Professional Documents
Culture Documents
2010 SEMICROL
ndice
Pgina 2 de 19
INDICE
ndice del Manual:
Seccin 01. Introduccin. Datos Generales. Misin, Visin y Valores. Objeto y Campo de Aplicacin del Manual. Gestin del Manual. Propiedad y Control del Manual. Normas de Referencia y Exclusiones. Definiciones. Seccin 02. Polticas de Gestin. Objetivos de Calidad, I+D+i y Seguridad. Poltica de Calidad e I+D+i. Poltica de Gestin de Proyectos. Poltica de Seguridad de la Informacin. Poltica de Prevencin de Riesgos Laborales. Seccin 03. Organizacin. Organigrama. Funciones y Responsabilidades. Recursos. Representante de la Direccin. Seccin 04. Sistema de Gestin. Objeto y Alcance del Sistema de Gestin. Estructura del Sistema de Gestin. Calidad Total y Mejora Continua. El Proceso de I+D+i. Seguridad de los Sistemas de Informacin. Anexo 1. Mapa de Procesos del Sistema de Gestin.
Seccin 01
Pgina 3 de 19
INTRODUCCIN
Datos Generales. Misin, Visin y Valores. Nombre: SEMICROL, S.L. Domicilio Social: Parque Cientfico y Tecnolgico de Cantabria, c/ Isabel Torres 7, 39011 Santander. Actividad: Consultora, Desarrollo, Implantacin y Mantenimiento de Sistemas y Aplicaciones Informticas. N Empleados: 52 Web: www.semicrol.es E-mail: semicrol@semicrol.es Telfonos de Contacto: 942 314 224 Fax: 942 314 894
SEMICROL es una empresa fundada en 1979 y cuyo desarrollo ha estado vinculado a la evolucin del mercado en el sector de las Tecnologas de la Informacin y las Comunicaciones (TIC), acreditando a lo largo de estos aos una amplia experiencia en la implantacin de sistemas informticos basados en innovadores modelos organizativos y soportados por las ltimas tecnologas.
MISIN
Prestar servicios de Consultora, Desarrollo, Implantacin y Mantenimiento de sistemas y aplicaciones informticas basados en las Tecnologas de la Informacin y las Comunicaciones (TIC), orientndonos hacia las siguientes reas claves de negocio: Gestin de Proyectos en Fundaciones, Institutos de Investigacin, Centros de Investigacin e I+D+i, Oficinas Tcnicas de proyectos, ONGs y en cualquier organizacin cuya actividad pivote en torno a la gestin de proyectos. Gestin Universitaria (acadmica, recursos humanos, investigacin, rea econmica), con especial atencin a las soluciones en autoservicio a travs de Internet. Sistemas ERP para empresas de elevacin y gras. Sistemas ERP para empresas de packaging. Soluciones y proyectos a medida de valor aadido (convertibles en productos y carcter innovador) dirigidos a la gran empresa y a entornos universitarios e instituciones. Todo ello basndonos en criterios de Calidad Total para aumentar la satisfaccin de los grupos de inters relacionados con la empresa (socios, clientes, personal de SEMICROL, aliados y sociedad en general).
VISIN
Ser reconocido por nuestros Clientes como sus Socios Tecnolgicos de Confianza. Explotar y generar productos propios basados en proyectos previos implantados con xito en nuestros clientes, en las investigaciones tecnolgicas desarrolladas o en buenas experiencias. Evolucin de la organizacin mediante un crecimiento sostenido del negocio y una estabilidad a medio y largo plazo que permita generar riqueza y estabilidad a nuestro personal y a la sociedad en general. Desarrollar relaciones ptimas y alianzas con proveedores y colaboradores para la explotacin conjunta de productos. Ser lderes y referentes, tanto a nivel nacional como iberoamericano, en los sectores clave marcados en nuestra MISIN.
VALORES
Orientacin y proximidad al Cliente, buscando siempre su mxima satisfaccin. Innovacin y especializacin en nuestro sector. Participacin, espritu positivo, honestidad, tica y cumplimiento de la poltica de confidencialidad y privacidad en el desempeo del trabajo. Buena comunicacin y relacin personal, tanto en los equipos de trabajo como con Clientes, Proveedores y Aliados. Alta capacidad de superacin y mejora continua de todos los integrantes de SEMICROL e identificacin de sus intereses con los de la organizacin. Gestin eficaz y eficiente del Trabajo en equipo.
Seccin 01
Pgina 4 de 19
INTRODUCCIN
Objeto y Campo de Aplicacin del Manual.
El presente Manual tiene por objeto describir el Sistema de Gestin de SEMICROL, constituyendo una referencia para todo el personal, as como a las partes interesadas en el desempeo de la organizacin (socios, clientes, proveedores y colaboradores, aliados y sociedad en general).
