Dando cumprimento ao disposto na disposición derradeira primeira do Acordo do Pleno do 10 de xullo de 2025 polo que se aproba a política de seguridade da información (PSI) do Consello de Contas de Galicia,
RESOLVO:
Ordenar a publicación do Acordo do Pleno do Consello de Contas de Galicia, do 10 de xullo de 2025, polo que se aproba a política de seguridade da información (PSI) do Consello de Contas de Galicia, que figura como anexo desta resolución.
Santiago de Compostela, 15 de xullo de 2025
Juan Carlos Aladro Fernández
Conselleiro maior do Consello de Contas de Galicia
ANEXO
Acordo do 10 de xullo de 2025 polo que se aproba a política de seguridade
da información (PSI) do Consello de Contas de Galicia
O marco da relación entre as institucións públicas e os cidadáns empregando medios electrónicos encóntrase establecido na Lei 39/2015, do 1 de outubro, do procedemento administrativo común das administracións públicas. Por outra banda, o artigo 156 da Lei 40/2015, do 1 de outubro, de réxime xurídico do sector público, define o Esquema nacional de seguridade, que ten por obxecto establecer a política de seguridade no emprego de medios electrónicos no ámbito da citada norma, que está constituído polos principios básicos e requisitos mínimos que garanten axeitadamente a seguridade da información tratada. Esta disposición foi desenvolvida polo Real decreto 311/2022, do 3 de maio, polo que se regula o Esquema nacional de seguridade.
O Real decreto 311/2022, do 3 de maio, ten por obxecto establecer os principios e requisitos dunha política de seguridade no emprego de medios electrónicos que permita a protección axeitada da información. O seu artigo 12 dispón que a política de seguridade se establecerá con base nos principios básicos recollidos no capítulo II do real decreto (seguridade como proceso integral; xestión da seguridade baseada nos riscos; prevención, detección, resposta e conservación; existencia de liñas de defensa; vixilancia continua; reavaliación periódica; diferenciación de responsabilidades). Pola súa banda, o seu artigo 13 exixe que a política de seguridade identifique uns claros responsables de velar polo seu cumprimento.
Neste marco normativo, o presente acordo ten por obxecto aprobar a política de seguridade da información do Consello de Contas de Galicia. Para a súa elaboración tivéronse en conta, amais da normativa xa citada, as recomendacións e guías do Centro Criptolóxico Nacional (guías CCN-STIC da serie 800 relacionadas co Esquema nacional de seguridade).
Dentro dos principios particulares cómpre salientar o da protección dos datos de carácter persoal, que amais ten unha regulación específica recollida nesta política, o que permitirá garantir, dunha forma consistente na presente norma, a seguridade dos tratamentos de datos persoais con base no artigo 32 do Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello, do 27 de abril, relativo á protección das persoas físicas no que atinxe ao tratamento dos datos persoais e á libre circulación deses datos e polo que se derroga a Directiva 95/46/CE (Regulamento xeral e protección de datos ou RXPD). Neste senso, a disposición adicional primeira da lei orgánica 3/2018, do 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais, recoñece o Esquema nacional de seguridade como un instrumento para a implementación de medidas que permitan garantir a seguridade dos datos de carácter persoal.
É preciso tamén subliñar a importancia de que o persoal do Consello de Contas forma parte activa da execución dos mecanismos e boas prácticas para garantir a seguridade da información no ámbito corporativo, que recolle tamén a presente política, recoñecendo a necesidade de que o persoal conte coa información e formación axeitadas, e coñeza as súas responsabilidades e obrigas neste ámbito.
En virtude de todo o exposto,
DISPONSE:
Artigo 1. Obxecto
Constitúe o obxecto deste acordo a aprobación da política de seguridade da información do Consello de Contas de Galicia, en diante PSI.
Artigo 2. Ámbito de aplicación
A PSI será de obrigado cumprimento para todas as persoas que accedan tanto aos sistemas de información como á propia información que sexa xestionada polo Consello de Contas, con independencia do seu destino, adscrición ou relación con el. O disposto nesta norma tamén será de aplicación aos sistemas de información que traten información clasificada, e neste caso poderán ter que adoptar medidas complementarias de seguridade, específicas para estes sistemas.
Artigo 3. Misión do Consello de Contas
O Consello de Contas, como órgano de fiscalización externa das contas e da xestión económico-financeira e contable, exercerá a súa función en relación coa execución dos programas de ingresos e gastos do sector público da Comunidade Autónoma e asesorará o Parlamento de Galicia en materia económico-financeira. Depende directamente do Parlamento de Galicia e exerce as súas funcións con plena independencia e sometemento ao ordenamento xurídico. Para garantir unha correcta xestión das finanzas públicas, o Consello de Contas asume a competencia de prevención da corrupción no ámbito do sector público da comunidade autónoma.
