DOG 82 do 5/5/2026 - RESOLUÇÃO de 23 de abril de 2026 pela que se ordena a publicação do Acordo do Pleno de 22 de abril de 2026 pelo que se estabelecem as normas para o uso seguro e adequado dos sistemas de informação e recursos TIC da instituição.

III. Outras disposições

Conselho de Contas da Galiza

RESOLUÇÃO de 23 de abril de 2026 pela que se ordena a publicação do Acordo do Pleno de 22 de abril de 2026 pelo que se estabelecem as normas para o uso seguro e adequado dos sistemas de informação e recursos TIC da instituição.

Em cumprimento do Acordo de 22 de abril de 2026, do Pleno do Conselho de Contas, pelo que se estabelecem as normas para o uso seguro e adequado dos sistemas de informação e recursos TIC da instituição, resolvo publicar no Diário Oficial da Galiza o seu texto completo.

Santiago de Compostela, 23 de abril de 2026

Juan Carlos Aladro Fernández
Conselheiro maior do Conselho de Contas da Galiza

ANEXO

Acordo de 22 de abril de 2026, do Pleno do Conselho de Contas da Galiza, pelo que se estabelecem as normas para o uso seguro e adequado dos sistemas de informação e recursos TIC da instituição

Exposição de motivos.

O 10 de julho de 2015 o Pleno do Conselho de Contas da Galiza aprovou a política de segurança da informação (PSI). O artigo 14 da PSI define a estrutura normativa e os seus níveis. No segundo nível incluem-se a própria PSI e as disposições gerais em matéria de segurança aplicável ao Conselho de Contas da Galiza. Na sua letra b) recolhe o segundo nível com o seguinte texto: «b) Segundo nível normativo: constituído pelas resoluções em matéria de segurança que se definam em cada âmbito organizativo de aplicação específico. As resoluções, que compreenderão os procedimentos, as normas, as instruções técnicas de segurança e recomendações de segurança, serão de obrigado cumprimento. Os seus corpos documentários, devidamente aprovados pelo Pleno, deverão estar disponíveis para a sua consulta geral na rede interna de informação do Conselho de Contas da Galiza».

O mesmo artigo estabelece a obrigação do pessoal do Conselho de conhecer e cumprir todas as «directrizes gerais, normas e procedimentos de segurança da informação que possam afectar as suas funções» e a obrigação do Conselho de manter este marco normativo a disposição do pessoal e «daqueles outros organismos, públicos ou privados que façam parte do âmbito de aplicação da PSI».

Mais adiante, o artigo 16, no seu ponto 2, em relação com os terceiros que possam relacionar com o Conselho de Contas, dispõe que, quando o Conselho de Contas preste serviços ou ceda informação a terceiros, estes fá-se-ão partícipes desta PSI e da normativa de segurança que cumpra os citados serviços e informação. Em consequência, ficarão sujeitos às obrigações estabelecidas na dita normativa e poderão desenvolver os seus próprios procedimentos operativos para satisfazê-la. Estabelecer-se-ão procedimentos específicos de relatório e resolução de incidentes e garantir-se-á que o pessoal dos terceiros esteja consciencializado adequadamente em matéria de segurança.

Em desenvolvimento do disposto nos citados artigos, dentro do segundo nível normativo dos estabelecidos na letra b) do artigo 14 da PSI, aprovam-se as presentes directrizes gerais, para possibilitar garantir a confidencialidade, integridade, disponibilidade, autenticidade e rastrexabilidade da informação tratada, minimizar riscos derivados do uso indebido ou neglixente dos recursos TIC, promover boas práticas no manejo da informação, sistemas corporativos e instalações e estabelecer um marco de actuação que complemente a política de segurança da informação do Conselho de Contas.

Dada a matéria que se regula haverá de ter-se em conta na aplicação desta norma as disposições vigentes em matéria de protecção de dados pessoais, e implantação do Esquema Nacional de Segurança, entre elas o Regulamento (UE) nº 2016/679, de 27 de abril de 2016, relativo à protecção de dados pessoais (RXPD), a Lei orgânica de protecção de dados de carácter pessoal (LOPD) e normativa de desenvolvimento, o Real decreto 11/2022, de 3 de maio, pelo que se regula o Esquema Nacional de Segurança (ENS) e o já citado acordo que recolhe a norma fundamental do Conselho de Contas da Galiza nesta matéria o Acordo do Pleno de 10 de julho de 2015, pelo que se aprova a política de segurança da informação do Conselho de Contas da Galiza.

