DOG - Xunta de Galicia -

Diario Oficial de Galicia
DOG Núm. 141 Jueves, 24 de julio de 2025 Pág. 41356

III. Otras disposiciones

Consejo de Cuentas de Galicia

RESOLUCIÓN de 15 de julio de 2025 por la que se ordena la publicación del Acuerdo de 10 de julio de 2025 por el que se aprueba la política de seguridad de la información (PSI).

Dando cumplimiento a lo dispuesto en la disposición final primera del Acuerdo del Pleno de 10 de julio de 2025 por el que se aprueba la política de seguridad de la información (PSI) del Consejo de Cuentas de Galicia,

RESUELVO:

Ordenar la publicación del Acuerdo del Pleno del Consejo de Cuentas de Galicia, de 10 de julio de 2025, por el que se aprueba la política de seguridad de la información (PSI) del Consejo de Cuentas de Galicia, que figura como anexo a esta resolución.

Santiago de Compostela, 15 de julio de 2025

Juan Carlos Aladro Fernández
Consejero mayor del Consejo de Cuentas de Galicia

ANEXO

Acuerdo de 10 de julio de 2025 por el que se aprueba la política de seguridad
de la información (PSI) del Consejo de Cuentas de Galicia

El marco de la relación entre las instituciones públicas y los ciudadanos empleando medios electrónicos se encuentra establecido en la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas. Por otra parte, el artículo 156 de la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público, define el Esquema nacional de seguridad, que tiene por objeto establecer la política de seguridad en el empleo de medios electrónicos en el ámbito de la citada norma, que está constituido por los principios básicos y requisitos mínimos que garantizan adecuadamente la seguridad de la información tratada. Esta disposición fue desarrollada por el Real decreto 311/2022, de 3 de mayo, por el que se regula el Esquema nacional de seguridad.

El Real decreto 311/2022, de 3 de mayo, tiene por objeto el establecimiento de los principios y requisitos de una política de seguridad en el empleo de medios electrónicos que permita la protección adecuada de la información. Su artículo 12 dispone que la política de seguridad se establecerá en base a los principios básicos contemplados en el capítulo II del real decreto (seguridad como proceso integral; gestión de la seguridad basada en los riesgos; prevención, detección, respuesta y conservación; existencia de líneas de defensa; vigilancia continua; reevaluación periódica; diferenciación de responsabilidades). Por su parte, su artículo 13 exige que la política de seguridad identifique unos claros responsables de velar por su cumplimiento.

En este marco normativo, el presente acuerdo tiene por objeto la aprobación de la política de seguridad de la información del Consejo de Cuentas de Galicia. Para su elaboración se tuvieron en cuenta, además de la normativa ya citada, las recomendaciones y guías del Centro Criptológico Nacional (guías CCN-STIC de la serie 800 relacionadas con el Esquema nacional de seguridad).

Dentro de los principios particulares es preciso resaltar el de la protección de los datos de carácter personal, que además tiene una regulación específica recogida en esta política, lo que permitirá garantizar, de una forma consistente en la presente norma, la seguridad de los tratamientos de datos personales en base al artículo 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que se refiere al tratamiento de los datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general y protección de datos o RGPD). En este sentido, la disposición adicional primera de la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, reconoce el Esquema nacional de seguridad como un instrumento para la implementación de medidas que permitan garantizar la seguridad de los datos de carácter personal.

Es preciso también subrayar la importancia de que el personal del Consejo de Cuentas forma parte activa de la ejecución de los mecanismos y buenas prácticas para garantizar la seguridad de la información en el ámbito corporativo, que contempla también la presente política, reconociendo la necesidad de que el personal cuente con la información y formación adecuadas, y conozca sus responsabilidades y obligaciones en este ámbito.

En virtud de todo lo expuesto,

SE DISPONE:

Artículo 1. Objeto

Constituye el objeto de este acuerdo la aprobación de la política de seguridad de la información del Consejo de Cuentas de Galicia, en adelante PSI.

Artículo 2. Ámbito de aplicación

La PSI será de obligado cumplimiento para todas las personas que accedan tanto a los sistemas de información como a la propia información que sea gestionada por el Consejo de Cuentas, con independencia de su destino, adscripción o relación con el mismo. Lo dispuesto en esta norma también será de aplicación a los sistemas de información que traten información clasificada, pudiendo en este caso tener que adoptar medidas complementarias de seguridad, específicas para estos sistemas.