ELABORACIN Y APROBACIN
REVISIONES
DESTINATARIOS
PROPIEDAD Y CONTROL
7.5.2. Validacin de los procesos de la produccin y de la prestacin del servicio. UNE-EN ISO 9001:2008 Sistemas de Gestin de la Calidad: Requisitos 7.6. Control de los equipos de seguimiento y medicin.
UNE 166002:2006
Gestin de la I+D+i: Requisitos del Sistema de Gestin de la I+D+i Sistemas de Gestin de Seguridad de la Informacin Capability Maturity Model integration for Development European Foundation Quality Management para la gestin de la Calidad Total En el desarrollo de los procesos de produccin SEMICROL no existe subcontratacin de desarrollo de software, por lo cual este rea de proceso del referencial no se aplica.
Modelo EFQM
Seccin 01
Pgina 5 de 19
INTRODUCCIN
Definiciones.
Al presente Sistema de Gestin le son de aplicacin las definiciones dispuestas en la normas UNE-EN ISO 9000:2005, UNE 166000:2006 y UNE ISO/IEC 27001:2007 con las siguientes puntualizaciones. El trmino No Conformidad aparece en este Sistema identificado por el de Incidencia y as tendramos que, Requisito: Necesidad o expectativa establecida, generalmente implcita u obligatoria. Incidencia: Incumplimiento de un requisito. Por otra parte, SEMICROL realiza la gestin de los proyectos desde una perspectiva orientada por procesos, apoyndose en los estndares Mtrica v.3 del Consejo Superior de Administracin Electrnica del MAP (Ministerio de Administraciones Pblicas de Espaa) y DEV-CMMi (Capability Maturity Model integration for Development) del Software Engineering Institute (SEI) de la Universidad de Carnegie Mellon. De esta forma se redefine el alcance del trmino proyecto dentro del Sistema de Gestin como, Proyecto: Proceso nico consistente en un conjunto de procesos coordinados y controlados, con fechas de inicio y de finalizacin, llevados a cabo para lograr un objetivo conforme con los requisitos especficos del Cliente para el que se desarrolla o con el planteamiento y esbozo de las lneas de investigacin y desarrollo, incluyendo las limitaciones de tiempo, costo y recursos. En SEMICROL existen tres tipos de proyecto, Proyectos Comerciales cuya misin es desarrollar la labor comercial previa a la elaboracin de una oferta a Cliente. Proyectos Tcnicos, en los que se ejecutan las tareas propias de desarrollo, implantacin y/o mantenimiento de una solucin informtica demandada por un Cliente. Proyectos de I+D+i, proyectos tcnicos desarrollados internamente o por encargo de un Cliente donde se realizan tareas de investigacin y/o desarrollo de productos con un alto componente innovador. Adems, se aplican las siguientes definiciones, XIBENT: Gestor de proyectos, desarrollado por SEMICROL, y empleado para el seguimiento y control de los procesos de produccin de la compaa traducidos en proyectos. FUND@NET: Herramienta de gestin econmica y presupuestaria, desarrollada por SEMICROL, para el control econmico de los proyectos y la gestin de terceros vinculados con la compaa.
Seccin 02
Pgina 6 de 19
POLTICAS DE GESTIN
Objetivos de Calidad, I+D+i y Seguridad de la Informacin.
La Direccin de SEMICROL, anualmente y coincidiendo con la Revisin del Sistema de Gestin por parte de la Direccin, establece y revisa los Objetivos de Calidad, I+D+i y Seguridad de la Informacin, presentndolos en una doble vertiente: Objetivos Cualitativos: Declaracin de la Poltica de la Calidad e I+D+i, de la Poltica de Gestin de Proyectos y de la Poltica de Seguridad de la Informacin. Objetivos Cuantitativos: Objetivos medibles y coherentes con las polticas definidas y establecidos en el Cuadro de Mando de SEMICROL definido y revisado en el procedimiento A06.Gestin de Incidencias y Mejora Continua.
Seccin 02
Pgina 7 de 19
POLTICAS DE GESTIN
nuestro Sistema de Gestin, pretendiendo ser un referente en el desarrollo de nuestra actividad y haciendo de la mejora una mxima en la gestin empresarial. ESTABLECIMIENTO DE ACUERDOS DE COLABORACIN Y TRANSFERENCIA DE TECNOLOGA. SEMICROL establecer acuerdos con proveedores, Clientes y socios tecnolgicos, dentro del marco de esta Poltica de Calidad e I+D+i. El compromiso de SEMICROL, manifiesto en esta Poltica, no acaba con la obtencin de las certificaciones UNEEN ISO 9001:2008 y UNE 166002:2006, sino que se mantiene en un permanente reto de mejora, de cara a obtener la total satisfaccin de nuestros Clientes a travs del ofrecimiento de las soluciones ms innovadoras que aumenten su nivel de competitividad. Se pretende alcanzar el reconocimiento de SEMICROL dentro del mercado como empresa en la que un Cliente pueda confiar sus futuros proyectos dentro de las Tecnologas de la Informacin y las Comunicaciones (TIC), obteniendo su consideracin como Socios Tecnolgicos.
