Dando cumprimento ao disposto na disposição derradeiro primeira do Acordo do Pleno de 10 de julho de 2025 pelo que se aprova a política de segurança da informação (PSI) do Conselho de Contas da Galiza,
RESOLVO:
Ordenar a publicação do Acordo do Pleno do Conselho de Contas da Galiza, de 10 de julho de 2025, pelo que se aprova a política de segurança da informação (PSI) do Conselho de Contas da Galiza, que figura como anexo desta resolução.
Santiago de Compostela, 15 de julho de 2025
Juan Carlos Aladro Fernández
Conselheiro maior do Conselho de Contas da Galiza
ANEXO
Acordo de 10 de julho de 2025 pelo que se aprova a política de segurança
da informação (PSI) do Conselho de Contas da Galiza
O marco da relação entre as instituições públicas e os cidadãos empregando meios electrónicos encontra-se estabelecido na Lei 39/2015, de 1 de outubro, do procedimento administrativo comum das administrações públicas. Por outra parte, o artigo 156 da Lei 40/2015, de 1 de outubro, de regime jurídico do sector público, define o Esquema nacional de segurança, que tem por objecto estabelecer a política de segurança no emprego de meios electrónicos no âmbito da citada norma, que está constituído pelos princípios básicos e requisitos mínimos que garantem adequadamente a segurança da informação tratada. Esta disposição foi desenvolvida pelo Real decreto 311/2022, de 3 de maio, pelo que se regula o Esquema nacional de segurança.
O Real decreto 311/2022, de 3 de maio, tem por objecto estabelecer os princípios e requisitos de uma política de segurança no emprego de meios electrónicos que permita a protecção ajeitada da informação. O seu artigo 12 dispõe que a política de segurança se estabelecerá com base nos princípios básicos recolhidos no capítulo II do real decreto (segurança como processo integral; gestão da segurança baseada nos riscos; prevenção, detecção, resposta e conservação; existência de linhas de defesa; vigilância contínua; reavaliación periódica; diferenciação de responsabilidades). Por sua parte, o seu artigo 13 exixir que a política de segurança identifique uns claros responsáveis por velar pelo seu cumprimento.
Neste marco normativo, o presente acordo tem por objecto aprovar a política de segurança da informação do Conselho de Contas da Galiza. Para a sua elaboração tiveram-se em conta, amais da normativa já citada, as recomendações e guias do Centro Criptolóxico Nacional (guias CCN-STIC da série 800 relacionadas com o Esquema nacional de segurança).
Dentro dos princípios particulares é preciso salientar o da protecção dos dados de carácter pessoal, que amais tem uma regulação específica recolhida nesta política, o que permitirá garantir, de uma forma consistente na presente norma, a segurança dos tratamentos de dados pessoais com base no artigo 32 do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril, relativo à protecção das pessoas físicas no que atinge ao tratamento dos dados pessoais e à livre circulação desses dados e pelo que se derrogar a Directiva 95/46/CE (Regulamento geral e protecção de dados ou RXPD). Neste senso, a disposição adicional primeira da lei orgânica 3/2018, de 5 de dezembro, de protecção de dados pessoais e garantia dos direitos digitais, reconhece o Esquema nacional de segurança como um instrumento para a implementación de medidas que permitam garantir a segurança dos dados de carácter pessoal.
É preciso também sublinhar a importância de que o pessoal do Conselho de Contas faz parte activa da execução dos mecanismos e boas práticas para garantir a segurança da informação no âmbito corporativo, que recolhe também a presente política, reconhecendo a necessidade de que o pessoal conte com a informação e formação ajeitadas, e conheça as suas responsabilidades e obrigações neste âmbito.
Em virtude de todo o exposto,
DISPÕEM-SE:
Artigo 1. Objecto
Constitui o objecto deste acordo a aprovação da política de segurança da informação do Conselho de Contas da Galiza, em diante PSI.
Artigo 2. Âmbito de aplicação
A PSI será de obrigado cumprimento para todas as pessoas que acedam tanto aos sistemas de informação como à própria informação que seja gerida pelo Conselho de Contas, com independência do seu destino, adscrição ou relação com ele. O disposto nesta norma também será de aplicação aos sistemas de informação que tratem informação classificada, e neste caso poderão ter que adoptar medidas complementares de segurança, específicas para estes sistemas.
Artigo 3. Missão do Conselho de Contas
O Conselho de Contas, como órgão de fiscalização externa das contas e da gestão económico-financeira e contável, exercerá a sua função em relação com a execução dos programas de receitas e despesas do sector público da Comunidade Autónoma e asesorará o Parlamento da Galiza em matéria económico-financeira. Depende directamente do Parlamento da Galiza e exerce as suas funções com plena independência e sometemento ao ordenamento jurídico. Para garantir uma correcta gestão das finanças públicas, o Conselho de Contas assume a competência de prevenção da corrupção no âmbito do sector público da comunidade autónoma.