Artículo 3. Misión del Consejo de Cuentas

El Consejo de Cuentas, como órgano de fiscalización externa de las cuentas y de la gestión económico-financiera y contable, ejercerá su función en relación con la ejecución de los programas de ingresos y gastos del sector público de la Comunidad Autónoma y asesorará al Parlamento de Galicia en materia económico-financiera. Depende directamente del Parlamento de Galicia y ejerce sus funciones con plena independencia y sometimiento al ordenamiento jurídico. Para garantizar una correcta gestión de las finanzas públicas, el Consejo de Cuentas asume la competencia de prevención de la corrupción en el ámbito del sector público de la comunidad autónoma.

Artículo 4. Marco regulatorio

El marco normativo en el que se desarrollan las actividades del Consejo de Cuentas de Galicia, en el ámbito de la fiscalización, asesoramiento específico y prevención de la corrupción, sin perjuicio de la legislación específica, se compone de aquellas normas aplicables al Consejo de Cuentas de Galicia, relativas a la administración electrónica, protección de datos personales y seguridad de la información, que complementen, desarrollen o sustituyan a las actualmente vigentes, y que se encuentren dentro del ámbito de aplicación de la presente política de seguridad de la información del Consejo de Cuentas de Galicia. Un listado de la citada normativa figura a disposición pública en la página web del Consejo de Cuentas de Galicia, en la dirección de internet https://www.ccontasgalicia.es/gl

Artículo 5. Principios de seguridad de la información

1. Principios básicos. Los principios básicos son directrices fundamentales de seguridad que habrán de tenerse siempre presentes en cualquier actividad relacionada con el empleo de los activos de información. Estos principios básicos, en su continuo fortalecimiento y revisión, se ajustarán en todo caso a las guías CCN-STIC (publicación que el Centro Criptológico Nacional tiene como cuerpo de guías de seguridad de las tecnologías de la información y las comunicaciones). Complementando lo dispuesto en el capítulo II del Real decreto 311/2022, de 3 de mayo, se establecen los siguientes principios básicos:

a) Alcance estratégico: la seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos, de manera que pueda estar coordinada e integrada con el resto de iniciativas estratégicas del Consejo de Cuentas, para conformar un todo coherente y eficaz.

b) Responsabilidad diferenciada. En los sistemas de información se diferenciará el responsable de la información, que determina los requisitos de seguridad de la información tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable del sistema, que tiene la responsabilidad de desarrollar de forma concreta e implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores, bajo su responsabilidad; y el responsable de la seguridad, que será distinto del responsable del sistema, no debiendo existir dependencia jerárquica entre ambos, y que determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos e informará sobre estas cuestiones. En los supuestos de tratamientos de datos personales se identificará además a la persona, organismo o unidad responsable del tratamiento y, en su caso, al encargado del tratamiento, de acuerdo con las definiciones del artículo 4, apartados 7 y 8 del RGPD.

c) Seguridad integral: la seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos relacionados con el sistema de información, evitando, excepto casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas de información.

d) Gestión de los riesgos: el análisis y la gestión de los riesgos será parte esencial del proceso de seguridad. La gestión de los riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará con el despliegue de medidas de seguridad, que establecerán un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y probabilidad de los riesgos a los que estén expuestos, y la eficacia y el coste de las medidas de seguridad. Además, las medidas de seguridad habrán de garantizar el cumplimiento de lo previsto en el artículo 32 del RGPD, por lo que el responsable del tratamiento de los datos personales y, en su caso, los encargados del tratamiento podrán adoptar todas aquellas medidas adicionales a fin de garantizar la seguridad de los datos personales, en virtud de lo dispuesto en los artículos 24 y 25 del RGPD; en el artículo 28 de la Ley orgánica 3/2018, de 5 de diciembre, y en el artículo 3 del Real decreto 311/2022, de 3 de mayo.

e) Proporcionalidad: el establecimiento de medidas de protección, detección y recuperación habrá de ser proporcional a los potenciales riesgos y la criticidad y valor de la información y de los servicios afectados.

f) Mejora continua: las medidas de seguridad se reevaluarán y se actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido y con las citadas competencias entre sus funciones.

g) Seguridad desde el diseño y por defecto: los sistemas deben diseñarse y configurarse de manera que garanticen un grado suficiente de seguridad por defecto. Además, a fin de garantizar la resiliencia y la protección de datos personales, deben tenerse en cuenta las medidas de seguridad por defecto en base a los artículos 24 y 25 del RGPD, así como las medidas de seguridad orientadas al riesgo según el artículo 32 del RGPD.

h) Vigilancia continua: de tal manera que la evaluación permanente del estado de la seguridad de los activos permita medir su evolución, detectando vulnerabilidades e identificando deficiencias de configuración. En lo que se refiere a la gestión de incidentes que afecten a datos personales, se tendrán en cuenta las obligaciones específicas de notificación, comunicación y documentación especificadas en los artículos 33 y 34 del RGPD.