Alcance del Proyecto y Plan de Recursos en cuanto a confeccin del Equipo de Trabajo e
Infraestructura, buscando el consenso con la Direccin Tcnica en cuanto al empleo de los recursos disponibles.
Seccin 02
Pgina 8 de 19
POLTICAS DE GESTIN
Este documento, que adems incluye las mtricas de referencia para la evaluacin de una buena marcha del proyecto, se convierte en herramienta fundamental para hacer un posterior seguimiento y control del mismo. SEGUIMIENTO, MEDICIN Y ANLISIS. El seguimiento de proyecto tiene una triple componente:
GESTIN DE RIESGOS Y MEJORA CONTINUA EN SEGURIDAD DE LA INFORMACIN. Anualmente, se realizar un Anlisis de Riesgos que ofrezca una valoracin de los activos de informacin y de las amenazas y vulnerabilidades a las que estn expuestos, con el fin de mitigar aquellos riesgos no asumibles por SEMICROL.
Seccin 02
Pgina 9 de 19
POLTICAS DE GESTIN
A partir de este anlisis se establecern los controles y procedimientos necesarios para realizar esa mitigacin entrando, hasta que finalice el ciclo anual, en fase de comprobacin de la eficacia de los mismos con el fin de seguir mejorando de manera continua en el desempeo en seguridad en nuestros procesos, productos y servicios y tomando como referencia la Declaracin de Aplicabilidad (SOA). El Comit de Seguridad es el encargado de realizar, al menos una vez al ao, una revisin global del sistema para valorar su eficacia y analizar el estado de los objetivos fijados con el fin de establecer los nuevos para el siguiente ciclo. RESPONSABILIDADES EN MATERIA DE SEGURIDAD DE LA INFORMACIN. El Responsable de Seguridad de la Informacin (figura que recae en el Director de Calidad) y el Director de Sistemas, apoyando en la parte tcnica, sern los encargados de mantener esta poltica, los procedimientos y controles y de proporcionar soporte en su implementacin a los Responsables de Departamento, que sern los encargados de implementarlos en sus respectivas reas. Por otra parte, todos los integrantes de SEMICROL son responsables de cumplir esta poltica y sus procedimientos, segn aplique a su puesto de trabajo, siendo tarea del Comit de Seguridad el asegurar que la plantilla conoce y comprende los problemas asociados a la seguridad de la informacin y que asumen y son conscientes de sus responsabilidades en este tema. El compromiso de SEMICROL, manifiesto en esta Poltica aprobada por la Direccin, no acaba con la obtencin de la certificacin UNE ISO/IEC 27001:2007, sino que se mantiene en un permanente reto de mejora, siendo revisada anualmente, de cara a conseguir y mantener la proteccin adecuada de los activos de la organizacin.
La Direccin de SEMICROL entiende que la prevencin de riesgos laborales es parte integrante de la gestin de la organizacin. Por ello, se compromete a alcanzar el mximo nivel de seguridad y salud en el trabajo cumpliendo la legislacin vigente en esta materia y basndose en el principio de la mejora continua de la accin preventiva. La responsabilidad en la gestin de la prevencin de riesgos laborales incumbe a todos los miembros integrantes de la empresa, cualquiera que sea su nivel o funcin. Todos los empleados de la empresa tienen un papel importante a desempear en la mejora de las condiciones de trabajo. Todos somos responsables de cooperar de la manera ms adecuada y de tomar las medidas necesarias para asegurar nuestra seguridad y salud y la de nuestros compaeros. Con el fin de conseguir la mejora continua del sistema de gestin de la prevencin, la Direccin garantizar la participacin y la informacin de todos los trabajadores, el derecho a ser consultados y la suficiente y adecuada formacin terica y prctica sobre los riesgos especficos de su puesto de trabajo y de los generales de la empresa a los que pudiera estar expuesto. Ello se har extensivo tanto al personal de la plantilla como al personal de nueva incorporacin, mediante la provisin de los recursos necesarios.