Artigo 4. Marco regulatorio
O marco normativo em que se desenvolvem as actividades do Conselho de Contas da Galiza, no âmbito da fiscalização, asesoramento específico e prevenção da corrupção, sem prejuízo da legislação específica, compõem daquelas normas aplicável ao Conselho de Contas da Galiza, relativas à administração electrónica, protecção de dados pessoais e segurança da informação, que complementem, desenvolvam o substituam as actualmente vigentes, e que se encontrem dentro do âmbito de aplicação da presente política de segurança da informação do Conselho de Contas da Galiza. Uma listagem da citada normativa figura à disposição pública na página web do Conselho de Contas da Galiza, no endereço da internet https://www.ccontasgalicia.es/gl
Artigo 5. Princípios de segurança da informação
1. Princípios básicos. Os princípios básicos são directrizes fundamentais de segurança que deverão ter-se sempre presentes em qualquer actividade relacionada com o emprego dos activos de informação. Estes princípios básicos, no seu contínuo fortalecimento e revisão, ajustar-se-ão em todo o caso às guias CCN-STIC (publicação que o Centro Criptolóxico Nacional tem como corpo de guias de segurança das tecnologias da informação e as comunicação). Complementando o disposto no capítulo II do Real decreto 311/2022, de 3 de maio, estabelecem-se os seguintes princípios básicos:
a) Alcance estratégico: a segurança da informação deve contar com o compromisso e apoio de todos os níveis directivos, de maneira que possa estar coordenada e integrada com o resto de iniciativas estratégicas do Conselho de Contas, para conformar um todo coherente e eficaz.
b) Responsabilidade diferenciada. Nos sistemas de informação diferenciar-se-á o responsável pela informação, que determina os requisitos de segurança da informação tratada; o responsável pelo serviço, que determina os requisitos de segurança dos serviços prestados; o responsável pelo sistema, que tem a responsabilidade de desenvolver de forma concreta e implementar a segurança no sistema, e da supervisão da sua operação diária, e poderá delegar em administradores ou operadores, baixo a sua responsabilidade; e o responsável pela segurança, que será diferente do responsável pelo sistema, mas não deverá existir dependência xerárquica entre ambos, e que determinará as decisões para satisfazer os requisitos de segurança da informação e dos serviços, supervisionará a implantação das medidas necessárias para garantir que se satisfazem os requisitos e informará sobre estas questões. Nos supostos de tratamentos de dados pessoais identificar-se-á amais a pessoa, organismo ou unidade responsável do tratamento e, de ser o caso, o encarregado do tratamento, de acordo com as definições do artigo 4, números 7 e 8 do RXPD.
c) Segurança integral: a segurança perceber-se-á como um processo integral constituído por todos os elementos técnicos, humanos, materiais e organizativo relacionados com o sistema de informação, e evitar-se-á, excepto casos de urgência ou necessidade, qualquer actuação pontual ou tratamento conxuntural. A segurança da informação deve considerar-se como parte da operativa habitual, e estará presente e aplicar-se-á desde o desenho inicial dos sistemas de informação.
d) Gestão dos riscos: a análise e a gestão dos riscos será parte essencial do processo de segurança. A gestão dos riscos permitirá a manutenção de um contorno controlado, minimizando os riscos até níveis aceitáveis. A redução destes níveis realizar-se-á com o despregamento de medidas de segurança, que estabelecerão um equilíbrio entre a natureza dos dados e os tratamentos, o impacto e a probabilidade dos riscos a que estejam expostos, e a eficácia e o custo das medidas de segurança. Amais, as medidas de segurança deverão garantir o cumprimento do previsto no artigo 32 do RXPD, pelo que o responsável pelo tratamento dos dados pessoais e, de ser o caso, os encarregados do tratamento poderão adoptar todas aquelas medidas adicionais com o fim de garantir a segurança dos dados pessoais, em virtude do disposto nos artigos 24 e 25 do RXPD; no artigo 28 da Lei orgânica 3/2018, de 5 de dezembro, e no artigo 3 do Real decreto 311/2022, de 3 de maio.
e) Proporcionalidade: o estabelecimento de medidas de protecção, detecção e recuperação deverá ser proporcional aos potenciais riscos e a criticidade e valor da informação e dos serviços afectados.
f) Melhora contínua: as medidas de segurança reavaliaranse e actualizar-se-ão periodicamente para adecuar a sua eficácia à constante evolução dos riscos e sistemas de protecção. A segurança da informação será atendida, revista e auditar por pessoal qualificado, instruído e com as citadas competências entre as suas funções.
g) Segurança desde o desenho e por defeito: os sistemas devem desenhar-se e configurar-se de maneira que garantam um grau suficiente de segurança por defeito. Amais, com o fim de garantir a resiliencia e a protecção de dados pessoais, devem ter-se em conta as medidas de segurança por defeito com base nos artigos 24 e 25 do RXPD, assim como as medidas de segurança orientadas ao risco segundo o artigo 32 do RXPD.
h) Vigilância contínua: de tal maneira que a avaliação permanente do estado da segurança dos activos permita medir a sua evolução, detectando vulnerabilidades e identificando deficiências de configuração. No que atinge à gestão de incidentes que afectem dados pessoais, ter-se-ão em conta as obrigações específicas de notificação, comunicação e documentação especificadas nos artigos 33 e 34 do RXPD.