2. Principios particulares y responsabilidades específicas. Las directrices fundamentales de seguridad se concretan en un conjunto de principios particulares y responsabilidades específicas, que se configuran como objetivos instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que inspiran las actuaciones del Consejo en esta materia. Se establecen los siguientes principios particulares y responsabilidades específicas:

a) Protección de datos de carácter personal: se adoptarán las medidas técnicas y organizativas destinadas a garantizar el nivel de seguridad exigido por la normativa vigente en relación con el tratamiento de los datos de carácter personal.

b) Gestión de activos de información: los activos de información del Consello se encontrarán inventariados y categorizados y estarán asociados a un responsable.

c) Seguridad ligada a las personas: se implantarán los mecanismos necesarios para que cualquier persona que acceda, o pueda acceder, a los archivos de información conozca sus responsabilidades y, de este modo, se reduzca el riesgo derivado de un uso indebido de los citados archivos.

d) Seguridad física: los activos de información serán emplazados en áreas seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los archivos de información que contienen las citadas áreas estarán suficientemente protegidos frente a amenazas físicas o medioambientales.

e) Seguridad en la gestión de comunicaciones y operaciones: se establecerán los procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación y actualización de las tecnologías de la información y comunicaciones. La información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida, teniendo en cuenta su nivel de seguridad.

f) Control de acceso: se limitará el acceso a los activos de información por parte de los usuarios, procesos y otros sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y autorización acordes con la criticidad de cada activo. Además, quedará registrada la utilización del sistema al objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organización.

g) Adquisición, desarrollo y mantenimiento de los sistemas de información: se contemplarán los aspectos de seguridad de la información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.

h) Gestión de los incidentes de seguridad: se implantarán los mecanismos adecuados para la correcta identificación, registro y resolución de los incidentes de seguridad.

i) Gestión de la continuidad: se implantarán los mecanismos acomodados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de sus procesos de negocio, de acuerdo con las necesidades de nivel de servicio de sus usuarios.

j) Cumplimiento: se adoptarán las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información.

3. Sin perjuicio de lo establecido en los apartados 1 y 2, la presente PSI se establecerá en base a los principios básicos y se desarrollará aplicando los requisitos mínimos contemplados en el capítulo II y en el artículo 12.6 del Real decreto 311/2022, de 3 de mayo.

4. Estos principios básicos, en su continuo fortalecimiento y revisión, se ajustarán a las instrucciones técnicas de seguridad que publique la Secretaría de Estado de Digitalización de Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital, así como a las guías CCN-STIC (publicaciones que el Centro Criptológico Nacional tiene como cuerpo de guías de seguridad de las tecnologías de la información y de las comunicaciones, tal y como se establece en la disposición adicional segunda del Real decreto 311/2022, de 3 de mayo).

Artículo 6. Estructura organizativa

La estructura organizativa para la gestión de la seguridad de la información en el ámbito descrito por la PSI del Consejo de Cuentas de Galicia estará compuesta por los siguientes agentes:

a) El Comité de Seguridad de la Información y el responsable de la seguridad.

b) El responsable del sistema.

c) El responsable de la información.

d) El responsable del servicio.

e) El delegado de protección de datos.

El nombramiento de los diferentes agentes de la estructura organizativa del Consejo de Cuentas de Galicia se realizará mediante acuerdo del Pleno.

Artículo 7. El Comité de Seguridad de la Información y responsable de la seguridad

1. El Comité de Seguridad de la Información (en adelante, CSI) gestionará y coordinará todas las actividades relacionadas con la seguridad de los sistemas de información del Consejo de Cuentas de Galicia.

2. El CSI estará compuesto por los siguientes miembros:

a) Presidente/a: la persona titular de la Consejería Mayor del Consejo de Cuentas, que representará al Pleno en la condición de este de responsable de la información y del servicio.

b) Secretario/a: la persona titular de la Secretaría General del Consejo de Cuentas.

c) Vocales:

i. El/la delegado/a de protección de datos.

ii. El/la responsable del sistema.

iii. El/la administrador/a de seguridad.

3. Régimen de suplencias de los miembros del CSI: en caso de vacante, ausencia o enfermedad, así como en los casos en que sea declarada su abstención o recusación y, en general, cuando concurra alguna causa justificada, se establece el siguiente régimen de suplencias de los miembros del CSI:

a) El/la presidente/a será sustituido/a por el/la consejero/a que este designe.

b) El/la secretario/a será sustituido/a por la persona titular de la Unidad Técnico-Jurídica.

c) Los vocales serán sustituidos por el personal de las correspondientes unidades administrativas de las que formen parte, que habrán designarse para cada caso.