Seccin 03
Pgina 10 de 19
ORGANIZACIN
Organigrama:
Consejo de Administracin
UNIDAD DE GESTIN DE I+D+i Administracin y RRHH (Director de Administracin) Recursos Humanos (Responsable de RRHH) Administrativos Consultores Administrativos Auxiliares Consultores Junior Tcnicos Auxiliares
Tcnicos de Sistemas y Comunicaciones
OFICINA DE PROYECTOS
Consultores Senior
Tcnicos de Diseo
Analistas/Jefes de Proyecto
Tcnicos de Calidad
Analistas Programadores
Programadores Senior
Programadores
Programadores Junior
PROYECTOS
Funciones y Responsabilidades:
Las funciones y responsabilidades de cada puesto estn definidas, de forma exhaustiva, en las fichas de puesto de trabajo contenidas en el procedimiento A02.Gestin de los RRHH. ANEXO 8. Se enumeran, a continuacin, las principales funciones de los comits, grupos de gestin y las aplicables a todo el personal. COMIT DE DIRECCIN: Integrado por el Gerente, Director Comercial, Director de Administracin, Director de Sistemas, Director Tcnico y Director de Calidad, estando la relacin persona / cargo de los componentes en el apartado Organigrama de la Intranet para su consulta. Su funcionamiento se encuentra definido en el procedimiento E01.Estrategia y Revisin de la Gestin por la Direccin. ANEXO 3. rgano para la toma de decisiones colegiadas con una periodicidad de convocatoria quincenal, salvo ocasiones excepcionales (periodos no laborales o previsin de incomparecencia de la mayor parte de sus miembros por causas laborales). Cada integrante informa, segn un orden del da estipulado, de las acciones de su rea de competencia y, en base a las exposiciones realizadas, se toman las decisiones de gestin que correspondan. COMIT DE SEGURIDAD: Integrado por el Director de Sistemas y Director de Calidad, estando la relacin persona / cargo de los componentes en el apartado Organigrama de la Intranet para su consulta. Su funcionamiento se encuentra definido en el procedimiento E02.Seguridad de los Sistemas de Informacin. ANEXO 3. Revisa y propone, para su aprobacin, la Poltica y las funciones generales en materia de seguridad de la informacin, incluyendo la gestin de un inventario actualizado de los activos de informacin
Seccin 03
Pgina 11 de 19
ORGANIZACIN
donde quede reflejado quin es el propietario, dnde est ubicado fsica o lgicamente y el valor e importancia relativa de cada activo. Supervisa cambios significativos en los riesgos que afectan a los activos de informacin frente a las amenazas ms importantes. Toma conocimiento y supervisa la investigacin y monitorizacin de los incidentes relativos a la seguridad. Aprueba las principales iniciativas para incrementar la seguridad de la informacin, de acuerdo a las competencias y responsabilidades asignadas a cada departamento o trabajador. Acuerda y aprueba metodologas y procesos especficos relativos a la seguridad de la informacin, garantizando que la seguridad sea parte del proceso de planificacin de sistemas de informacin. Evala y coordina la implementacin de controles especficos de seguridad de la informacin para nuevos sistemas o servicios. Promueve la difusin y apoyo a la seguridad de la informacin dentro de SEMICROL. Coordina el proceso de administracin de la continuidad de la operatoria de los sistemas de tratamiento de la informacin frente a interrupciones y escenarios de desastre imprevistos. UNIDAD DE GESTIN DE I+D+i: Integrada por el Director Tcnico, el Director de Sistemas y el Director de Calidad, estando la relacin persona / cargo de los componentes en el apartado Organigrama de la Intranet para su consulta. Es un rgano gestor cuya funcin es la de gestionar el proceso de I+D+i en la organizacin empleando las herramientas definidas en este Sistema de Gestin. Para ello: Analiza y selecciona ideas de I+D+i, identificando oportunidades y amenazas. Se encarga de la planificacin, seguimiento y control de la cartera de proyectos de I+D+i. Coordina la transferencia de tecnologa y realiza la proteccin y explotacin de los resultados de I+D+i. Realiza la medicin, anlisis y mejora del Sistema de Gestin, en lo concerniente a I+D+i, a partir del control, seguimiento y documentacin de los resultados del proceso de I+D+i. UNIDADES DE I+D+i: Se entiende por Unidad de I+D+i cada Equipo de Trabajo de un proyecto catalogado, por la Unidad de Gestin de I+D+i, como de I+D+i. Adicionalmente a estos equipos existen dos unidades de I+D+i con entidad propia como son: Comits de Vigilancia Tecnolgica: cuya misin es la captura, anlisis, difusin y explotacin de las informaciones cientficas y tcnicas que sean tiles para la organizacin, detectando de esta manera nuevas oportunidades para el desarrollo de productos innovadores y amenazas para el posicionamiento estratgico de la compaa en la vanguardia tecnolgica. Existen dos Comits, uno para desarrollo de software y otro para el desarrollo de hardware e infraestructuras. Grupo de Diseadores: compuesto por los diseadores de software y arquitectura de la compaa, encargados de mantener la integridad del mtodo constructivo de soluciones de SEMICROL ante la introduccin de investigaciones e innovaciones constructivas y a partir de la ntima relacin existente con los Comits de Vigilancia Tecnolgica. TODO EL PERSONAL: Existen las siguientes funciones aplicables a todo el personal, segn el rol que pueda desempear en un determinado momento, Cada trabajador es responsable de la calidad de su trabajo y de que ste se adecue a los estndares de gestin que SEMICROL adopte.