2. Princípios particulares e responsabilidades específicas. As directrizes fundamentais de segurança concretizam-se num conjunto de princípios particulares e responsabilidades específicas, que se configuram como objectivos instrumentais que garantem o cumprimento dos princípios básicos da PSI e que inspiram as actuações do Conselho nesta matéria. Estabelecem-se os seguintes princípios particulares e responsabilidades específicas:
a) Protecção de dados de carácter pessoal: adoptar-se-ão as medidas técnicas e organizativo destinadas a garantir o nível de segurança exixir pela normativa vigente em relação com o tratamento dos dados de carácter pessoal.
b) Gestão de activos de informação: os activos de informação do Conselho estarão inventariados e categorizados e associados a um responsável.
c) Segurança ligada às pessoas: implantar-se-ão os mecanismos necessários para que qualquer pessoa que aceda, ou possa aceder, aos arquivos de informação conheça as suas responsabilidades e, deste modo, se reduza o risco derivado de um uso indebido dos citados arquivos.
d) Segurança física: os activos de informação serão localizados em áreas seguras, protegidas por controlos de acesso físicos ajeitado ao seu nível de criticidade. Os sistemas e os arquivos de informação que contêm as citadas áreas estarão suficientemente protegidos face a ameaças físicas ou ambientais.
e) Segurança na gestão de comunicações e operações: estabelecer-se-ão os procedimentos necessários para alcançar uma adequada gestão da segurança, operação e actualização das tecnologias da informação e comunicações. A informação que se transmita através de redes de comunicações deverá ser protegida adequadamente, tendo em conta o seu nível de segurança.
f) Controlo de acesso: limitar-se-á o acesso aos activos de informação por parte dos utentes, processos e outros sistemas de informação mediante a implantação dos mecanismos de identificação, autenticação e autorização acordes com a criticidade de cada activo. Amais, ficará registada a utilização do sistema com o objecto de assegurar a rastrexabilidade do acesso e auditar o seu uso ajeitado, consonte a actividade da organização.
g) Aquisição, desenvolvimento e manutenção dos sistemas de informação: prever-se-ão os aspectos de segurança da informação em todas as fases do ciclo de vida dos sistemas de informação, garantindo a sua segurança por defeito.
h) Gestão dos incidentes de segurança: implantar-se-ão os mecanismos ajeitados para a correcta identificação, registro e resolução dos incidentes de segurança.
i) Gestão da continuidade: implantar-se-ão os mecanismos adequados para assegurar a disponibilidade dos sistemas de informação e manter a continuidade dos seus processos de negócio, de acordo com as necessidades de nível de serviço dos seus utentes.
j) Cumprimento: adoptar-se-ão as medidas técnicas, organizativo e procedementais necessárias para o cumprimento da normativa legal vigente em matéria de segurança da informação.
3. Sem prejuízo do estabelecido nos números 1 e 2, a presente PSI estabelecer-se-á com base nos princípios básicos e desenvolver-se-á aplicando os requisitos mínimos recolhidos no capítulo II e no artigo 12.6 do Real decreto 311/2022, de 3 de maio.
4. Estes princípios básicos, no seu contínuo fornecimento e revisão, ajustarão às instruções técnicas de segurança que publique a Secretaria de Estado de Digitalização de Inteligência Artificial do Ministério de Assuntos Económicos e Transformação Digital, assim como às guias CCN-STIC (publicações que o Centro Criptolóxico Nacional tem como corpo de guias de segurança das tecnologias da informação e das comunicações, tal e como se estabelece na disposição adicional segunda do Real decreto 311/2022, de 3 de maio).
Artigo 6. Estrutura organizativo
A estrutura organizativo para a gestão da segurança da informação no âmbito descrito pela PSI do Conselho de Contas da Galiza estará composta pelos seguintes agentes:
a) O Comité de Segurança da Informação e o responsável pela segurança.
b) O responsável por sistema.
c) O responsável pela informação.
d) O responsável pelo serviço.
e) O delegado de protecção de dados.
A nomeação dos diferentes agentes da estrutura organizativo do Conselho de Contas da Galiza realizar-se-á mediante acordo do Pleno.
Artigo 7. O Comité de Segurança da Informação e o responsável pela segurança
1. O Comité de Segurança da Informação (em diante, CSI) gerirá e coordenará todas as actividades relacionadas com a segurança dos sistemas de informação do Conselho de Contas da Galiza.
2. O CSI estará composto pelos seguintes membros:
a) Presidente/a: a pessoa titular da Conselharia Maior do Conselho de Contas, que representará o Pleno na condição deste de responsável pela informação e de serviço.
b) Secretário/a: a pessoa titular da Secretaria-Geral do Conselho de Contas.
c) Vogais:
i. O/a delegado/a de protecção de dados.
ii. O/a responsável pelo sistema.
iii. O/a administrador/a de segurança.