4. El CSI ejercerá las siguientes funciones:

a) Elaborar y someter al Pleno las propuestas de modificación y actualización permanente que se hagan sobre la PSI.

b) Elaboración de las propuestas de normas de segundo y tercer nivel a las que se refiere el artículo 14, y la elevación de estas al Pleno para su aprobación.

c) Velar por el cumplimiento de la PSI e impulsar su desarrollo y cumplimiento normativo.

d) Promover la mejora continua de la gestión en la seguridad de la información.

e) Proponer al Pleno la realización de las auditorías o autoevaluaciones de seguridad y recibir información del resultado de las mismas. En este sentido, podrá también definir la planificación de estas actuaciones, que en todo caso deberán ser regulares.

f) Solicitar al Pleno la provisión de los recursos y medios necesarios para asegurar la concienciación y la formación en materia de seguridad de la información de todo el personal del Consejo de Cuentas de Galicia, así como impulsar la formación y la concienciación en materia de seguridad, y elevar al Pleno propuestas de planes e iniciativas de formación.

g) La evaluación y seguimiento de las decisiones tomadas para satisfacer los requisitos de seguridad de la información y de los servicios.

h) Compartir experiencias de éxito en materia de seguridad con todo el personal del Consejo de Cuentas para velar por el cumplimiento de la PSI y su normativa de desarrollo.

i) Elaborar y elevar al Pleno, para su aprobación, los planes de mejora de la seguridad en su ámbito de competencias.

j) La revisión y la aprobación anual del proceso de gestión de riesgos especificado en el artículo 13.

k) La elaboración de los documentos que describan las responsabilidades de cada puesto, detallados de acuerdo con la normativa en vigor en materia de seguridad y privacidad, y elevación de los mismos al Pleno para su aprobación.

l) Elaborar y elevar al Pleno aquellos informes en materia de seguridad que le sean requeridos en materia de seguridad de la información.

5. Funciones del responsable de la seguridad.

El CSI asumirá en la estructura de seguridad del Consejo de Cuentas de Galicia las funciones y competencias del responsable de la seguridad. En ese concreto aspecto tendrá, entre otras, las siguientes funciones:

a) Promover la seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.

b) Determinar las medidas de seguridad aplicables tras las valoraciones hechas por el responsable de la información y el del servicio.

c) Elaborar y aprobar la declaración de aplicabilidad, atendiendo a los requerimientos del responsable de la información y el del servicio.

d) Determinar la categoría del sistema, atendiendo a la valoración del responsable de la información y del responsable del servicio.

e) Comprobar que las medidas de seguridad de la información se complementaron adecuadamente por el responsable del sistema.

f) Analizar los riesgos antes de desplegar sistemas de inteligencia artificial en el Consejo de Cuentas, atendiendo a las valoraciones del responsable de la información y del responsable del servicio y, en su caso, del delegado de protección de datos, y supervisar su despliegue.

g) Gestionar los ciberincidentes, contando con los responsables de la información y del servicio, calificando la peligrosidad de este en base a las recomendaciones del Centro Criptológico Nacional en las guías CCN-STIC, actuando como punto de contacto con las autoridades competentes en materia de seguridad y, en función de los roles asignados en esta PSI, podrá notificarlas al CCN-CERT.

h) Colaborar con el delegado de protección de datos en la gestión de los incidentes que afecten a datos personales, colaborando en la notificación a las autoridades de control y a los afectados.

i) Colaborar, en el ámbito del CSI, en la elaboración de la normativa de seguridad del Consejo de Cuentas.

j) Velar por el cumplimiento del cuerpo normativo definido en el artículo 14.

k) Encargarse de que la documentación de seguridad se mantenga organizada y actualizada, y de gestionar los mecanismos de acceso a la misma.

l) Promover la mejora continua en la gestión de la seguridad de la información.

m) Impulsar la formación y la concienciación en materia de seguridad de la información.

n) Analizar los informes de autoevaluación y auditoría de seguridad de la información, dando cuenta al CSI de sus conclusiones y las implicaciones de estas en materia de seguridad.

o) Identificar las categorías de seguridad de los sistemas de información, así como determinar las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

p) Realizar los análisis de riesgos en su ámbito de actuación, así como interpretar las medidas de seguridad del anexo II del Real decreto 311/2022, de 3 de mayo, proponiendo al CSI su ampliación o substitución, en base a lo dispuesto en el artículo 28 del Real decreto 311/2022, de 3 de mayo, y firmar la declaración de aplicabilidad.

q) En los procesos de gestión de cambios, el responsable de la seguridad deberá aprobar explícitamente aquellos cambios que impliquen un riesgo de nivel alto, en base a lo dispuesto en el anexo II del Real decreto 311/2022, de 3 de mayo.

r) Obtener las certificaciones exigibles a la figura del responsable de la seguridad, en base a lo dispuesto en el artículo 13.4, del Real decreto 311/2022, de 3 de mayo.

s) Determinar las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisando la implantación de estas.

t) Cualquier otra función en el ámbito de la seguridad de la información y de los servicios que le pueda ser encomendada por la normativa de seguridad, o el Pleno del Consejo de Cuentas de Galicia.