Seccin 03
Pgina 12 de 19
ORGANIZACIN
Cada trabajador debe cumplir las directrices para todo el personal incluidas en el Manual de Seguridad LOPD, respetando las adicionales responsabilidades descritas en el mismo en caso de ser Usuario con acceso a ficheros registrados en la AEPD. Cada trabajador debe cumplir las responsabilidades de Jefe de Proyecto cuando le sea asignado este rol en alguno de los proyectos en los que participa. Estas son: Definir el proyecto, estableciendo los objetivos, la planificacin del mismo y la estructura organizativa de los equipos de trabajo. Hacer estimaciones razonables de tiempo, costes y recursos y prever los posibles riesgos que puedan surgir. Realizar un control exhaustivo de todos los parmetros del Proyecto para evitar desviaciones y, en caso de que surgiesen, poder afrontar y superar los problemas que las originen. Comunicar a Administracin el cumplimiento de los hitos de proyecto para su facturacin. Establecer una comunicacin efectiva con los usuarios/clientes finales y supervisar la comunicacin que se establezca a niveles inferiores. Garantizar la calidad de los productos finales, cumpliendo y haciendo cumplir al equipo de proyecto los estndares de calidad de SEMICROL. Para ello, supervisar la calidad de los entregables. Clasificar, asignar y supervisar la resolucin de las Incidencias y Peticiones de Mantenimiento, cuando proceda, que pudieran originarse a lo largo del proyecto. Transmitir al Director de Calidad de SEMICROL, para su registro, aquellas Incidencias de proyecto que, por su gravedad, se consideren reclamaciones de Cliente. El trabajador que sea propietario de algn activo de informacin tiene las siguientes responsabilidades: Definir quines pueden tener acceso a la informacin del activo, cmo y cundo de acuerdo con la clasificacin de la informacin y la funcin a desempear e informar al Director de Calidad cuando ocurran cambios de personal que afecten al acceso de la informacin o los sistemas (cambio de funcin o departamento, causar baja en la empresa, etc.) para que se modifiquen apropiadamente los permisos de acceso. Valorar si el activo est afectado por la LOPD, aplicndole los procedimientos correspondientes. Asegurarse de que el activo cuenta con el mantenimiento adecuado en cuanto a su confidencialidad, integridad, disponibilidad y la adecuacin y seguimiento de los controles apropiados para ello. Asegurarse de que el personal le informa inmediatamente de cualquier violacin de seguridad o mal uso de la informacin contenida en el activo, informando a su vez al Director de Calidad para el tratamiento de la incidencia. Asegurarse de que los soportes y equipos, relacionados con el activo, que contengan informacin son desechados segn lo establecido e implementar las medidas de seguridad necesarias en su rea para evitar fraudes, robos o interrupcin en los servicios. El trabajador que sea Responsable de algn proceso del Sistema de Gestin tiene las siguientes responsabilidades. Definir los documentos relacionados con cada proceso (procedimientos, especificaciones, formatos de registro, etc.). Supervisar el cumplimiento de todos los requisitos de cada proceso. Calcular peridicamente los indicadores de cada proceso y presentarlos a Direccin para su anlisis y toma de decisiones.
Seccin 03
Pgina 13 de 19
ORGANIZACIN
Canalizar las propuestas de mejora.
Establecer las acciones correctivas y preventivas encaminadas a mejorar la eficacia y eficiencia de los procesos. Contribuir al logro de los objetivos establecidos por la Direccin, en el mbito de los procesos relacionados con dichos objetivos.
Recursos:
SEMICROL dispone de los medios materiales y el personal necesario y adiestrado para la direccin, ejecucin del trabajo y actividades de verificacin, incluyendo las auditoras internas, segn los estndares ISO 9001:2008, UNE 166002:2006 y UNE ISO/IEC 27001:2007. SEMICROL, adems, se compromete a que, una vez detectada la necesidad de cualquier recurso, ya sea medio material o humano, para mantener el funcionamiento del Sistema de Gestin, ste ser propuesto a la Direccin para su posterior adquisicin o contratacin.
Representante de la Direccin:
Se designa al Director de Calidad como representante de la Direccin para que, con independencia de otras misiones encomendadas, vigile la permanente implantacin y puesta al da de los principios y disposiciones del Sistema de Gestin. Englobadas en esta misin quedan, adems, las responsabilidades en materia de Gestin de I+D+i y como Responsable de Seguridad de los Sistemas de Informacin y del cumplimiento de lo dispuesto en la Ley Orgnica de Proteccin de Datos (LOPD).