3. Regime de suplencias dos membros do CSI: no caso de vaga, ausência ou doença, assim como nos casos em que seja declarada a sua abstenção ou recusación e, em geral, quando concorra alguma causa justificada, estabelece-se o seguinte regime de suplencias dos membros do CSI:
a) O/a presidente/a será substituído/a pelo conselheiro/a que este designe.
b) O/a secretário/a será substituído/a pela pessoa titular da Unidade Técnico-Jurídica.
c) Os vogais serão substituídos pelo pessoal das correspondentes unidades administrativas das quais façam, que deverão designar para cada caso.
4. O CSI exercerá as seguintes funções:
a) Elaborar e submeter ao Pleno as propostas de modificação e actualização permanente que se façam sobre a PSI.
b) Elaboração das propostas de normas de segundo e terceiro nível a que se refere o artigo 14, e a elevação destas ao Pleno para a sua aprovação.
c) Velar pelo cumprimento da PSI em impulsionar o seu desenvolvimento e cumprimento normativo.
d) Promover a melhora contínua da gestão na segurança da informação.
e) Propor-lhe ao Pleno a realização das auditoria ou autoavaliacións de segurança e receber informação do seu resultado. Neste senso, poderá também definir o planeamento destas actuações, que em todo o caso deverão ser regulares.
f) Solicitar-lhe ao Pleno a provisão dos recursos e meios necessários para assegurar a conscienciação e formação na matéria de segurança da informação de todo o pessoal do Conselho de Contas da Galiza, assim como impulsionar a formação e conscienciação na matéria de segurança, e elevar ao Pleno propostas de planos e iniciativas de formação.
g) A avaliação e o seguimento das decisões tomadas para satisfazer os requisitos de segurança da informação e dos serviços.
h) Partilhar experiências de sucesso em matéria de segurança contudo o pessoal do Conselho de Contas para velar pelo cumprimento da PSI e a sua normativa de desenvolvimento.
i) Elaborar e elevar ao Pleno, para a sua aprovação, os planos de melhora da segurança no seu âmbito de competências.
j) A revisão e a aprovação anual do processo de gestão de riscos especificado no artigo 13.
k) A elaboração dos documentos que descrevam as responsabilidades de cada posto, detalhados de acordo com a normativa em vigor na matéria de segurança e privacidade, e elevação destes ao Pleno para a sua aprovação.
l) Elaborar e elevar ao Pleno aqueles relatórios em matéria de segurança que lhe sejam requeridos em matéria de segurança da informação.
5. Funções do responsável pela segurança.
O CSI assumirá na estrutura de segurança do Conselho de Contas da Galiza as funções e competências do responsável pela segurança. Nesse concreto aspecto terá, entre outras, as seguintes funções:
a) Promover a segurança da informação manejada e dos serviços electrónicos prestados pelos sistemas de informação.
b) Determinar as medidas de segurança aplicável depois das valorações feitas pelo responsável pela informação e o do serviço.
c) Elaborar e aprovar a declaração de aplicabilidade, atendendo aos requerimento do responsável pela informação e o do serviço.
d) Determinar a categoria do sistema, atendendo à valoração do responsável pela informação e do responsável pelo serviço.
e) Comprovar que as medidas de segurança da informação foram complementadas adequadamente pelo responsável pelo sistema.
f) Analisar os riscos antes de despregar sistemas de inteligência artificial no Conselho de Contas, atendendo às valorações do responsável pela informação e do responsável pelo serviço e, de ser o caso, do delegar de protecção de dados, e supervisionar o seu despregamento.
g) Gerir os ciberincidentes, contando com os responsáveis pela informação e do serviço, qualificando a perigosidade deste com base nas recomendações do Centro Criptolóxico Nacional nas guias CCN-STIC, actuando como ponto de contacto com as autoridades competente em matéria de segurança e, em função dos róis atribuídos nesta PSI, poderá lhe as notificar ao CCN-CERT.
h) Colaborar com o delegar de protecção de dados na gestão dos incidentes que afectem dados pessoais, colaborando na notificação às autoridades de controlo e aos afectados.
i) Colaborar, no âmbito do CSI, na elaboração da normativa de segurança do Conselho de Contas.
j) Velar pelo cumprimento do corpo normativo definido no artigo 14.
k) Encarregar-se de que a documentação de segurança se mantenha organizada e actualizada, e de gerir os mecanismos de acesso a ela.
l) Promover a melhora contínua na gestão da segurança da informação.
m) Impulsionar a formação e a conscienciação em matéria de segurança da informação.
n) Analisar os relatórios de autoavaliación e auditoria de segurança da informação, dando conta ao CSI das suas conclusões e dos envolvimentos destas em matéria de segurança.
o) Identificar as categorias de segurança dos sistemas de informação, assim como determinar as decisões para satisfazer os requisitos de segurança da informação e dos serviços.