Na sua virtude, o Pleno do Conselho de Contas da Galiza, na sua sessão de 22 de abril de 2026,

ACORDA:

Artigo 1. Objecto

O objecto desta norma é estabelecer as pautas e responsabilidades que devem seguir todas as pessoas utentes na utilização dos recursos e sistemas de informação do Conselho de Contas da Galiza, entre os que se incluem sem carácter taxativo redes de comunicação, postos de trabalho, dispositivos electrónicos, correio electrónico corporativo, aplicações e instalações físicas da entidade.

Artigo 2. Âmbito de aplicação

A presente norma é de aplicação a todas as pessoas utentes que tenham acesso aos sistemas de informação, redes de comunicação e recursos informáticos do Conselho de Contas da Galiza com independência da natureza jurídica da sua relação com este.

Artigo 3. Definições

Para os efeitos desta norma, perceber-se-á por:

• Sistemas de informação: conjunto de componentes que formam um todo destinado a obter, processar, registar ou distribuir informação, independentemente do suporte em que esteja armazenada.

• Redes de comunicações: infra-estruturas de telecomunicação destinadas ao transporte da informação entre sistemas.

• Recursos informáticos: qualquer parte componente de um sistema de informação ou rede de comunicações.

• Aplicação informática: programa ou conjunto de programas informáticos que têm por objecto o tratamento electrónico da informação.

• Suporte: qualquer meio físico utilizado para armazenar informação.

• Monitorização: observação e registro dos acessos à informação ou dos parâmetros das comunicações dentro da legalidade vigente.

• Pessoa utente: toda pessoa física autorizada para a utilização dos sistemas de informação, redes e dispositivos de comunicação do Conselho de Contas, sejam ou não empregados públicos, e com independência da natureza jurídica da sua relação com o Conselho de Contas.

• Pessoal técnico: pessoal que legalmente desempenha funções de administração, suporte e manutenção dos sistemas de informação e equipamento TIC, com independência da natureza jurídica da sua relação com o Conselho de Contas.

Artigo 4. Uso do equipamento

O uso do equipamento do Conselho de Contas realizar-se-á de acordo com as seguintes prescrições:

a) O equipamento só se utilizará para os fins profissionais atribuídos.

b) A pessoa utente será a responsável pela custodia e bom uso do equipamento entregue.

c) As actualizações de software, antivirus e mecanismos de segurança estabelecidos no equipamento não se deverão desactivar nem modificar.

d) Não se acederá fisicamente ao interior do equipamento, salvo pelo pessoal de suporte técnico.

e) Não se conectarão dispositivos externos sem autorização.

f) Os dispositivos portátiles deverão guardar-se em zonas seguras quando não se utilizem.

g) As pessoas utentes bloquearão os equipamentos ao ausentarse do posto de trabalho.

h) Facilitar-se-á o acesso do pessoal de suporte técnico para labores de manutenção, seguindo as suas instruções.

i) O equipamento deverá ser devolvido com a maior brevidade possível quando finalize a sua vinculação com o posto.

j) A informação armazenada no equipamento devolvido será custodiada e posta à disposição do pessoal de suporte técnico que aplicará a normativa vigente em matéria de apagado seguro.

Artigo 5. Uso de aplicações e redes

O uso de aplicações e redes informáticas sujeitar-se-á às seguintes obrigações:

a) As aplicações só se utilizarão para os fins profissionais atribuídos.

b) Não se poderá utilizar software não corporativo sem autorização.

c) Não se poderá instalar software adicional, salvo autorização, e deverá ser instalado pelo pessoal de suporte técnico.

d) Não se poderá utilizar o software corporativo fora do âmbito do Conselho de Contas, sem a devida autorização.

e) Não se poderá instalar ou utilizar software que não disponha da licença correspondente ou que a sua utilização não se adecúe à legislação vigente.

f) Não se conectarão os dispositivos corporativos a redes não autorizadas.

g) Não se conectarão dispositivos pessoais às redes corporativas do Conselho, salvo autorização expressa.

h) A monitorização do uso de sistemas e redes será ordinariamente automática afectando o uso da rede e com os únicos fins de segurança e rendimento dos sistemas, podendo realizar-se de forma aleatoria com idênticos fins, respeitando em ambos casos as normas de protecção de dados.

