Saltar al contenido principal

Gobierno del Principado de Asturias

Asturias, mucho más cerca

banda de sede
 

Estás en

Asturias.es Sede Electrónica BOPA y Legislación Resultados Buscador BOPA

Consulta de una disposición

Disposición anterior | Disposición siguiente


Boletín Nº 38 del lunes 25 de febrero de 2019

OTRAS DISPOSICIONES

UNIVERSIDAD DE OVIEDO

Acuerdo de 30 de enero de 2019, del Consejo de Gobierno de la Universidad de Oviedo, por el que se aprueba la norma de seguridad sobre roles y responsabilidades en relación con el Esquema Nacional de Seguridad.

Índice:

Exposición de motivos.

Título I.—Disposiciones generales.

Artículo 1.—Objeto.

Artículo 2.—Mecanismos de coordinación y resolución de conflictos.

Título II.—Los responsables de información y servicio.

Artículo 3.—Objeto y naturaleza.

Artículo 4.—Funciones del Responsable de Información y Servicio.

Artículo 5.—Designación del Responsable de Información y Servicio.

Título III.—El responsable de seguridad informática y de comunicaciones.

Artículo 6.—Objeto y naturaleza.

Artículo 7.—Funciones del Responsable de Seguridad Informática y de Comunicaciones.

Artículo 8.—Designación del Responsable de Seguridad Informática y de Comunicaciones.

Artículo 9.—Sobre los Responsables de Seguridad Delegados.

Disposición adicional.

Disposición derogatoria.

Disposición final.

EXPOSICIÓN DE MOTIVOS

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad que, aprobado mediante Real Decreto 3/2010, de 8 de enero, tiene por objeto determinar la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación y estará constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Para lograr el cumplimiento de estos principios y requisitos, el Esquema Nacional de Seguridad establece una serie de medidas que deben implantarse en las administraciones públicas. No obstante, el Esquema Nacional de Seguridad va más allá de la implantación de medidas de tipo técnico y entiende que la seguridad es un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos.

Alineada con esta filosofía holística de la seguridad, la Política de Seguridad de la Universidad de Oviedo, aprobada en acuerdo del Consejo de Gobierno de 22 de diciembre de 2015 (BOPA 5-I-2016), establece que la estructura organizativa de la gestión de la seguridad de la información en la Universidad de Oviedo estará compuesta por un Comité de Seguridad TIC y por los responsables de la información, del servicio y de la seguridad. Esa política se desarrolló parcialmente a través del Acuerdo del Consejo de Gobierno de la Universidad de Oviedo, de 18 de noviembre de 2015, por el que se aprueba la creación del Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones de la Universidad de Oviedo. No obstante, del resto de figuras habían quedado pendientes de desarrollar en una norma de seguridad específica.

TÍTULO I.—DISPOSICIONES GENERALES

Artículo 1.—Objeto.

1.—La presente norma tiene como finalidad desarrollar la Política de Seguridad de la Universidad de Oviedo, mediante la regulación de las funciones, ámbito de actuación y procedimiento de designación de las figuras de los responsables de la información, del servicio y de la seguridad.

2.—Dado que en la Universidad de Oviedo la seguridad física de las instalaciones está segregada de la seguridad lógica, el responsable de la seguridad al que hace mención el Esquema Nacional de Seguridad se denominará Responsable de Seguridad Informática y de Comunicaciones.

3.—De forma general, el Responsable de la Información determinará los requisitos de la información tratada; el Responsable del Servicio determinará los requisitos de los servicios prestados; y el Responsable de Seguridad Informática y de Comunicaciones determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

Artículo 2.—Mecanismos de coordinación y resolución de conflictos.

1.—Corresponde al Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones de la Universidad de Oviedo la coordinación de las actuaciones en materia de seguridad de las tecnologías de la información y las comunicaciones en esta organización.

2.—De acuerdo con el principio de jerarquía, los conflictos entre responsables serán resueltos por el Rector de la Universidad de Oviedo.

TÍTULO II.—LOS RESPONSABLES DE INFORMACIÓN Y SERVICIO

Artículo 3.—Objeto y naturaleza.

1.—El Responsable de Información será una persona del Equipo de Gobierno de la Universidad con responsabilidades funcionales sobre un ámbito de gestión concreto.