p) Realizar as análises de riscos no seu âmbito de actuação, assim como interpretar as medidas de segurança do anexo II do Real decreto 311/2022, de 3 de maio, e propor-lhe ao CSI a sua ampliação ou substituição, com base no disposto no artigo 28 do Real decreto 311/2022, de 3 de maio, e assinar a declaração de aplicabilidade.
q) Nos processos de gestão de mudanças, o responsável pela segurança deverá aprovar explicitamente aquelas mudanças que impliquem um risco de nível alto, com base no disposto no anexo II do Real decreto 311/2022, de 3 de maio.
r) Obter as certificações exixibles à figura dos responsáveis pela segurança, com base no disposto no artigo 13.4, do Real decreto 311/2022, de 3 de maio.
s) Determinar as decisões para satisfazer os requisitos de segurança da informação e dos serviços, supervisionando a implantação destas.
t) Qualquer outra função no âmbito da segurança da informação e dos serviços que lhe possa ser encomendada pela normativa de segurança, ou o Pleno do Conselho de Contas da Galiza.
6. O âmbito de actuação do responsável pela segurança limitar-se-á única e exclusivamente aos sistemas de informação e serviços de tecnologias da informação e comunicações que sejam competência e responsabilidade directa do Conselho de Contas da Galiza.
7. As sessões do CSI considerar-se-ão devidamente constituídas quando assistam às suas reuniões ao menos dois vogais, o/a presidente/a e o/a secretário/a. Além disso, cabe a possibilidade de empregar meios electrónicos para a sua realização.
O CSI poderá obter do pessoal técnico, próprio ou externo, a informação pertinente para a toma das suas decisões. Reunir-se-á com a periodicidade decidida pela sua Presidência, em função das necessidades concretas em cada momento na matéria de segurança, e ao menos com uma periodicidade trimestral. Regerá pelas normas de funcionamento previstas no presente acordo do Pleno e, no não previsto nelas, pelas normas previstas para os órgãos colexiados na Lei 16/2010, de 17 de dezembro, de organização e funcionamento da Administração geral e do sector público autonómico da Galiza.
Artigo 8. O responsável pelo sistema
1. De acordo com o disposto no artigo 13.2.d) do Real decreto 311/2022, de 3 de maio, o responsável pelo sistema, por sim ou através de recursos próprios ou contratados, encarregar-se-á de desenvolver a forma concreta de implementar a segurança no sistema e da supervisão da sua operação diária, e poderá delegar em administradores ou operadores baixo a sua responsabilidade. Na estrutura de segurança do Conselho de Contas da Galiza as funções e as competências do responsável pelo sistema assumi-las-á a pessoa titular da Chefatura do Serviço de Informática da instituição.
2. Terá, entre outras, as seguintes funções:
a) Definir a tipoloxía e os sistemas de gestão dos sistemas de informação, para o que estabelecerá os critérios de uso e os serviços disponíveis nele.
b) Corroborar que as medidas de segurança se integram adequadamente dentro do marco tecnológico de segurança do Conselho de Contas da Galiza.
c) Adoptar as medidas técnicas correctoras adequadas de acordo com as avaliações e auditoria de segurança, e informar e propor-lhe ao Pleno da instituição a adopção daquelas que superem o âmbito estritamente técnico.
d) Acordar a retirada de operação de alguma informação, serviço ou sistema na sua totalidade, durante o tempo que se considere prudente até a satisfacção das modificações precisas, e informar-se-á posteriormente o Pleno dos motivos e resultados das actuações acordadas.
e) Garantir que os dispositivos permanecem sob controlo e satisfazem os seus requisitos de segurança enquanto são deslocados de um lugar a outro.
f) Qualquer outra função no âmbito da segurança dos sistemas de informação que, nesta condição, lhe sejam encomendadas pela normativa de segurança.
Artigo 9. O responsável pela informação
1. De acordo com o previsto no artigo 13.2.a) do Real decreto 311/2022, de 3 de maio, o responsável pela informação determinará os requisitos da informação tratada, e será responsável último do seu uso e acesso e, portanto, do sua manutenção e protecção. Na estrutura de segurança do Conselho de Contas da Galiza as funções e competências do responsável pela informação assumi-las-á o Pleno da instituição.
2. Dentro das funções do responsável pela informação estão as seguintes:
a) Aprovar, dento do seu âmbito de actuação e competências, os requisitos na matéria de segurança da informação tratada.
b) Determinar os níveis de segurança da informação tratada, valorando os impactos dos incidentes que afectem a segurança da informação. Para isto, o responsável pela informação solicitará relatório do responsável pela segurança.
c) Colaborar, junto com os responsáveis pelo serviço, e contando com a participação do responsável pela segurança, na realização das preceptivas análises de riscos e seleccionar as salvaguardar que se devam implantar.
d) É o responsável por aceitar os riscos residuais a respeito da informação, calculados na análise de riscos.
e) Qualquer outra função no âmbito da segurança da informação e dos serviços que lhe possa ser encomendada pela normativa de segurança, o CSI ou o Pleno do Conselho de Contas da Galiza.
