaluación del desempeño en materia de seguridad, así como la mejora continua.
- Cumplir los requisitos de la legislación aplicable a nuestra actividad, los compromisos adquiridos con los clientes y las partes interesadas, y todas aquellas normas internas o pautas de actuación a los que se someta SERMES.
- La seguridad en la gestión de los Recursos Humanos, antes, durante y al finalizar el empleo.
- Formar a todo el personal que trabaja en SERMES, tanto para el correcto desempeño de su puesto de trabajo como para actuar según los requisitos de las normas de referencia; proporcionando un ambiente adecuado para desarrollar los procesos.
- Garantizar la integridad y la confidencialidad de los datos de nuestros clientes y usuarios.
- Proteger la disponibilidad de los equipos de trabajo de manera que infecciones de virus, intrusiones u otros eventos no impidan la operativa normal de trabajo.
- Asegurar el estado óptimo de los sistemas de telecomunicaciones y servidores propios de la compañía.
- La protección de las instalaciones y del entorno físico, mediante el diseño de áreas de trabajo seguras y la seguridad de los equipos.
- Disponer un plan de continuidad de negocio que proteja la disponibilidad de los servicios durante una crisis o desastre.
- Garantizar una gestión adecuada de los activos que implique la clasificación de la información y la manipulación de los soportes, y el establecimiento de un robusto control de acceso lógico a los sistemas de información, gestionando los permisos y los privilegios de los usuarios.
- Establecer las medidas oportunas para el tratamiento de los riesgos derivados de la identificación y evaluación de activos.
- Gestionar las vulnerabilidades técnicas y elegir las técnicas adecuadas para la auditoría de los Sistemas.
- Llevar a cabo la gestión de los incidentes de seguridad, estableciendo los canales adecuados para su notificación, respuesta y aprendizaje oportuno.
- Mantener una comunicación eficaz tanto a nivel interno, como con nuestros clientes.
- Control de las relaciones con los proveedores, exigiendo de forma contractual el cumplimiento de las medidas de seguridad pertinentes y unos niveles aceptables en sus servicios.
Todo el personal de la organización tiene el deber de acatar esta política, para lo cual la Dirección dispone los medios necesarios y recursos suficientes para su cumplimiento, y asume la responsabilidad de comunicar y mantenerla accesible a todas las partes interesadas.