2.—El Responsable de Información ostentará igualmente las responsabilidades sobre el Servicio. Por ello, dentro de un ámbito funcional determinado recaerán sobre la misma persona las responsabilidades sobre el Servicio y sobre la Información.

3.—Cuando la información tratada incluya datos de carácter personal, el Responsable de Información será también el responsable del fichero correspondiente a efectos de la normativa en materia de protección de datos.

Artículo 4.—Funciones del Responsable de Información y Servicio.

1.—Determinará los requisitos de seguridad de la información tratada y de los servicios que sean de su ámbito funcional de responsabilidad. En lo que respecta a la información, los requisitos de seguridad deberán ser consensuados con el Delegado de Protección de Datos de la Universidad de Oviedo cuando se trate de datos de carácter personal.

2.—Efectuará las valoraciones en cuanto a la categorización de los sistemas de información a las que se refiere el artículo 43 del Esquema Nacional de Seguridad, dentro de su ámbito de responsabilidad funcional. Así, asignará a cada información y servicio el nivel de seguridad requerido y será responsable de su documentación y aprobación formal. Igualmente ostentará la exclusiva potestad de modificar el nivel de seguridad requerido. En lo que respecta a la información, la categorización y niveles de seguridad deberán ser consensuados con el Delegado de Protección de Datos de la Organización cuando se trate de datos de carácter personal.

3.—Con el objeto de proteger los servicios e información que sean de su responsabilidad con mecanismos que impidan su utilización indebida, el Responsable de Información y Servicio correspondiente adoptará decisiones respecto a los requisitos de seguridad y derechos de acceso, ateniéndose a la política y normas que sean de aplicación en cada momento.

4.—Ostentará la capacidad de autorizar y de delegar esta función en otras personas de la Organización. Dentro del proceso de gestión de derechos de acceso, sólo y exclusivamente el personal designado por el Responsable de Información y Servicio podrá conceder, alterar o anular la autorización de acceso a los recursos, conforme a los criterios establecidos por este responsable.

5.—En su ámbito funcional de responsabilidad, establecerá la política a seguir en cuanto a los accesos remotos, realizados a través de redes que no están bajo el control de la organización. Así, definirá ámbito de operación de los servidores pudiendo exigir su autorización previa y limitar el acceso a la información y a los servicios desde redes que no sean de confianza.

6.—Constará en el inventario de activos de la organización como la persona responsable de la toma de decisiones relativas a los elementos que sean de su responsabilidad funcional.

7.—Todas aquellas que establezca la legislación en vigor o que se aprueben en las normas y procedimientos desarrollados por la Universidad de Oviedo.

Artículo 5.—Designación del Responsable de Información y Servicio.

1.—La designación del Responsable de Información y Servicio se realizará de forma implícita, atendiendo a las funciones y la estructura general de gobierno de la Universidad de Oviedo, aprobada por resolución del Rector.

2.—Los Responsables de Información y Servicio serán los titulares de los órganos generales unipersonales de nivel superior designados para desarrollar las funciones de gobierno que corresponden al Rector de la Universidad. Esto incluye a los Vicerrectores, el Secretario General, el Gerente y los Delegados designados por el Rector.

3.—Cada responsable lo será dentro del ámbito funcional definido en la resolución del Rector por la que se aprueben las funciones y la estructura general de gobierno de la Universidad de Oviedo. Los responsables en vigor a fecha de aprobación de esta norma de seguridad se incluyen en el anexo I.

TÍTULO III.—EL RESPONSABLE DE SEGURIDAD INFORMÁTICA Y DE COMUNICACIONES

Artículo 6.—Objeto y naturaleza.

1.—El Responsable de Seguridad Informática y de Comunicaciones será la persona encargada de determinar las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, según la categorización realizada por el Responsable de Información y Servicio.

2.—Será igualmente la persona encargada de supervisar el cumplimiento del Esquema Nacional de Seguridad y de promover la formación y concienciación en materia de seguridad.

Artículo 7.—Funciones del Responsable de Seguridad Informática y de Comunicaciones.

1.—Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información, de acuerdo a lo establecido en la Política de Seguridad de la Universidad de Oviedo.

2.—Designar a cuantos responsables de seguridad delegados estime conveniente.