Artigo 10. O responsável pelo serviço
1. De acordo com o previsto no artigo 13.2.b) do Real decreto 311/2022, de 3 de maio, o responsável pelo serviço determina os requisitos dos serviços prestados e tem a responsabilidade última do uso que se faça dos serviços baseados em tecnologias da informação e, portanto, da sua protecção.
2. Na estrutura de segurança do Conselho de Contas da Galiza as funções e competências do responsável pela informação assumi-las-á o Pleno da instituição.
3. Dentro das funções do responsável pelo serviço recaen as seguintes:
a) Aprovar, dentro do seu âmbito de actuação e competências, os requisitos em matéria de segurança dos serviços prestados.
b) Determinar os níveis de segurança no serviço, valorando o impacto dos incidentes que afectem a segurança do serviço. Para isto, o responsável pelo serviço solicitará relatório do responsável pela segurança.
c) Colaborar, junto com o responsável pela informação, e contando com a participação do responsável pela segurança, na realização das preceptivas análises de riscos e seleccionar as salvaguardar que se hão de implantar.
d) É responsável por aceitar os riscos residuais a respeito dos serviços calculados na análise de riscos.
e) Qualquer outra função no âmbito da segurança da informação e dos serviços que lhe possa ser encomendada pela normativa de segurança, o CSI ou o Pleno do Conselho de Contas da Galiza.
Artigo 11. O delegado de protecção de dados
1. No âmbito dos tratamentos de dados pessoais, e sem prejuízo das atribuições estabelecidas no RXPD de forma exclusiva aos responsáveis e encarregados dos tratamentos de dados pessoais, e das atribuições exclusivas do responsável pela segurança, o delegado de protecção de dados (DPD) exercerá os labores de asesoramento e supervisão no âmbito da presente norma.
2. O DPD prestará assistência e asesoramento aos responsáveis pelo tratamento à hora de identificar os riscos e adoptar as medidas para a protecção dos dados pessoais, e no que atinge à supervisão de que foram adoptadas e levadas à prática. Em qualquer caso, as funções executivas e de tomada das decisões oportunas ao respeito serão de responsabilidade do Pleno do Conselho de Contas, na sua qualidade de responsável pelo tratamento.
3. O DPD exercerá labores de assistência e asesoramento ao responsável pelo tratamento dos dados pessoais, ao responsável pela segurança e ao responsável pelo sistema, nos processos de gestão de fendas de dados pessoais no âmbito da gestão geral de incidentes de segurança.
4. O DPD prestar-lhe-á asesoramento ao responsável pela segurança e ao responsável pelo sistema em relação com a implantação das medidas de segurança que tenham um objecto diferente da protecção de dados, na medida em que impliquem um tratamento adicional de dados pessoais, tal e como dispõe o artigo 24 do Real decreto 311/2022.
Artigo 12. Grupos de trabalho
O Comité de Segurança da Informação poderá articular a criação de grupos de trabalho para realizar actividades tais como a elaboração dos estudos, trabalhos e relatórios que se considerem oportunos.
Artigo 13. Gestão dos riscos
1. A gestão dos riscos deve realizar-se de maneira contínua sobre os sistemas de informação, conforme os princípios de gestão da segurança baseada nos riscos, vigilância contínua e reavaliación periódica previstos nos artigos 7 e 10 do Real decreto 311/2022.
2. O processo de gestão de riscos, que compreende a definição das fases de categorización dos sistemas, análise de riscos e selecção de medidas de segurança que cumpra aplicar, que deverão ser proporcionais aos riscos e estar justificadas, deverá ser revisto e aprovado cada ano pelo Comité de Segurança da Informação, assim como quando se produzam mudanças na informação manejada ou nos serviços prestados, ocorra um incidente grave de segurança, se informe da existência de vulnerabilidades graves ou se produzam modificações na análise de riscos de protecção de dados ou avaliações de impacto.
O processo de gestão de riscos aprovado conformará a guia metodolóxica básica para elaborar as respectivas análises de riscos e, portanto, facilitará a homoxeneización e comparanza dos resultados de cada uma das análises de riscos que se realizem.
3. As indicadas fases do processo de gestão de riscos realizar-se-ão segundo o disposto nos anexo I e II do Real decreto 311/2022 e seguindo as normas, instruções, guias CCN-STIC e recomendações para a sua aplicação elaboradas pelo Centro Criptolóxico Nacional.
4. O responsável pela segurança será o encarregado de realizar a análise de riscos no tempo e na forma estabelecidos, e contará com a colaboração dos correspondentes responsáveis pelo serviço e responsáveis pela informação.
5. Depois da qualificação da informação e da determinação do nível de segurança do sistema por parte do responsável pela informação e do responsável pelo sistema, obter-se-ão a matriz de aplicabilidade e o conjunto de medidas para garantir a confidencialidade, a integridade, a disponibilidade, a autenticidade e a rastrexabilidade da informação do serviço. A avaliação dos riscos realizar-se-á identificando os riscos residuais e, com base neles, determinar-se-á o Plano de tratamento de riscos.