Artigo 4. Marco regulatorio
O marco normativo en que se desenvolven as actividades do Consello de Contas de Galicia, no ámbito da fiscalización, asesoramento específico e prevención da corrupción, sen prexuízo da lexislación específica, componse daquelas normas aplicables ao Consello de Contas de Galicia, relativas á administración electrónica, protección de datos persoais e seguridade da información, que complementen, desenvolvan o substitúan as actualmente vixentes, e que se encontren dentro do ámbito de aplicación da presente política de seguridade da información do Consello de Contas de Galicia. Unha listaxe da citada normativa figura á disposición pública na páxina web do Consello de Contas de Galicia, no enderezo da internet https://www.ccontasgalicia.es/gl
Artigo 5. Principios de seguridade da información
1. Principios básicos. Os principios básicos son directrices fundamentais de seguridade que deberán terse sempre presentes en calquera actividade relacionada co emprego dos activos de información. Estes principios básicos, no seu continuo fortalecemento e revisión, axustaranse en todo caso ás guías CCN-STIC (publicación que o Centro Criptolóxico Nacional ten como corpo de guías de seguridade das tecnoloxías da información e as comunicación). Complementando o disposto no capítulo II do Real decreto 311/2022, do 3 de maio, establécense os seguintes principios básicos:
a) Alcance estratéxico: a seguridade da información debe contar co compromiso e apoio de todos os niveis directivos, de maneira que poida estar coordinada e integrada co resto de iniciativas estratéxicas do Consello de Contas, para conformar un todo coherente e eficaz.
b) Responsabilidade diferenciada. Nos sistemas de información diferenciarase o responsable da información, que determina os requisitos de seguridade da información tratada; o responsable do servizo, que determina os requisitos de seguridade dos servizos prestados; o responsable do sistema, que ten a responsabilidade de desenvolver de forma concreta e implementar a seguridade no sistema, e da supervisión da súa operación diaria, e poderá delegar en administradores ou operadores, baixo a súa responsabilidade; e o responsable da seguridade, que será distinto do responsable do sistema, pero non deberá existir dependencia xerárquica entre ambos, e que determinará as decisións para satisfacer os requisitos de seguridade da información e dos servizos, supervisará a implantación das medidas necesarias para garantir que se satisfán os requisitos e informará sobre estas cuestións. Nos supostos de tratamentos de datos persoais identificarase amais a persoa, organismo ou unidade responsable do tratamento e, de ser o caso, o encargado do tratamento, de acordo coas definicións do artigo 4, números 7 e 8 do RXPD.
c) Seguridade integral: a seguridade entenderase como un proceso integral constituído por todos os elementos técnicos, humanos, materiais e organizativos relacionados co sistema de información, e evitarase, agás casos de urxencia ou necesidade, calquera actuación puntual ou tratamento conxuntural. A seguridade da información debe considerarse como parte da operativa habitual, e estará presente e aplicarase desde o deseño inicial dos sistemas de información.
d) Xestión dos riscos: a análise e a xestión dos riscos será parte esencial do proceso de seguridade. A xestión dos riscos permitirá o mantemento dun contorno controlado, minimizando os riscos ata niveis aceptables. A redución destes niveis realizarase co despregamento de medidas de seguridade, que establecerán un equilibrio entre a natureza dos datos e os tratamentos, o impacto e a probabilidade dos riscos a que estean expostos, e a eficacia e o custo das medidas de seguridade. Amais, as medidas de seguridade deberán garantir o cumprimento do previsto no artigo 32 do RXPD, polo que o responsable do tratamento dos datos persoais e, de ser o caso, os encargados do tratamento poderán adoptar todas aquelas medidas adicionais co fin de garantir a seguridade dos datos persoais, en virtude do disposto nos artigos 24 e 25 do RXPD; no artigo 28 da Lei orgánica 3/2018, do 5 de decembro, e no artigo 3 do Real decreto 311/2022, do 3 de maio.
e) Proporcionalidade: o establecemento de medidas de protección, detección e recuperación deberá ser proporcional aos potenciais riscos e a criticidade e valor da información e dos servizos afectados.
f) Mellora continua: as medidas de seguridade reavaliaranse e actualizaranse periodicamente para adecuar a súa eficacia á constante evolución dos riscos e sistemas de protección. A seguridade da información será atendida, revisada e auditada por persoal cualificado, instruído e coas citadas competencias entre as súas funcións.
g) Seguridade desde o deseño e por defecto: os sistemas deben deseñarse e configurarse de maneira que garantan un grao suficiente de seguridade por defecto. Amais, co fin de garantir a resiliencia e a protección de datos persoais, deben terse en conta as medidas de seguridade por defecto con base nos artigos 24 e 25 do RXPD, así como as medidas de seguridade orientadas ao risco segundo o artigo 32 do RXPD.
h) Vixilancia continua: de tal maneira que a avaliación permanente do estado da seguridade dos activos permita medir a súa evolución, detectando vulnerabilidades e identificando deficiencias de configuración. No que atinxe á xestión de incidentes que afecten datos persoais, teranse en conta as obrigas específicas de notificación, comunicación e documentación especificadas nos artigos 33 e 34 do RXPD.