Seccin 04
Pgina 14 de 19
SISTEMA DE GESTIN
Objeto y Alcance del Sistema de Gestin:
Es objeto del Sistema de Gestin el determinar en SEMICROL un estndar de gestin documentado que mejore continuamente su eficacia y que d a conocer a los diferentes departamentos involucrados en la Calidad, en el desarrollo de la I+D+i y en la Seguridad de los Sistemas de Informacin el contenido de su misin para asegurar que: Los productos desarrollados y los servicios prestados satisfagan los requisitos y expectativas de los clientes, los requisitos internos de desarrollo de nuevos productos y los requisitos legales y de las normas de referencia. Las actividades de I+D+i se realicen de una manera sistemtica y profesionalizada, permitiendo retroalimentar continuamente las mismas con informacin til para el desarrollo de la actividad investigadora e innovadora. Las directrices que garanticen la disponibilidad, integridad y confidencialidad de los sistemas de informacin en SEMICROL estn establecidas a un nivel adecuado, segn el riesgo de los activos, las necesidades de informacin y los recursos empleados para su gestin. El Sistema de Gestin tiene distintos alcances segn el referencial con el que se mida. As, Norma de Referencia UNE-EN ISO 9001:2008 Alcance Tareas desarrolladas por todo el personal de SEMICROL relacionadas con las actividades de Consultora, Desarrollo, Implantacin y Mantenimiento de Sistemas y Aplicaciones Informticas. Tareas desarrolladas por los departamentos Tcnico, Sistemas, Calidad, Administracin y Gerencia relacionadas con las actividades de Investigacin, desarrollo e innovacin en sistemas y aplicaciones informticas. Tareas desarrolladas por los departamentos Sistemas, Calidad, Administracin y Gerencia con los Sistemas de Informacin que dan soporte a las actividades de negocio de consultora de procesos, consultora tecnolgica e integracin, desarrollo y mantenimiento de sistemas y aplicaciones informticas y a las actividades de gestin interna de acuerdo con la Declaracin de Aplicabilidad SOA vigente. Tareas desarrolladas por los departamentos Tcnico, con las relaciones correspondientes con el de Comercial/Consultora, Sistemas, Calidad y Gerencia vinculadas con las actividades de Consultora, Desarrollo e Implantacin de Sistemas y Aplicaciones Informticas.
UNE 166002:2006
Seccin 04
Pgina 15 de 19
SISTEMA DE GESTIN
Calidad Total y Mejor Continua:
SEMICROL entiende la calidad total como una estrategia y un modelo de hacer negocios totalmente focalizado hacia el cliente, tanto externo como interno. No solo se refiere al producto o servicio final, sino que es un concepto global en el que se incluye la mejora continua de la organizacin como motor de consecucin de productos y servicios que satisfagan los requisitos de cliente y los legales y reglamentarios aplicables. SEMICROL, para ello, ha establecido un Sistema de Gestin con un enfoque por procesos tomando como referente el modelo de sistema de gestin de la calidad proporcionado por la norma internacional UNE-EN ISO 9001:2008 y apoyndose para la estrategia de mejora continua en el modelo de calidad total EFQM. En el ANEXO 1 de este manual se determinan los procesos que integran el Sistema, su clasificacin y la asignacin de un responsable a cada uno de ellos.
Innovacin y Aprendizaje
F Q M
Responsabilidad de la Direccin
E01, E03, A04
E
LIDERAZGO 9%
PERSONAS 9%
PROCESOS 14%
CLIENTES
CLIENTES
Satisfaccin
En la figura, a partir del modelo de sistema de gestin de la calidad proporcionado por la norma internacional UNE-EN ISO 9001:2008, los procesos determinados en el Sistema de Gestin de SEMICROL aparecen clasificados segn grupos de procesos relacionados con la Responsabilidad de la Direccin, la Gestin de los Recursos, la Realizacin del Producto y la Medicin, Anlisis y Mejora. Los procesos se han clasificado adems, tal y como se representa en el ANEXO 1, en: Procesos Estratgicos: Procesos transversales a toda la organizacin y en los cuales se marcan las lneas estratgicas de actuacin en todas las actividades de la misma. Su nomenclatura comienza por la letra E. Procesos Operativos: Procesos de realizacin de producto o servicio totalmente orientados hacia el cliente y que constituyen el objeto empresarial y la cadena de valor de SEMICROL en el mercado. Su nomenclatura comienza por la letra C. Procesos de Apoyo: Procesos de soporte, verificacin, medicin y anlisis de las actividades realizadas, tanto a nivel estratgico, como de realizacin de producto o servicio. Su nomenclatura comienza por la letra A. Los procesos subcontratados externamente, que puedan afectar a la conformidad con los requisitos del producto desarrollado por SEMICROL, se identifican en el proceso A01.Gestin de Compras y Proveedores.