6. Serão responsabilidade do responsável pelo serviço e do responsável pela informação a aceitação dos riscos residuais e o impulso da execução de auditoria de segurança, que deverão executar-se com base no planeamento que decida o Comité de Segurança da Informação.
7. Em caso que existam tratamentos de dados pessoais, dever-se-á ter em conta o disposto no artigo 15, de jeito que os requisitos identificados conforme o citado artigo e com o asesoramento específico do DPD se possam acrescentar aos estabelecidos conforme o Real decreto 311/2022, se assim for necessário, particularmente, fixando o nível de segurança a um nível mais alto. Neste caso, se o resultado da análise é que os tratamentos de dados pessoais fossem de alto risco, estes requisitos elaborarão com a formalidade de uma avaliação de impacto na protecção de dados, conforme o artigo 35 do RXPD e os critérios estabelecidos pela Agência Espanhola de Protecção de Dados (AEPD). Neste aspecto, também se deverá ter em conta a regulação da segurança nos tratamentos da dados pessoais, especificados no artigo 32 do RXPD.
Artigo 14. Estrutura normativa
1. O corpo normativo sobre segurança da informação é de obrigado cumprimento e estrutúrase nos seguintes níveis relacionados hierarquicamente, de maneira que cada norma de um determinado nível de desenvolvimento se fundamente nas normas de nível superior:
a) Primeiro nível normativo: está constituído pela PSI. Amais, inclui a normativa e disposições gerais em matéria de segurança que sejam de aplicação ao Conselho de Contas da Galiza.
b) Segundo nível normativo: está constituído pelas resoluções em matéria de segurança que se definam em cada âmbito organizativo de aplicação específico. As resoluções, que compreenderão os procedimentos, as normas, as instruções técnicas de segurança e as recomendações de segurança, serão de obrigado cumprimento. Os seus corpos documentários, devidamente aprovados pelo Pleno, deverão estar disponíveis para a sua consulta geral na rede interna de informação do Conselho de Contas da Galiza.
c) Terceiro nível normativo: está constituído pelo conjunto de procedimentos técnicos orientados a resolver as tarefas consideradas críticas pelo prejuízo que causaria uma actuação inadequada de segurança, desenvolvimento, manutenção e exploração dos sistemas de informação. Consideram-se incluídas neste nível normativo:
I. As guias de segurança das tecnologias da informação e comunicação elaboradas pelo Centro Criptolóxico Nacional (guias CCN-STIC).
II. As normas e as recomendações aprovadas por órgãos ou organismos com competência reguladora nas matérias de segurança ou de protecção de dados, como são o Centro Criptolóxico Nacional ou a Agência Espanhola de Protecção de Dados.
III. O conjunto de procedimentos técnicos elaborados e aprovados pelo responsável pela segurança.
IV. Recomendações, guias de configuração e boas práticas publicado por organismos ou organizações internacionais, e pelos fabricantes de produtos de segurança, devidamente declarados incluídos nesta categoria pelo responsável pela segurança.
2. Amais da normativa enunciada no número 1, a estrutura normativa poderá dispor de documentos complementares, como standard de segurança, boas práticas ou relatórios técnicos, devidamente declarados incluídos nesta categoria pelo responsável pela segurança.
3. O pessoal do Conselho de Contas da Galiza terá a obrigação de conhecer e cumprir, amais da presente PSI, todas as directrizes gerais, normas e procedimentos de segurança da informação que possam afectar as suas funções.
4. O CSI estabelecerá os mecanismos necessários para partilhar a documentação derivada do desenvolvimento normativo com o propósito de normalizá-lo, no âmbito de aplicação da PSI.
5. Este marco normativo estará à disposição do pessoal do Conselho de Contas da Galiza e daqueles outros organismos, públicos ou privados que façam parte do âmbito de aplicação da PSI.
Artigo 15. Protecção de dados de carácter pessoal
1. Aplicar-se-lhes-ão aos dados de carácter pessoal que sejam objecto de tratamento por parte do Conselho de Contas da Galiza as medidas de segurança apropriadas derivadas das análises de riscos e avaliações de impacto relativas à protecção de dados, que se detalham no RXPD na Lei orgânica 3/2018, de 5 de dezembro.
2. Amais, aplicar-se-ão as medidas correspondentes ao anexo II do Real decreto 311/2022, de 3 de maio. Em caso que a análise de riscos determine medidas agravadas a respeito da normativa recolhida nas medidas do citado anexo, as medidas derivadas da análise de riscos serão as que se implementarán na protecção de dados de carácter pessoal.
3. Em particular, ter-se-á em conta o artigo 32 do RXPD, no que atinge à exixencia de uma identificação de riscos específicos para os direitos e liberdades das pessoas em relação com os tratamentos de dados pessoais, que deve ser prévio à análise de riscos dos sistemas onde se implementen os citados tratamentos, de forma que o nível de segurança seja adequado ao risco que os tratamentos de dados pessoais supõem para os direitos e liberdades das pessoas.