6. El ámbito de actuación del responsable de la seguridad se limitará única y exclusivamente a los sistemas de información y servicios de tecnologías de la información y comunicaciones que sean competencia y responsabilidad directa del Consejo de Cuentas de Galicia.

7. Las sesiones del CSI se considerarán debidamente constituidas cuando asistan a sus reuniones al menos dos vocales, el/la presidente/a y el/la secretario/a. Asimismo, cabe la posibilidad de emplear medios electrónicos para su realización.

El CSI podrá recabar del personal técnico, propio o externo, la información pertinente para la toma de sus decisiones. Se reunirá con la periodicidad decidida por su Presidencia, en función de las necesidades concretas en cada momento en materia de seguridad, y al menos con una periodicidad trimestral. Se regirá por las normas de funcionamiento previstas en el presente acuerdo del Pleno y, en lo no previsto en ellas, por las normas previstas para los órganos colegiados en la Ley 16/2010, de 17 de diciembre, de organización y funcionamiento de la Administración general y del sector público autonómico de Galicia.

Artículo 8. El responsable del sistema

1. De acuerdo con lo dispuesto en el artículo 13.2.d) del Real decreto 311/2022, de 3 de mayo, el responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad. En la estructura de seguridad del Consejo de Cuentas de Galicia las funciones y las competencias del responsable del sistema las asumirá la persona titular de la Jefatura del Servicio de Informática de la institución.

2. Tendrá, entre otras, las siguientes funciones:

a) Definir la tipología y sistemas de gestión de los sistemas de información, estableciendo los criterios de uso y los servicios disponibles en el mismo.

b) Cerciorarse de que las medidas de seguridad se integran adecuadamente dentro del marco tecnológico de seguridad del Consejo de Cuentas de Galicia.

c) Adoptar las medidas técnicas correctoras adecuadas de acuerdo con las evaluaciones y auditorías de seguridad, informando y proponiendo al Pleno de la institución la adopción de aquellas que sobrepasen el ámbito estrictamente técnico.

d) Acordar la retirada de operación de alguna información, servicio o sistema en su totalidad, durante el tiempo que se estime prudente hasta la satisfacción de las modificaciones precisas, informando posteriormente al Pleno de los motivos y resultados de las actuaciones acordadas.

e) Garantizar que los dispositivos permanecen bajo control y satisfacen sus requisitos de seguridad mientras son desplazados de un lugar a otro.

f) Cualquier otra función en el ámbito de la seguridad de los sistemas de información que, en esta condición, le sean encomendadas por la normativa de seguridad.

Artículo 9. El responsable de la información

1. De acuerdo con lo previsto en el artículo 13.2.a) del Real decreto 311/2022, de 3 de mayo, el responsable de la información determinará los requisitos de la información tratada, siendo responsable último de su uso y acceso y, por lo tanto, de su mantenimiento y protección. En la estructura de seguridad del Consejo de Cuentas de Galicia las funciones y competencias del responsable de la información las asumirá el Pleno de la institución.

2. Dentro de las funciones del responsable de la información se encuentran las siguientes:

a) Aprobar, dentro de su ámbito de actuación y competencias, los requisitos en la materia de seguridad de la información tratada.

b) Determinar los niveles de seguridad de la información tratada, valorando los impactos de los incidentes que afecten a la seguridad de la información. Para esto, el responsable de la información solicitará informe del responsable de la seguridad.

c) Colaborar, junto con los responsables del servicio, y contando con la participación del responsable de la seguridad, en la realización de los preceptivos análisis de riesgos y seleccionar las salvaguardas que se han de implantar.

d) Es el responsable de aceptar los riesgos residuales a respecto de la información, calculados en el análisis de riesgos.

e) Cualquier otra función en el ámbito de la seguridad de la información y de los servicios que le pueda ser encomendada por la normativa de seguridad, el CSI o el Pleno del Consejo de Cuentas de Galicia.

Artículo 10. El responsable del servicio

1. De acuerdo con lo previsto en el artículo 13.2.b) del Real decreto 311/2022, de 3 de mayo, el responsable del servicio determina los requisitos de los servicios prestados y tiene la responsabilidad última del uso que se haga de los servicios basados en tecnologías de la información y, por lo tanto, de su protección.