Artigo 6. Protecção da informação

Toda a informação existente nos recursos informáticos do Conselho de Contas da Galiza é propriedade e responsabilidade desta instituição. O seu uso, acesso, criação, modificação ou supresión realizar-se-á de acordo com a normativa vigente nesta matéria, incluindo a relativa à protecção de dados de carácter pessoal e o arquivo e conservação da documentação.

Em particular, ter-se-ão em conta as seguintes obrigações:

a) Toda a informação dever-se-á tratar com confidencialidade e usar-se-á exclusivamente para as tarefas encomendadas.

b) Dever-se-á garantir que a informação sensível não fique exposta nem acessível a pessoas alheias.

c) Dever-se-á conhecer e respeitar a normativa vigente em matéria de protecção de dados pessoais e segurança da informação e arquivo.

d) A informação dever-se-á armazenar preferentemente nos sistemas corporativos de rede.

e) O acesso à informação estará limitado às pessoas autorizadas.

f) As autorizações de acesso à informação serão pessoais e intransferível.

g) Os contrasinais deverão ser seguros, e fica proibida a sua difusão.

Artigo 7. Dever de informar sobre incidências

As pessoas utentes estarão obrigadas a notificar qualquer acontecimento, situação anómala ou suspeita relacionada com a informação, com os dados pessoais ou com os sistemas de informação do Conselho de Contas aos superiores, ao Serviço de informática (informatica@ccontasgalicia.es) ou ao delegar de protecção de dados (dpd@ccontasgalicia.es), para a sua gestão e resolução.

Em concreto, as pessoas utentes deverão realizar uma notificação quando se encontrem em alguma das seguintes situações:

a) Perca ou subtracção de algum dispositivo informático do Conselho.

b) Suspeitas de compromisso do dispositivo ou os serviços que emprega.

c) Suspeitas de comportamento não usual nos sistemas ou redes, como actividade suspeita ou mudanças não autorizadas.

d) Anomalías no uso do acesso à internet.

e) Incidentes de correio electrónico, assim como correios suspeitos recebidos de fontes não fiáveis que incluam ficheiros ou ligazón anexas, os quais não devem executar-se e geram dúvidas de fiabilidade.

f) Suspeitas de utilização das suas credenciais por outra pessoa.

g) Solicitude de credenciais por parte de outro pessoal do Conselho do Contas.

h) Suspeitas que se está comprometendo a informação tratada, especialmente no caso de incorporar dados pessoais ou confidenciais.

A pessoa utente deverá proporcionar toda a informação relativa ao incidente que lhe seja solicitada através dos canais de comunicação habilitadas e atender as indicações recebidas orientadas à resolução do incidente.

Artigo 8. Inspecção

O Comité de Segurança da Informação do Conselho de Contas poderá rever o estado e o uso dos equipamentos, dispositivos e redes de comunicação, por razões de segurança e qualidade do serviço, para verificar o seu correcto funcionamento e o cumprimento das medidas de segurança vigentes.

O Comité de Segurança da Informação do Conselho de Contas velará pelo cumprimento da presente normativa e informará o Pleno dos não cumprimentos ou deficiências de segurança observados, com o objecto de que se tomem as medidas oportunas. Estas medidas poderão incluir o bloqueio ou suspensão temporário para aquelas contas, sistemas de informação ou de comunicações em que se detecte que realizam ou podem realizar acções daniño. O serviço restabelecer-se-á quando a causa da sua degradação seja emendada.

Artigo 9. Conscienciação

O Comité de Segurança da Informação promoverá de forma periódica a formação e a conscienciação das pessoas utentes sobre boas práticas, riscos de segurança e procedimentos internos de segurança da informação.

Artigo 10. Consequências do não cumprimento

O não cumprimento do disposto na presente norma poderá dar lugar a responsabilidade administrativa ou penal, que será depurada depois do correspondente procedimento, de acordo com a normativa aplicável ao caso concreto, incluindo as possíveis responsabilidades económicas por danos ou prejuízos ao Conselho de Contas da Galiza, ou a terceiros legalmente protegidos.

Disposição adicional única. Revisão

De acordo com o disposto na política de segurança da informação do Conselho de Contas da Galiza, corresponde ao Comité de Segurança da Informação proceder à sua revisão, anualmente com carácter ordinário, e com carácter extraordinário quando for preciso para o cumprimento dos seus fins, ou para adaptação a variações normativas de aplicação na matéria.

Disposição derradeiro única

O presente acordo entrará em vigor o dia seguinte ao da sua publicação.