2. Principios particulares e responsabilidades específicas. As directrices fundamentais de seguridade concrétanse nun conxunto de principios particulares e responsabilidades específicas, que se configuran como obxectivos instrumentais que garanten o cumprimento dos principios básicos da PSI e que inspiran as actuacións do Consello nesta materia. Establécense os seguintes principios particulares e responsabilidades específicas:
a) Protección de datos de carácter persoal: adoptaranse as medidas técnicas e organizativas destinadas a garantir o nivel de seguridade exixido pola normativa vixente en relación co tratamento dos datos de carácter persoal.
b) Xestión de activos de información: os activos de información do Consello estarán inventariados e categorizados e asociados a un responsable.
c) Seguridade ligada ás persoas: implantaranse os mecanismos necesarios para que calquera persoa que acceda, ou poida acceder, aos arquivos de información coñeza as súas responsabilidades e, deste xeito, se reduza o risco derivado dun uso indebido dos citados arquivos.
d) Seguridade física: os activos de información serán localizados en áreas seguras, protexidas por controis de acceso físicos axeitados ao seu nivel de criticidade. Os sistemas e os arquivos de información que conteñen as citadas áreas estarán suficientemente protexidos fronte a ameazas físicas ou ambientais.
e) Seguridade na xestión de comunicacións e operacións: estableceranse os procedementos necesarios para lograr unha adecuada xestión da seguridade, operación e actualización das tecnoloxías da información e comunicacións. A información que se transmita a través de redes de comunicacións deberá ser protexida axeitadamente, tendo en conta o seu nivel de seguridade.
f) Control de acceso: limitarase o acceso aos activos de información por parte dos usuarios, procesos e outros sistemas de información mediante a implantación dos mecanismos de identificación, autenticación e autorización acordes coa criticidade de cada activo. Amais, quedará rexistrada a utilización do sistema co obxecto de asegurar a rastrexabilidade do acceso e auditar o seu uso axeitado, consonte a actividade da organización.
g) Adquisición, desenvolvemento e mantemento dos sistemas de información: preveranse os aspectos de seguridade da información en todas as fases do ciclo de vida dos sistemas de información, garantindo a súa seguridade por defecto.
h) Xestión dos incidentes de seguridade: implantaranse os mecanismos axeitados para a correcta identificación, rexistro e resolución dos incidentes de seguridade.
i) Xestión da continuidade: implantaranse os mecanismos adecuados para asegurar a dispoñibilidade dos sistemas de información e manter a continuidade dos seus procesos de negocio, de acordo coas necesidades de nivel de servizo dos seus usuarios.
j) Cumprimento: adoptaranse as medidas técnicas, organizativas e procedementais necesarias para o cumprimento da normativa legal vixente en materia de seguridade da información.
3. Sen prexuízo do establecido nos números 1 e 2, a presente PSI establecerase con base nos principios básicos e desenvolverase aplicando os requisitos mínimos recollidos no capítulo II e no artigo 12.6 do Real decreto 311/2022, do 3 de maio.
4. Estes principios básicos, no seu continuo fornecemento e revisión, axustaranse ás instrucións técnicas de seguridade que publique a Secretaría de Estado de Dixitalización de Intelixencia Artificial do Ministerio de Asuntos Económicos e Transformación Dixital, así como ás guías CCN-STIC (publicacións que o Centro Criptolóxico Nacional ten como corpo de guías de seguridade das tecnoloxías da información e das comunicacións, tal e como se establece na disposición adicional segunda do Real decreto 311/2022, do 3 de maio).
Artigo 6. Estrutura organizativa
A estrutura organizativa para a xestión da seguridade da información no ámbito descrito pola PSI do Consello de Contas de Galicia estará composta polos seguintes axentes:
a) O Comité de Seguridade da Información e o responsable da seguridade.
b) O responsable de sistema.
c) O responsable da información.
d) O responsable do servizo.
e) O delegado de protección de datos.
O nomeamento dos diferentes axentes da estrutura organizativa do Consello de Contas de Galicia realizarase mediante acordo do Pleno.
Artigo 7. O Comité de Seguridade da Información e o responsable da seguridade
1. O Comité de Seguridade da Información (en diante, CSI) xestionará e coordinará todas as actividades relacionadas coa seguridade dos sistemas de información do Consello de Contas de Galicia.
2. O CSI estará composto polos seguintes membros:
a) Presidente/a: a persoa titular da Consellería Maior do Consello de Contas, que representará o Pleno na condición deste de responsable da información e de servizo.
b) Secretario/a: a persoa titular da Secretaría Xeral do Consello de Contas.
c) Vogais:
i. O/a delegado/a de protección de datos.
ii. O/a responsable do sistema.
iii. O/a administrador/a de seguridade.