4. O Conselho de Contas, por proposta do responsável pelo sistema, poderá implementar tratamentos de dados pessoais como consequência da implantação de medidas de segurança que tenham um objecto diferente que a protecção de dados pessoais, com base no disposto no artigo 24 do Real decreto 311/2022, de 3 de maio, e tendo em conta, entre outros, os princípios de limitação da finalidade; a proibição do tratamento de dados pessoais para fins diferentes; o princípio de minimización de dados, identificando os dados pessoais ou as categorias de dados pessoais que possam ser tratados; e o de limitação de prazos de conservação, identificando os prazos máximos de conservação de dados pessoais.
Artigo 16. Terceiros
1. Quando o Conselho de Contas empregue serviços ou maneje informação de outras entidades, fá-se-lhes-á partícipes desta PSI, estabelecer-se-ão canais de informação e coordinação dos respectivos comités de segurança das TIC e estabelecer-se-ão procedimentos de actuação para a reacção ante incidentes de segurança. No caso de adquirir-se direitos de uso de activos na nuvem, ou desenvolver ou implantar um sistema de inteligência artificial, deverá contar com um relatório do responsável pela segurança, que consultará aos responsáveis pela informação e de serviço e, quando seja necessário, ao do sistema e ao delegar de protecção de dados.
2. Quando o Conselho de Contas preste serviços ou ceda informação a terceiros, fá-se-ão partícipes desta PSI e da normativa de segurança que cumpra os citados serviços e informação. Estes ficarão sujeitos às obrigações estabelecidas na dita normativa e poderão desenvolver os seus próprios procedimentos operativos para satisfazê-la. Estabelecer-se-ão procedimentos específicos de relatório e resolução de incidentes e garantir-se-á que o pessoal dos terceiros esteja consciencializado adequadamente em matéria de segurança.
3. Quando algum aspecto da PSI não possa ser formalizado por uma terceira parte segundo se estabelece nos parágrafos anteriores, requerer-se-á um relatório do responsável pela segurança que precise os riscos em que se incorrer e a forma de tratá-los. O citado informe deverão aprová-lo os responsáveis pela informação e os serviços afectados.
Artigo 17. Conscienciação e formação
1. Todo o pessoal relacionado com a informação, com os serviços e com os sistemas de informação deverá ser formado e informado dos seus deveres e obrigações em matéria de segurança da informação.
2. Para garantir a segurança das tecnologias da informação aplicável aos sistemas e serviços do Conselho de Contas da Galiza, articular-se-ão os mecanismos necessários para levar à prática a conscienciação e a formação específica necessária e imprescindível em todos os níveis da organização.
Artigo 18. Resolução de conflitos
Corresponde ao Comité de Segurança da Informação resolver os conflitos de competência em matéria de segurança da informação que puderem aparecer entre os diferentes responsáveis e encarregados no âmbito da segurança. Informar-se-lhe-á ao Pleno na sua matéria, no resto de conflitos de competência que se possam suscitar e tenham relação com a segurança.
Artigo 19. Gestão de incidentes de segurança
O Conselho de Contas da Galiza disporá de um procedimento para a gestão ágil dos eventos e incidentes de segurança que suponham uma ameaça para a informação e os serviços.
Este procedimento integrar-se-á com outros relacionados com os incidentes de segurança de outras normas sectoriais como a de protecção de dados pessoais ou outra que afecte o organismo para coordenar a resposta desde os diferentes enfoques e lhes o comunicar aos diferentes organismos de controlo sem dilações indebidas e, quando proceda, às forças e corpos de segurança do Estado e aos órgãos competente do poder judicial.
Disposição adicional primeira. Actualização permanente da política de segurança da informação
O presente acordo deverá manter-se actualizado permanentemente para adecualo ao progresso dos serviços da administração digital, à evolução tecnológica e ao desenvolvimento da sociedade da informação, assim como aos standard internacionais em matéria de segurança. As propostas das sucessivas revisões correspondem-lhe ao CSI, de conformidade com o artigo 7.
Disposição derrogatoria única. Derogação normativa
Derrogar quantas disposições de igual ou inferior categoria se oponham ao estabelecido no presente acordo, em particular o Acordo do Pleno do Conselho de Contas da Galiza de 21 de novembro do 2023 no que atinge ao CSI.
Disposição derradeiro primeira. Publicidade da política de segurança da informação
O presente acordo publicar-se-á, amais de em o Diário Oficial da Galiza, na sede electrónica do Conselho de Contas da Galiza, e dar-se-lhe-á a conhecer à totalidade do pessoal do Conselho.
Disposição derradeiro segunda. Entrada em vigor
O presente acordo, que aprova a política de segurança da informação do Conselho de Contas da Galiza, entrará em vigor o dia seguinte ao da sua publicação no Diário Oficial da Galiza.