2. En la estructura de seguridad del Consejo de Cuentas de Galicia las funciones y competencias del responsable de la información las asumirá el Pleno de la institución.

3. Dentro de las funciones del responsable del servicio recaen las siguientes:

a) Aprobar, dentro de su ámbito de actuación y competencias, los requisitos en materia de seguridad de los servicios prestados.

b) Determinar los niveles de seguridad en el servicio, valorando el impacto de los incidentes que afecten a la seguridad del servicio. Para esto, el responsable del servicio solicitará informe del responsable de la seguridad.

c) Colaborar junto con el responsable de la información, y contando con la participación del responsable de la seguridad, en la realización de los preceptivos análisis de riesgos y seleccionar las salvaguardas que se han de implantar.

d) Es responsable de aceptar los riesgos residuales respecto de los servicios calculados en el análisis de riesgos.

e) Cualquier otra función en el ámbito de la seguridad de la información y de los servicios que le pueda ser encomendada por la normativa de seguridad, el CSI o el Pleno del Consejo de Cuentas de Galicia.

Artículo 11. El delegado de protección de datos

1. En el ámbito de los tratamientos de datos personales, y sin perjuicio de las atribuciones establecidas en el RGPD de forma exclusiva a los responsables y encargados de los tratamientos de datos personales, y de las atribuciones exclusivas del responsable de la seguridad, el delegado de protección de datos (DPD) ejercerá las labores de asesoramiento y supervisión en el ámbito de la presente norma.

2. El DPD prestará asistencia y asesoramiento a los responsables del tratamiento, a la hora de identificar los riesgos y adoptar las medidas para la protección de los datos personales, y en lo que atañe a la supervisión de que las mismas fueron adoptadas y llevadas a la práctica. En cualquier caso, las funciones ejecutivas y de toma de las decisiones oportunas al respecto serán de responsabilidad del Pleno del Consejo de Cuentas, en su calidad de responsable del tratamiento.

3. El DPD ejercerá labores de asistencia y asesoramiento al responsable del tratamiento de los datos personales, al responsable de la seguridad y al responsable del sistema, en los procesos de gestión de brechas de datos personales en el ámbito de la gestión general de incidentes de seguridad.

4. El DPD prestará asesoramiento al responsable de la seguridad y al responsable del sistema en relación con la implantación de las medidas de seguridad que tengan un objeto distinto de la protección de datos, en la medida que impliquen un tratamiento adicional de datos personales, tal y como dispone el artículo 24 del Real decreto 311/2022.

Artículo 12. Grupos de trabajo

El Comité de Seguridad de la Información podrá articular la creación de grupos y trabajo para realizar actividades tales como la elaboración de estudios, trabajos e informes que se estimen oportunos.

Artículo 13. Gestión de los riesgos

1. La gestión de los riesgos debe realizarse de manera continua sobre los sistemas de información, conforme a los principios de gestión de la seguridad basada en los riesgos, vigilancia continua y reevaluación periódica previstos en los artículos 7 y 10 del Real decreto 311/2022.

2. El proceso de gestión de riesgos, que comprende la definición de las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificados, deberá ser revisado y aprobado cada año por el Comité de Seguridad de la Información, así como cuando se produzcan cambios en la información manejada o en los servicios prestados, ocurra un incidente grave de seguridad, se informe de la existencia de vulnerabilidades graves o se produzcan modificaciones en el análisis de riesgos de protección de datos o evaluaciones de impacto.

El proceso de gestión de riesgos aprobado conformará la guía metodológica básica para la elaboración de los respectivos análisis de riesgos y, por lo tanto, facilitará la homogeneización y comparación de los resultados de cada uno de los análisis de riesgos que se realicen.

3. Las indicadas fases del proceso de gestión de riesgos se realizarán según lo dispuesto en los anexos I y II del Real decreto 311/2022 y siguiendo las normas, instrucciones, guías CCN-STIC y recomendaciones para su aplicación elaboradas por el Centro Criptológico Nacional.

4. El responsable de la seguridad será el encargado de realizar el análisis de riesgos en tiempo y forma establecidos, contando con la colaboración de los correspondientes responsables del servicio y responsables de la información.

5. Tras la calificación de la información y la determinación del nivel de seguridad del sistema por parte del responsable de la información y del responsable del sistema, se obtendrán la matriz de aplicabilidad y el conjunto de medidas para garantizar la confidencialidad, la integridad, la disponibilidad, la autenticidad y la trazabilidad de la información del servicio. La evaluación de los riesgos se realizará identificando los riesgos residuales y, en base a ellos, se determinará el Plan de gestión de riesgos.