3. Réxime de suplencias dos membros do CSI: no caso de vacante, ausencia ou enfermidade, así como nos casos en que sexa declarada a súa abstención ou recusación e, en xeral, cando concorra algunha causa xustificada, establécese o seguinte réxime de suplencias dos membros do CSI:
a) O/a presidente/a será substituído/a polo conselleiro/a que este designe.
b) O/a secretario/a será substituído/a pola persoa titular da Unidade Técnico-Xurídica.
c) Os vogais serán substituídos polo persoal das correspondentes unidades administrativas das cales formen parte, que deberán designarse para cada caso.
4. O CSI exercerá as seguintes funcións:
a) Elaborar e someter ao Pleno as propostas de modificación e actualización permanente que se fagan sobre a PSI.
b) Elaboración das propostas de normas de segundo e terceiro nivel a que se refire o artigo 14, e a elevación destas ao Pleno para a súa aprobación.
c) Velar polo cumprimento da PSI en impulsar o seu desenvolvemento e cumprimento normativo.
d) Promover a mellora continua da xestión na seguridade da información.
e) Proporlle ao Pleno a realización das auditorías ou autoavaliacións de seguridade e recibir información do seu resultado. Neste senso, poderá tamén definir a planificación destas actuacións, que en todo caso deberán ser regulares.
f) Solicitarlle ao Pleno a provisión dos recursos e medios necesarios para asegurar a concienciación e formación na materia de seguridade da información de todo o persoal do Consello de Contas de Galicia, así como impulsar a formación e concienciación na materia de seguridade, e elevar ao Pleno propostas de plans e iniciativas de formación.
g) A avaliación e o seguimento das decisións tomadas para satisfacer os requisitos de seguridade da información e dos servizos.
h) Compartir experiencias de éxito en materia de seguridade con todo o persoal do Consello de Contas para velar polo cumprimento da PSI e a súa normativa de desenvolvemento.
i) Elaborar e elevar ao Pleno, para a súa aprobación, os plans de mellora da seguridade no seu ámbito de competencias.
j) A revisión e a aprobación anual do proceso de xestión de riscos especificado no artigo 13.
k) A elaboración dos documentos que describan as responsabilidades de cada posto, detallados de acordo coa normativa en vigor na materia de seguridade e privacidade, e elevación destes ao Pleno para a súa aprobación.
l) Elaborar e elevar ao Pleno aqueles informes en materia de seguridade que lle sexan requiridos en materia de seguridade da información.
5. Funcións do responsable da seguridade.
O CSI asumirá na estrutura de seguridade do Consello de Contas de Galicia as funcións e competencias do responsable da seguridade. Nese concreto aspecto terá, entre outras, as seguintes funcións:
a) Promover a seguridade da información manexada e dos servizos electrónicos prestados polos sistemas de información.
b) Determinar as medidas de seguridade aplicables logo das valoracións feitas polo responsable da información e o do servizo.
c) Elaborar e aprobar a declaración de aplicabilidade, atendendo aos requirimentos do responsable da información e o do servizo.
d) Determinar a categoría do sistema, atendendo á valoración do responsable da información e do responsable do servizo.
e) Comprobar que as medidas de seguridade da información foron complementadas axeitadamente polo responsable do sistema.
f) Analizar os riscos antes de despregar sistemas de intelixencia artificial no Consello de Contas, atendendo ás valoracións do responsable da información e do responsable do servizo e, de ser o caso, do delegado de protección de datos, e supervisar o seu despregamento.
g) Xestionar os ciberincidentes, contando cos responsables da información e do servizo, cualificando a perigosidade deste con base nas recomendacións do Centro Criptolóxico Nacional nas guías CCN-STIC, actuando como punto de contacto coas autoridades competentes en materia de seguridade e, en función dos roles asignados nesta PSI, poderá notificarllas ao CCN-CERT.
h) Colaborar co delegado de protección de datos na xestión dos incidentes que afecten datos persoais, colaborando na notificación ás autoridades de control e aos afectados.
i) Colaborar, no ámbito do CSI, na elaboración da normativa de seguridade do Consello de Contas.
j) Velar polo cumprimento do corpo normativo definido no artigo 14.
k) Encargarse de que a documentación de seguridade se manteña organizada e actualizada, e de xestionar os mecanismos de acceso a ela.
l) Promover a mellora continua na xestión da seguridade da información.
m) Impulsar a formación e a concienciación en materia de seguridade da información.
n) Analizar os informes de autoavaliación e auditoría de seguridade da información, dando conta ao CSI das súas conclusións e das implicacións destas en materia de seguridade.