Pr od uc
Requisitos
Entrada
Salida
to
Seccin 04
Pgina 16 de 19
SISTEMA DE GESTIN
El Proceso de I+D+i:
En SEMICROL se considera I+D el desarrollo de proyectos que cumplan alguna de las siguientes premisas: Proyectos en colaboracin con Universidades y Centros Tecnolgicos, en los que la transferencia de tecnologa y la necesidad de aporte investigador adquiere una importante relevancia. Proyectos de desarrollo interno, con un alto componente investigador, de prototipos de nuevos productos, plataformas de desarrollo y mtodos constructivos. Por otra parte, Innovacin Tecnolgica (IT) seran todas las actividades, en forma de proyecto, para la generacin de nuevos productos, innovadores por su concepcin tcnica y/o por los nuevos procesos de negocio soportados. En ambos casos, los proyectos de I+D o de Innovacin Tecnolgica que forman parte del proceso de I+D+i pueden responder a una demanda o encargo de un Cliente o a un planteamiento de desarrollo interno. Se excluyen del proceso de I+D+i, en todo caso, las implantaciones rutinarias de productos ya consolidados y los mantenimientos. La gestin de la informacin y el conocimiento es fundamental a lo largo de todo el proceso de I+D+i, siendo varias las vas por las que pueden generarse y fluir ideas que acaben fructificando en un proyecto de I+D+i: El mercado potencial y las demandas de nuestros clientes. Esta fuente es atendida por las actividades de gestin comercial, vigilancia y previsin tecnolgica, reforzndose con el potenciamiento de la creatividad interna de los equipos de trabajo y las actividades de anlisis interno y externo del proceso. Una vez evaluada la viabilidad de cada idea se procede a una seleccin de las mismas, por parte de la Unidad de Gestin de I+D+i, que desemboca o no en el desarrollo de nuevos proyectos de I+D o IT. Durante el desarrollo de proyectos, tanto de I+D como de IT, pueden surgir nuevas ideas que deban ser evaluadas y catalogadas por la Unidad de Gestin de I+D+i para el desarrollo de nuevos proyectos. stas pueden exigir un anlisis profundo para verificar su viabilidad o resultar ser productos directos de la investigacin, en forma de proyectos IT, o del desarrollo IT, en forma de proyectos de I+D.
Innovacin Tecnolgica
Producto 1
Producto 2
...
Producto n
Proyectos en Colaboracin con Universidades y Centros Tecnolgicos de I+D+i. Proyectos de Investigacin y Desarrollo Internos conducentes a la generacin de prototipos, plataformas de desarrollo y mtodos constructivos.
I+D
Seccin 04
Pgina 17 de 19
SISTEMA DE GESTIN
Seguridad de los Sistemas de Informacin:
Relacionadas con la Seguridad de los Sistemas de Informacin de SEMICROL se controlan las siguientes variables,
Seguridad de la Gestin de los RRHH Tecnologa que alberga los Sistemas de Informacin
Gestin de Activos
Gestin de Incidencias
Control de Accesos
Cumplimiento Legal
A. TECNOLOGA QUE ALBERGA LOS SISTEMAS DE INFORMACIN: Los Sistemas de Informacin de SEMICROL se encuentran almacenados en nodos de una red de comunicaciones cuyo diagrama se encuentra definido en el procedimiento E02.Seguridad de los Sistemas de Informacin. ANEXO 1. B. GESTIN DE ACTIVOS: El Comit de Seguridad, y en particular el Director de Calidad como Responsable de Seguridad, mantiene un inventario actualizado de los activos de informacin de la organizacin para una adecuada gestin de los mismos. En el procedimiento E02.Seguridad de los Sistemas de Informacin. ANEXO 2 se establecen las pautas de gestin de dicho inventario, permitiendo identificar el valor e importancia relativa de cada activo. C. SEGURIDAD DE LA GESTIN DE RRHH: La seguridad ligada al personal es fundamental para reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y servicios que puedan provocar amenazas contra los activos de informacin. En el procedimiento A02. Gestin de los RRHH se determinan: Medidas de Seguridad aplicables al Personal de SEMICROL previamente a su contratacin, durante la relacin laboral y despus de haber finalizado sta. Protocolos de Concienciacin y Formacin en las polticas y procedimientos en materia de seguridad adoptados en SEMICROL para todos los trabajadores y usuarios terceros, si procede, pudiendo ser sancionados aquellos que infrinjan las normas de seguridad. D. SEGURIDAD FSICA Y DEL ENTORNO: En apoyo de la efectividad de la seguridad lgica aplicada a los diferentes activos, las instalaciones y recursos fsicos de SEMICROL disponen de seguridad fsica para evitar accesos no autorizados as como cualquier otro tipo de dao o interferencia externa. Las medidas aplicadas estn descritas en el procedimiento E02. Seguridad de los Sistemas de Informacin. ANEXO 4.
