Introduction et objectif

Pour la protection et l'utilisation appropriée de l'information, le Groupe UAX établit la ligne directrice selon laquelle chaque entité du Groupe UAX met en œuvre un système de gestion de la sécurité de l'information (SGSI) basé sur la norme ISO 27001.

Le SGSI fournit un cadre de référence pour garantir l'utilisation appropriée de l'information et la gestion sécurisée des processus, en promouvant l'amélioration continue et en assurant la conformité avec les exigences légales, réglementaires et contractuelles applicables.

La présente politique constitue la base du SMSI et définit les principes, règles et procédures essentiels en matière de sécurité de l'information au sein du Groupe UAX, dans le but de préserver la confidentialité, l'intégrité, la disponibilité et la traçabilité de l'information.

Les exigences énoncées dans la présente politique représentent le minimum requis ; toutefois, chaque entité du Groupe UAX peut développer une politique plus détaillée ou plus avancée, en fonction de ses besoins et de son niveau de maturité en matière de sécurité de l'information.

2. Objectif de la politique

L'objectif de la présente politique est d'établir les principes et règles de base de la gestion de la sécurité de l'information, en garantissant :

• La confidentialité: l'accès exclusif aux systèmes et aux actifs contenant des informations de l'entreprise aux seules personnes autorisées, en garantissant des mécanismes de contrôle adéquats.
• L' intégrité: l'exactitude et la fiabilité de l'information, en évitant les modifications non autorisées grâce à des contrôles, ainsi qu'à des enregistrements d'audit permettant de prouver et de superviser la gestion correcte de l'information.
• Disponibilité: l'information est accessible aux utilisateurs autorisés lorsqu'ils en ont besoin.
• Conformité juridique: alignement sur la législation en vigueur à tout moment, y compris la protection des données à caractère personnel.
• Amélioration continue: évaluation et mise à jour périodiques des politiques, procédures et contrôles afin de s'adapter aux nouvelles menaces et aux changements organisationnels, technologiques ou réglementaires.

La direction du groupe UAX s'engage à soutenir la mise en œuvre des mesures organisationnelles, techniques et de contrôle nécessaires au respect de cette politique.

3. Champ d'application

Cette politique s'applique à :

• Tous les employés du Groupe UAX, les fournisseurs et les tiers qui traitent les informations du Groupe UAX.
• Tous les systèmes, appareils et actifs d'information, qu'ils soient internes ou externes, qui traitent les données du Groupe UAX.

Aux fins de la présente politique, le " Groupe UAX " désigne toutes les entités qui font partie, aux termes de l'article 42 du Code de commerce, du groupe d'entreprises dont la société mère est Guadarrama Proyectos Educativos, S.L.

4. Principes de sécurité de l'information

• Engagement de l'organisation: Toute la communauté du Groupe UAX doit s'engager en faveur de la sécurité de l'information.
• Sécurité intégrée: la sécurité doit être prise en compte dans tous les processus, systèmes et activités du Groupe UAX, y compris les fournisseurs et les services externalisés.
• Gestion des risques: Évaluation continue des risques à l'aide de méthodologies reconnues (ISO 31000, Magerit ou COBIT), application de contrôles appropriés et garantie d'un enregistrement, d'un traitement et d'un suivi documentés.
• Proportionnalité: application de mesures de sécurité en fonction du risque que présentent les biens.
• Amélioration continue: examen et mise à jour périodiques des mesures et procédures de sécurité.
• Sécurité dès la conception et par défaut: prise en compte de la sécurité dès la conception des systèmes et des processus.
• Responsabilité partagée : tous les utilisateurs doivent assurer la sécurité de l'information, par des programmes de sensibilisation et le signalement des incidents.

5. Rôles et responsabilités

• Comité exécutif: il soutient et dirige la mise en œuvre de la sécurité de l'information.
• Responsable de la sécurité de l'information (CISO) : il coordonne, vérifie et documente le respect du SMSI et des obligations légales et réglementaires.
• Délégué à la protection des données (DPD) : veille au respect de la réglementation relative à la protection des données à caractère personnel.
• Utilisateurs: respectent la politique et signalent les incidents.
• Fournisseurs et tiers: Assurer le respect des exigences de sécurité et des réglementations applicables par le biais de contrats, de clauses de confidentialité et d'accords spécifiques, en garantissant qu'ils se conforment aux normes de sécurité du groupe UAX.
• Comité de sécurité de l'information: Diriger, superviser et coordonner toutes les activités liées au SMSI au sein de l'organisation.

Gestion des risques

L'analyse et la gestion des risques constituent un axe fondamental du SMSI. Des méthodologies reconnues pour leur prestige ou largement acceptées sur le marché, telles que ISO 31000, Magerit et COBIT, doivent être adoptées,

Tous les risques doivent être enregistrés, évalués, traités et documentés, y compris les critères d'acceptation, les parties responsables et les preuves de suivi.

L'analyse des risques doit être réexaminée au moins une fois par an ou en cas d'incidents graves ou de changements significatifs dans les systèmes d'information.

7. Formation et sensibilisation

Le Groupe UAX met en œuvre un programme permanent de formation et de sensibilisation à la sécurité de l'information pour les employés et les tiers ayant accès à des informations critiques.

Des registres de présence, de contenu et d'évaluation doivent être conservés afin d'assurer la preuve de la conformité et de l'efficacité.

8. Mise à jour et révision de la politique

La politique est réexaminée chaque année par le RSSI et à chaque fois que des changements réglementaires ou technologiques ou des incidents pertinents se produisent.

Toutes les révisions doivent être documentées, avec indication de la date, des parties responsables et des modifications apportées, afin de conserver des preuves d'audit.

9. Conformité et sanctions

Le non-respect de la présente politique peut entraîner des sanctions disciplinaires, contractuelles ou légales en fonction de la gravité de la violation.

Les sanctions seront appliquées conformément aux procédures documentées, en veillant à la proportionnalité et en fournissant des preuves pour les audits externes et internes.

10. Approbation, diffusion et mise à jour

La présente politique a été approuvée par le conseil d'administration de Guadarrama Proyectos Educativos lors de sa réunion du 3 mars 2026, et entre en vigueur à la date de son approbation.

Cette politique est un document facilement accessible pour tous les membres du Groupe UAX, disponible à tout moment sur le portail des employés, dans la section documentation de l'entreprise. En outre, elle sera envoyée par e-mail au moins une fois par an, et à chaque fois que des mises à jour seront effectuées.

Le CISO veillera à la bonne application de la Politique, en la contrôlant annuellement et en effectuant les révisions et mises à jour nécessaires.