o) Identificar as categorías de seguridade dos sistemas de información, así como determinar as decisións para satisfacer os requisitos de seguridade da información e dos servizos.
p) Realizar as análises de riscos no seu ámbito de actuación, así como interpretar as medidas de seguridade do anexo II do Real decreto 311/2022, do 3 de maio, e proporlle ao CSI a súa ampliación ou substitución, con base no disposto no artigo 28 do Real decreto 311/2022, do 3 de maio, e asinar a declaración de aplicabilidade.
q) Nos procesos de xestión de cambios, o responsable da seguridade deberá aprobar explicitamente aqueles cambios que impliquen un risco de nivel alto, con base no disposto no anexo II do Real decreto 311/2022, do 3 de maio.
r) Obter as certificacións exixibles á figura dos responsables da seguridade, con base no disposto no artigo 13.4, do Real decreto 311/2022, do 3 de maio.
s) Determinar as decisións para satisfacer os requisitos de seguridade da información e dos servizos, supervisando a implantación destas.
t) Calquera outra función no ámbito da seguridade da información e dos servizos que lle poida ser encomendada pola normativa de seguridade, ou o Pleno do Consello de Contas de Galicia.
6. O ámbito de actuación do responsable da seguridade limitarase única e exclusivamente aos sistemas de información e servizos de tecnoloxías da información e comunicacións que sexan competencia e responsabilidade directa do Consello de Contas de Galicia.
7. As sesións do CSI consideraranse debidamente constituídas cando asistan ás súas reunións polo menos dous vogais, o/a presidente/a e o/a secretario/a. Así mesmo, cabe a posibilidade de empregar medios electrónicos para a súa realización.
O CSI poderá obter do persoal técnico, propio ou externo, a información pertinente para a toma das súas decisións. Reunirase coa periodicidade decidida pola súa Presidencia, en función das necesidades concretas en cada momento na materia de seguridade, e polo menos cunha periodicidade trimestral. Rexerase polas normas de funcionamento previstas no presente acordo do Pleno e, no non previsto nelas, polas normas previstas para os órganos colexiados na Lei 16/2010, do 17 de decembro, de organización e funcionamento da Administración xeral e do sector público autonómico de Galicia.
Artigo 8. O responsable do sistema
1. De acordo co disposto no artigo 13.2.d) do Real decreto 311/2022, do 3 de maio, o responsable do sistema, por si ou a través de recursos propios ou contratados, encargarase de desenvolver a forma concreta de implementar a seguridade no sistema e da supervisión da súa operación diaria, e poderá delegar en administradores ou operadores baixo a súa responsabilidade. Na estrutura de seguridade do Consello de Contas de Galicia as funcións e as competencias do responsable do sistema asumiraas a persoa titular da Xefatura do Servizo de Informática da institución.
2. Terá, entre outras, as seguintes funcións:
a) Definir a tipoloxía e os sistemas de xestión dos sistemas de información, para o que establecerá os criterios de uso e os servizos dispoñibles nel.
b) Corroborar que as medidas de seguridade se integran adecuadamente dentro do marco tecnolóxico de seguridade do Consello de Contas de Galicia.
c) Adoptar as medidas técnicas correctoras adecuadas de acordo coas avaliacións e auditorías de seguridade, e informar e proporlle ao Pleno da institución a adopción daquelas que superen o ámbito estritamente técnico.
d) Acordar a retirada de operación dalgunha información, servizo ou sistema na súa totalidade, durante o tempo que se considere prudente ata a satisfacción das modificacións precisas, e informarase posteriormente o Pleno dos motivos e resultados das actuacións acordadas.
e) Garantir que os dispositivos permanecen baixo control e satisfán os seus requisitos de seguridade mentres son desprazados dun lugar a outro.
f) Calquera outra función no ámbito da seguridade dos sistemas de información que, nesta condición, lle sexan encomendadas pola normativa de seguridade.
Artigo 9. O responsable da información
1. De acordo co previsto no artigo 13.2.a) do Real decreto 311/2022, do 3 de maio, o responsable da información determinará os requisitos da información tratada, e será responsable último do seu uso e acceso e, polo tanto, do seu mantemento e protección. Na estrutura de seguridade do Consello de Contas de Galicia as funcións e competencias do responsable da información asumiraas o Pleno da institución.
2. Dentro das funcións do responsable da información están as seguintes:
a) Aprobar, dento do seu ámbito de actuación e competencias, os requisitos na materia de seguridade da información tratada.
b) Determinar os niveis de seguridade da información tratada, valorando os impactos dos incidentes que afecten a seguridade da información. Para isto, o responsable da información solicitará informe do responsable da seguridade.
c) Colaborar, xunto cos responsables do servizo, e contando coa participación do responsable da seguridade, na realización das preceptivas análises de riscos e seleccionar as salvagardas que se deban implantar.
d) É o responsable de aceptar os riscos residuais respecto da información, calculados na análise de riscos.
e) Calquera outra función no ámbito da seguridade da información e dos servizos que lle poida ser encomendada pola normativa de seguridade, o CSI ou o Pleno do Consello de Contas de Galicia.