3.—Informar al Responsable de Información y Servicio de las decisiones e incidentes en materia de seguridad que afecten a la información o servicio que sean de su competencia, en particular de las estimaciones de riesgos y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.

4.—Informar al Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones de la Universidad de Oviedo de:

a) Actuaciones en materia de seguridad, especialmente en lo relativo a decisiones sobre la arquitectura del sistema.

b) Incidentes de seguridad, especialmente en lo relativo a la seguridad de la información.

c) Estado de la seguridad corporativa, prestando especial atención a los riesgos a los que los sistemas están expuestos.

5.—Proponer indicadores de riesgo cuando ello sea necesario. La definición será acordada con los Responsables de Información y Servicio que corresponda.

6.—En el proceso de gestión de riesgos, corresponde al Responsable de Seguridad Informática y de Comunicaciones:

a) La selección de las medidas de seguridad a implantar tras el correspondiente análisis de riesgos. La relación de las medidas seleccionadas se formalizará en la correspondiente Declaración de Aplicabilidad, firmada por el Responsable de Seguridad Informática y de Comunicaciones.

b) La monitorización de los sistemas de información para comprobar si éstos se comportan dentro de los márgenes aceptables de riesgo.

7.—En el proceso de respuesta a incidentes de seguridad de la información, corresponde al Responsable de Seguridad Informática y de Comunicaciones el análisis y la propuesta de salvaguardas que prevengan incidentes similares en el futuro.

8.—Participar en los procesos de adquisición de productos de seguridad y de contratación de servicios de seguridad en los términos y condiciones establecidos en el artículo 18 del Esquema Nacional de Seguridad.

9.—Analizar los informes de auditoría de la seguridad y de autoevaluación e informar al Responsable del Sistema correspondiente para la adopción de las medidas correctoras adecuadas.

10.—Elaborar el correspondiente Informe del Estado de la Seguridad y remitirlo al Comité Sectorial de Administración Electrónica (o al órgano que le sustituya) a través de los medios previstos por el Centro Criptológico Nacional.

11.—Todas aquellas que establezca la legislación en vigor o que se aprueben en las normas y procedimientos desarrollados por la Universidad de Oviedo.

Artículo 8.—Designación del Responsable de Seguridad Informática y de Comunicaciones.

1.—La designación del Responsable de Seguridad Informática y de Comunicaciones corresponde al Rector de la Universidad de Oviedo, a través el correspondiente nombramiento.

2.—En ningún caso podrá ser una persona que haya sido designada responsable de alguno de los sistemas de gestión corporativos de la Universidad de Oviedo.

Artículo 9.—Sobre los Responsables de Seguridad Delegados.

1.—El Responsable de Seguridad Informática y de Comunicaciones podrá designar cuantos responsables de seguridad delegados considere necesarios.

2.—Los delegados tendrán una dependencia funcional directa del Responsable de Seguridad Informática y de Comunicaciones, que es a quien reportan, y se harán cargo de todas aquellas acciones que delegue el este responsable.

3.—La designación de delegados implica la delegación de funciones por parte del Responsable de Seguridad Informática y de Comunicaciones, pero no de su responsabilidad final sobre la función delegada.

Disposición adicional

Todas las denominaciones contenidas en esta norma referidas a cargos, puestos o personas que se efectúan en género masculino, se entenderán realizadas y se utilizarán en género femenino o masculino, según el sexo de quien los desempeñe o de la persona a la que se haga referencia.

Disposición derogatoria

Quedan derogadas cuantas otras resoluciones, instrucciones u órdenes de servicio sean contrarias a la presente normativa.

Disposición final

El presente acuerdo entrará en vigor el día siguiente de su publicación en el Boletín Oficial del Principado de Asturias

La presente norma ha sido aprobada por el Consejo de Gobierno de la Universidad de Oviedo en su sesión de 30 de enero de 2019, de lo que como Secretaria General doy fe.

En Oviedo, a 4 de febrero de 2019.—La Secretaria General.—Cód. 2019-01317.

Anexo I

Definición de Responsables de Información y de Servicio

Ver anuncio en PDF para consultar la tabla

Disposición anterior | Disposición siguiente

Información sobre el documento

© Copyright 2006. Gobierno del Principado de Asturias