6. Serán responsabilidad del responsable del servicio y del responsable de la información la aceptación de los riesgos residuales y el impulso de la ejecución de auditorías de seguridad, que habrán de ejecutarse en base a la planificación que decida el Comité de Seguridad de la Información.

7. En caso de que existan tratamientos de datos personales, se deberá tener en cuenta lo dispuesto en el artículo 15, de modo que los requisitos identificados conforme al citado artículo y con el asesoramiento específico del DPD se puedan añadir a los establecidos conforme al Real decreto 311/2022, si así fuere necesario, particularmente, fijando el nivel de seguridad a un nivel más alto. En este caso, si el resultado del análisis es que los tratamientos de datos personales fueran de alto riesgo, estos requisitos se elaborarán con la formalidad de una evaluación de impacto en la protección de datos, conforme al artículo 35 del RGPD y los criterios establecidos por la Agencia Española de Protección de Datos (AEPD). En este aspecto, también se deberá tener en cuenta la regulación de la seguridad en los tratamientos de la datos personales, especificados en el artículo 32 del RGPD.

Artículo 14. Estructura normativa

1. El cuerpo normativo sobre seguridad de la información es de obligado cumplimiento y se estructura en los siguientes niveles relacionados jerárquicamente, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior:

a) Primer nivel normativo: está constituido por la PSI. Además, incluye la normativa y disposiciones generales en materia de seguridad que sean de aplicación al Consejo de Cuentas de Galicia.

b) Segundo nivel normativo: está constituido por las resoluciones en materia de seguridad que se definan en cada ámbito organizativo de aplicación específico. Las resoluciones, que comprenderán los procedimientos, las normas, las instrucciones técnicas de seguridad y recomendaciones de seguridad, serán de obligado cumplimiento. Sus cuerpos documentales, debidamente aprobados por el Pleno, deberán estar disponibles para su consulta general en la red interna de información del Consejo de Cuentas de Galicia.

c) Tercer nivel normativo: está constituido por el conjunto de procedimientos técnicos orientados a resolver las tareas consideradas críticas por el perjuicio que causaría una actuación inadecuada de seguridad, desarrollo, mantenimiento y explotación de los sistemas de información. Se consideran incluidas en este nivel normativo:

I. Las guías de seguridad de las tecnologías de la información y comunicación elaboradas por el Centro Criptológico Nacional (guías CCN-STIC).

II. Las normas y las recomendaciones aprobadas por órganos u organismos con competencia reguladora en las materias de seguridad o de protección de datos, como son el Centro Criptológico Nacional o la Agencia Española de Protección de Datos.

III. El conjunto de procedimientos técnicos elaborados y aprobados por el responsable de la seguridad.

IV. Recomendaciones, guías de configuración y buenas prácticas publicadas por organismos u organizaciones internacionales, y por los fabricantes de productos de seguridad, debidamente declarados incluidos en esta categoría por el responsable de la seguridad.

2. Además de la normativa enunciada en el apartado 1, la estructura normativa podrá disponer de documentos complementarios, como estándares de seguridad, buenas prácticas o informes técnicos, debidamente declarados incluidos en esta categoría por el responsable de la seguridad.

3. El personal del Consejo de Cuentas de Galicia tendrá la obligación de conocer y cumplir, además de la presente PSI, todas las directrices generales, normas y procedimientos de seguridad de la información que puedan afectar a sus funciones.

4. El CSI establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo normativo con el propósito de normalizarlo, en el ámbito de aplicación de la PSI.

5. Este marco normativo estará a disposición del personal del Consejo de Cuentas de Galicia y de aquellos otros organismos, públicos o privados, que formen parte del ámbito de aplicación de la PSI.

Artículo 15. Protección de datos de carácter personal

1. Se aplicarán a los datos de carácter personal que sean objeto de tratamiento por parte del Consejo de Cuentas de Galicia las medidas de seguridad apropiadas derivadas de los análisis de riesgos y evaluaciones de impacto relativas a la protección de datos, que se detallan en el RGPD en la Ley orgánica 3/2018, de 5 de diciembre.

2. Además, se aplicarán las medidas correspondientes al anexo II del Real decreto 311/2022, de 3 de mayo. En caso de que el análisis de riesgos determine medidas agravadas respecto a la normativa contemplada en las medidas del citado anexo, las medidas derivadas del análisis de riesgos serán las que se implementarán en la protección de datos de carácter personal.