Artigo 10. O responsable do servizo
1. De acordo co previsto no artigo 13.2.b) do Real decreto 311/2022, do 3 de maio, o responsable do servizo determina os requisitos dos servizos prestados e ten a responsabilidade última do uso que se faga dos servizos baseados en tecnoloxías da información e, polo tanto, da súa protección.
2. Na estrutura de seguridade do Consello de Contas de Galicia as funcións e competencias do responsable da información asumiraas o Pleno da institución.
3. Dentro das funcións do responsable do servizo recaen as seguintes:
a) Aprobar, dentro do seu ámbito de actuación e competencias, os requisitos en materia de seguridade dos servizos prestados.
b) Determinar os niveis de seguridade no servizo, valorando o impacto dos incidentes que afecten a seguridade do servizo. Para isto, o responsable do servizo solicitará informe do responsable da seguridade.
c) Colaborar, xunto co responsable da información, e contando coa participación do responsable da seguridade, na realización das preceptivas análises de riscos e seleccionar as salvagardas que se han de implantar.
d) É responsable de aceptar os riscos residuais respecto dos servizos calculados na análise de riscos.
e) Calquera outra función no ámbito da seguridade da información e dos servizos que lle poida ser encomendada pola normativa de seguridade, o CSI ou o Pleno do Consello de Contas de Galicia.
Artigo 11. O delegado de protección de datos
1. No ámbito dos tratamentos de datos persoais, e sen prexuízo das atribucións establecidas no RXPD de forma exclusiva aos responsables e encargados dos tratamentos de datos persoais, e das atribucións exclusivas do responsable da seguridade, o delegado de protección de datos (DPD) exercerá os labores de asesoramento e supervisión no ámbito da presente norma.
2. O DPD prestará asistencia e asesoramento aos responsables do tratamento á hora de identificar os riscos e adoptar as medidas para a protección dos datos persoais, e no que atinxe á supervisión de que foron adoptadas e levadas á práctica. En calquera caso, as funcións executivas e de toma das decisións oportunas ao respecto serán de responsabilidade do Pleno do Consello de Contas, na súa calidade de responsable do tratamento.
3. O DPD exercerá labores de asistencia e asesoramento ao responsable do tratamento dos datos persoais, ao responsable da seguridade e ao responsable do sistema, nos procesos de xestión de fendas de datos persoais no ámbito da xestión xeral de incidentes de seguridade.
4. O DPD prestaralle asesoramento ao responsable da seguridade e ao responsable do sistema en relación coa implantación das medidas de seguridade que teñan un obxecto distinto da protección de datos, na medida en que impliquen un tratamento adicional de datos persoais, tal e como dispón o artigo 24 do Real decreto 311/2022.
Artigo 12. Grupos de traballo
O Comité de Seguridade da Información poderá articular a creación de grupos de traballo para realizar actividades tales como a elaboración dos estudos, traballos e informes que se consideren oportunos.
Artigo 13. Xestión dos riscos
1. A xestión dos riscos debe realizarse de maneira continua sobre os sistemas de información, conforme os principios de xestión da seguridade baseada nos riscos, vixilancia continua e reavaliación periódica previstos nos artigos 7 e 10 do Real decreto 311/2022.
2. O proceso de xestión de riscos, que comprende a definición das fases de categorización dos sistemas, análise de riscos e selección de medidas de seguridade que cumpra aplicar, que deberán ser proporcionais aos riscos e estar xustificadas, deberá ser revisado e aprobado cada ano polo Comité de Seguridade da Información, así como cando se produzan cambios na información manexada ou nos servizos prestados, ocorra un incidente grave de seguridade, se informe da existencia de vulnerabilidades graves ou se produzan modificacións na análise de riscos de protección de datos ou avaliacións de impacto.
O proceso de xestión de riscos aprobado conformará a guía metodolóxica básica para elaborar as respectivas análises de riscos e, polo tanto, facilitará a homoxeneización e comparanza dos resultados de cada unha das análises de riscos que se realicen.
3. As indicadas fases do proceso de xestión de riscos realizaranse segundo o disposto nos anexos I e II do Real decreto 311/2022 e seguindo as normas, instrucións, guías CCN-STIC e recomendacións para a súa aplicación elaboradas polo Centro Criptolóxico Nacional.
4. O responsable da seguridade será o encargado de realizar a análise de riscos no tempo e na forma establecidos, e contará coa colaboración dos correspondentes responsables do servizo e responsables da información.