Seccin 04
Pgina 18 de 19
SISTEMA DE GESTIN
E. GESTIN DE COMUNICACIONES Y OPERACIONES: Estn establecidas una serie de medidas y buenas prcticas operacionales y de gestin de las comunicaciones, descritas en los procedimientos A07.Mantenimiento de la Infraestructura de Trabajo y E02.Seguridad de los Sistemas de Informacin, para garantizar la identificacin, el bloqueo y eliminacin de contenidos potencialmente maliciosos que puedan suponer una amenaza para los activos de informacin y asegurar el nivel de disponibilidad requerido de los mismos. F. CONTROL DE ACCESOS: La informacin debe estar protegida contra accesos no autorizados y, por ello, cada responsable de departamento definir las necesidades de acceso a la informacin de los integrantes del mismo, facilitndosele a cada usuario de informacin el acceso necesario a la misma para el trabajo a desarrollar. El desarrollo de las actuaciones a llevar a cabo para llevar una sistemtica de definicin y control de los accesos a la informacin se plasma en el procedimiento E02.Seguridad de los Sistemas de Informacin. ANEXO 4. G. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS: A la hora de la implantacin (bien por desarrollo propio o bien por compra a un tercero) o mantenimiento de aplicaciones o sistemas informticos que se integren en los sistemas de informacin de SEMICROL, y por tanto traten con informacin de la organizacin, se deben adoptar una serie de medidas que reduzcan los riesgos y vulnerabilidades sobre la misma. Estas medidas estn definidas en el procedimiento A07.Mantenimiento de la Infraestructura de Trabajo. H. GESTIN DE INCIDENCIAS: Cualquier empleado que sospeche u observe una incidencia de seguridad, bien sea fsica (fuego, agua, etc.), de software o sistemas (virus, desaparicin de datos, etc.) o de servicios de soporte (comunicaciones, electricidad, etc.) debe comunicarlo inmediatamente al Director de Sistemas para que tome las medidas oportunas y registre la incidencia. El procedimiento A06. Gestin de Incidencias y Mejora Continua. ANEXO 1 define cmo establecer estos registros y cmo asegurar una respuesta rpida, eficaz y ordenada a los eventos en materia de seguridad. El registro de incidencias servir de base para identificar riesgos nuevos y para comprobar la eficacia de los controles implantados. I. CONTINUIDAD DEL NEGOCIO: Es imprescindible para SEMICROL establecer las pautas de actuacin a seguir en caso de que se produzca una interrupcin de las actividades del negocio por fallos graves en la seguridad o desastres de cualquier tipo. Para garantizar la continuidad del negocio en estos casos, SEMICROL, segn lo estipulado en el procedimiento E02. Seguridad de los Sistemas de Informacin. ANEXO 6, establece un plan de contingencia que permita la recuperacin de las actividades esenciales en un plazo razonable de tiempo. Esta estrategia de continuidad es documentada partiendo de los riesgos detectados y de los controles existentes, siendo necesaria su prueba y actualizacin peridica para comprobar su idoneidad. J. CUMPLIMIENTO LEGAL: El diseo, operacin, uso y administracin de los sistemas de informacin debe estar sujeto a requisitos de seguridad legal, normativa y contractual. Se deben impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, normas, reglamentos o contratos; y de los requisitos de seguridad. SEMICROL adquiere el compromiso de velar por el cumplimiento de la legislacin vigente en materia de proteccin y seguridad de los Sistemas de Informacin, aplicable a todos sus procesos de negocio. SEMICROL, sus empleados y colaboradores se comprometen al uso y tratamiento de los datos personales adoptando las precauciones necesarias para garantizar el nivel de seguridad exigido por el marco legal vigente en materia de Proteccin de Datos de Carcter Personal. Los usuarios finales deben cumplir todas sus obligaciones considerando en todo momento las directrices marcadas por SEMICROL con el fin de no incumplir la legislacin, informando a los responsables a travs de las vas reglamentarias. Con el fin de conseguir la conformidad de los sistemas con las polticas y procedimientos de seguridad, se realizarn revisiones regulares de los sistemas.
ANEXO 1
Pgina 19 de 19
MAPA DE PROCESOS
Requisitos
Vigilancia I+D+i
Entrada Proyectos Sw
C06. Mantenimiento del Sistema Operaciones Sw y Hw PROCESOS ESTRATGICOS E01. Estrategia y Revisin de la Gestin por la Direccin PROCESOS OPERATIVOS C07. Implantacin de Proyectos Hw y Sw Base
Salida
Producto Proyectos Hw
E02. Seguridad de los Sistemas de Informacin A01. Gestin de Compras y Proveedores A05. Auditoras Internas y Aseguramiento de la Calidad en Proyecto A07. Mantenimiento de la Infraestructura de Trabajo A06. Gestin de Incidencias y Mejora Continua
A08. Evaluacin de la Satisfaccin de los Clientes y Partes Interesadas I+D+i
CLIENTE
Si fuese producto de I+D+i interno y viable habra que abrir un proceso de comercializacin
Satisfaccin
PROCESOS DE APOYO