3. En particular, se tendrá en cuenta el artículo 32 del RGPD, en lo que se refiere a la exigencia de una identificación de riesgos específicos para los derechos y libertades de las personas en relación con los tratamientos de datos personales, que debe ser previo al análisis de riesgos de los sistemas donde se implementen los citados tratamientos, de forma que el nivel de seguridad sea adecuado al riesgo que los tratamientos de datos personales suponen para los derechos y libertades de las personas.

4. El Consejo de Cuentas, a propuesta del responsable del sistema, podrá implementar tratamientos de datos personales a consecuencia de la implantación de medidas de seguridad que tengan un objeto distinto de la protección de datos personales, en base a lo dispuesto en el artículo 24 del Real decreto 311/2022, de 3 de mayo, y teniendo en cuenta, entre otros, los principios de limitación de la finalidad; prohibición del tratamiento de datos personales para fines distintos; el principio de minimización de datos, identificando los datos personales o las categorías de datos personales que puedan ser tratados; y el de limitación de plazos de conservación, identificando los plazos máximos de conservación de datos personales.

Artículo 16. Terceros

1. Cuando el Consejo de Cuentas emplee servicios o maneje información de otras entidades, se les hará partícipes de esta PSI, se establecerán canales de información y coordinación de los respectivos comités de seguridad de las TIC y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad. En caso de adquirirse derechos de uso de activos en la nube, o desarrollar o implantar un sistema de inteligencia artificial, habrá de contar con un informe del responsable de la seguridad, que consultará a los responsables de la información y del servicio y, cuando sea necesario, al del sistema y al delegado de protección de datos.

2. Cuando el Consejo de Cuentas preste servicios o ceda información a terceros, se les hará partícipes de esta PSI y de la normativa de seguridad que sea preciso a los citados servicios e información. Los mismos quedarán sujetos a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de informe y resolución de incidentes y se garantizará que el personal de los terceros esté adecuadamente concienciado en materia de seguridad.

3. Cuando algún aspecto de la PSI no pueda ser cumplimentado por una tercera parte según se establece en los párrafos anteriores, se requerirá un informe del responsable de la seguridad que precise los riesgos en los que se incurre y la forma de tratarlos. El citado informe habrá de ser aprobado por los responsables de la información y los servicios afectados.

Artículo 17. Concienciación y formación

1. Todo el personal relacionado con la información, los servicios y los sistemas de información deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad de la información.

2. Para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios del Consejo de Cuentas de Galicia, se articularán los mecanismos necesarios para llevar a la práctica la concienciación y la formación específica necesaria e imprescindible en todos los niveles de la organización.

Artículo 18. Resolución de conflictos

Corresponde al Comité de Seguridad de la Información resolver los conflictos de competencia en materia de seguridad de la información que pudieren aparecer entre los diferentes responsables y encargados en el ámbito de la seguridad. Se informará al Pleno en su materia, en el resto de conflictos de competencia que puedan suscitarse y tengan relación con la seguridad.

Artículo 19. Gestión de incidentes de seguridad

El Consejo de Cuentas de Galicia dispondrá de un procedimiento para la gestión ágil de los eventos e incidentes de seguridad que supongan una amenaza para la información y los servicios.

Este procedimiento se integrará con otros relacionados con los incidentes de seguridad de otras normas sectoriales como la de protección de datos personales u otra que afecte al organismo para coordinar la respuesta desde los diferentes enfoques y comunicárselo a los diferentes organismos de control sin dilaciones indebidas y, cuando proceda, a las fuerzas y cuerpos de seguridad del Estado y a los órganos competentes del poder judicial.

Disposición adicional primera. Actualización permanente de la política de seguridad de la información

El presente acuerdo habrá de mantenerse actualizado permanentemente para adecuarlo al progreso de los servicios de la administración digital, a la evolución tecnológica y al desarrollo de la sociedad de la información, así como a los estándares internacionales en materia de seguridad. Las propuestas de las sucesivas revisiones corresponden al CSI, de conformidad con el artículo 7.

Disposición derogatoria única. Derogación normativa

Se derogan cuantas disposiciones de igual o inferior rango se opongan a lo establecido en el presente acuerdo, en particular el Acuerdo del Pleno del Consejo de Cuentas de Galicia de 21 de noviembre de 2023 en lo que se refiere al CSI.

Disposición final primera. Publicidad de la política de seguridad de la información

El presente acuerdo se publicará, además de en el Diario Oficial de Galicia, en la sede electrónica del Consejo de Cuentas de Galicia, y se dará a conocer a la totalidad del personal del Consejo.

Disposición final segunda. Entrada en vigor

El presente acuerdo, que aprueba la política de seguridad de la información del Consejo de Cuentas de Galicia, entrará en vigor al día siguiente de su publicación en el Diario Oficial de Galicia.