5. Logo da cualificación da información e da determinación do nivel de seguridade do sistema por parte do responsable da información e do responsable do sistema, obteranse a matriz de aplicabilidade e o conxunto de medidas para garantir a confidencialidade, a integridade, a dispoñibilidade, a autenticidade e a rastrexabilidade da información do servizo. A avaliación dos riscos realizarase identificando os riscos residuais e, con base neles, determinarase o Plan de tratamento de riscos.
6. Serán responsabilidade do responsable do servizo e do responsable da información a aceptación dos riscos residuais e o impulso da execución de auditorías de seguridade, que deberán executarse con base na planificación que decida o Comité de Seguridade da Información.
7. No caso de que existan tratamentos de datos persoais, deberase ter en conta o disposto no artigo 15, de modo que os requisitos identificados conforme o citado artigo e co asesoramento específico do DPD se poidan engadir aos establecidos conforme o Real decreto 311/2022, se así for necesario, particularmente, fixando o nivel de seguridade a un nivel máis alto. Neste caso, se o resultado da análise é que os tratamentos de datos persoais fosen de alto risco, estes requisitos elaboraranse coa formalidade dunha avaliación de impacto na protección de datos, conforme o artigo 35 do RXPD e os criterios establecidos pola Axencia Española de Protección de Datos (AEPD). Neste aspecto, tamén se deberá ter en conta a regulación da seguridade nos tratamentos da datos persoais, especificados no artigo 32 do RXPD.
Artigo 14. Estrutura normativa
1. O corpo normativo sobre seguridade da información é de obrigado cumprimento e estrutúrase nos seguintes niveis relacionados xerarquicamente, de maneira que cada norma dun determinado nivel de desenvolvemento se fundamente nas normas de nivel superior:
a) Primeiro nivel normativo: está constituído pola PSI. Amais, inclúe a normativa e disposicións xerais en materia de seguridade que sexan de aplicación ao Consello de Contas de Galicia.
b) Segundo nivel normativo: está constituído polas resolucións en materia de seguridade que se definan en cada ámbito organizativo de aplicación específico. As resolucións, que comprenderán os procedementos, as normas, as instrucións técnicas de seguridade e as recomendacións de seguridade, serán de obrigado cumprimento. Os seus corpos documentais, debidamente aprobados polo Pleno, deberán estar dispoñibles para a súa consulta xeral na rede interna de información do Consello de Contas de Galicia.
c) Terceiro nivel normativo: está constituído polo conxunto de procedementos técnicos orientados a resolver as tarefas consideradas críticas polo prexuízo que causaría unha actuación inadecuada de seguridade, desenvolvemento, mantemento e explotación dos sistemas de información. Considéranse incluídas neste nivel normativo:
I. As guías de seguridade das tecnoloxías da información e comunicación elaboradas polo Centro Criptolóxico Nacional (guías CCN-STIC).
II. As normas e as recomendacións aprobadas por órganos ou organismos con competencia reguladora nas materias de seguridade ou de protección de datos, como son o Centro Criptolóxico Nacional ou a Axencia Española de Protección de Datos.
III. O conxunto de procedementos técnicos elaborados e aprobados polo responsable da seguridade.
IV. Recomendacións, guías de configuración e boas prácticas publicadas por organismos ou organizacións internacionais, e polos fabricantes de produtos de seguridade, debidamente declarados incluídos nesta categoría polo responsable da seguridade.
2. Amais da normativa enunciada no número 1, a estrutura normativa poderá dispor de documentos complementarios, como estándares de seguridade, boas prácticas ou informes técnicos, debidamente declarados incluídos nesta categoría polo responsable da seguridade.
3. O persoal do Consello de Contas de Galicia terá a obriga de coñecer e cumprir, amais da presente PSI, todas as directrices xerais, normas e procedementos de seguridade da información que poidan afectar as súas funcións.
4. O CSI establecerá os mecanismos necesarios para compartir a documentación derivada do desenvolvemento normativo co propósito de normalizalo, no ámbito de aplicación da PSI.
5. Este marco normativo estará á disposición do persoal do Consello de Contas de Galicia e daqueles outros organismos, públicos ou privados que formen parte do ámbito de aplicación da PSI.
Artigo 15. Protección de datos de carácter persoal
1. Aplicaránselles aos datos de carácter persoal que sexan obxecto de tratamento por parte do Consello de Contas de Galicia as medidas de seguridade apropiadas derivadas das análises de riscos e avaliacións de impacto relativas á protección de datos, que se detallan no RXPD na Lei orgánica 3/2018, do 5 de decembro.
2. Amais, aplicaranse as medidas correspondentes ao anexo II do Real decreto 311/2022, do 3 de maio. No caso de que a análise de riscos determine medidas agravadas respecto á normativa recollida nas medidas do citado anexo, as medidas derivadas da análise de riscos serán as que se implementarán na protección de datos de carácter persoal.
3. En particular, terase en conta o artigo 32 do RXPD, no que atinxe á exixencia dunha identificación de riscos específicos para os dereitos e liberdades das persoas en relación cos tratamentos de datos persoais, que debe ser previo á análise de riscos dos sistemas onde se implementen os citados tratamentos, de forma que o nivel de seguridade sexa adecuado ao risco que os tratamentos de datos persoais supoñen para os dereitos e liberdades das persoas.
4. O Consello de Contas, por proposta do responsable do sistema, poderá implementar tratamentos de datos persoais como consecuencia da implantación de medidas de seguridade que teñan un obxecto distinto que a protección de datos persoais, con base no disposto no artigo 24 do Real decreto 311/2022, do 3 de maio, e tendo en conta, entre outros, os principios de limitación da finalidade; a prohibición do tratamento de datos persoais para fins distintos; o principio de minimización de datos, identificando os datos persoais ou as categorías de datos persoais que poidan ser tratados; e o de limitación de prazos de conservación, identificando os prazos máximos de conservación de datos persoais.
Artigo 16. Terceiros
1. Cando o Consello de Contas empregue servizos ou manexe información doutras entidades, faráselles partícipes desta PSI, estableceranse canles de información e coordinación dos respectivos comités de seguridade das TIC e estableceranse procedementos de actuación para a reacción ante incidentes de seguridade. No caso de adquirirse dereitos de uso de activos na nube, ou desenvolver ou implantar un sistema de intelixencia artificial, deberá contar cun informe do responsable da seguridade, que consultará aos responsables da información e de servizo e, cando sexa necesario, ao do sistema e ao delegado de protección de datos.
2. Cando o Consello de Contas preste servizos ou ceda información a terceiros, faranse partícipes desta PSI e da normativa de seguridade que cumpra os citados servizos e información. Estes quedarán suxeitos ás obrigas establecidas na dita normativa e poderán desenvolver os seus propios procedementos operativos para satisfacela. Estableceranse procedementos específicos de informe e resolución de incidentes e garantirase que o persoal dos terceiros estea concienciado axeitadamente en materia de seguridade.
3. Cando algún aspecto da PSI non poida ser formalizado por unha terceira parte segundo se establece nos parágrafos anteriores, requirirase un informe do responsable da seguridade que precise os riscos en que se incorre e a forma de tratalos. O citado informe deberán aprobalo os responsables da información e os servizos afectados.
Artigo 17. Concienciación e formación
1. Todo o persoal relacionado coa información, cos servizos e cos sistemas de información deberá ser formado e informado dos seus deberes e obrigas en materia de seguridade da información.
2. Para garantir a seguridade das tecnoloxías da información aplicables aos sistemas e servizos do Consello de Contas de Galicia, articularanse os mecanismos necesarios para levar á práctica a concienciación e a formación específica necesaria e imprescindible en todos os niveis da organización.
Artigo 18. Resolución de conflitos
Correspóndelle ao Comité de Seguridade da Información resolver os conflitos de competencia en materia de seguridade da información que puideren aparecer entre os diferentes responsables e encargados no ámbito da seguridade. Informaráselle ao Pleno na súa materia, no resto de conflitos de competencia que se poidan suscitar e teñan relación coa seguridade.
Artigo 19. Xestión de incidentes de seguridade
O Consello de Contas de Galicia disporá dun procedemento para a xestión áxil dos eventos e incidentes de seguridade que supoñan unha ameaza para a información e os servizos.
Este procedemento integrarase con outros relacionados cos incidentes de seguridade doutras normas sectoriais como a de protección de datos persoais ou outra que afecte o organismo para coordinar a resposta desde os diferentes enfoques e comunicárllelo aos diferentes organismos de control sen dilacións indebidas e, cando proceda, ás forzas e corpos de seguridade do Estado e aos órganos competentes do poder xudicial.
Disposición adicional primeira. Actualización permanente da política de seguridade da información
O presente acordo deberá manterse actualizado permanentemente para adecualo ao progreso dos servizos da administración dixital, á evolución tecnolóxica e ao desenvolvemento da sociedade da información, así como aos estándares internacionais en materia de seguridade. As propostas das sucesivas revisións correspóndenlle ao CSI, de conformidade co artigo 7.
Disposición derrogatoria única. Derrogación normativa
Derróganse cantas disposicións de igual ou inferior rango se opoñan ao establecido no presente acordo, en particular o Acordo do Pleno do Consello de Contas de Galicia do 21 de novembro do 2023 no que atinxe ao CSI.
Disposición derradeira primeira. Publicidade da política de seguridade da información
O presente acordo publicarase, amais de no Diario Oficial de Galicia, na sede electrónica do Consello de Contas de Galicia, e daráselle a coñecer á totalidade do persoal do Consello.
Disposición derradeira segunda. Entrada en vigor
O presente acordo, que aproba a política de seguridade da información do Consello de Contas de Galicia, entrará en vigor o día seguinte ao da súa publicación no Diario Oficial de Galicia.