Comité de Seguridad y Privacidad de la Información

Texto extraído del Documento de Política de Seguridad y Privacidad de la Información de la UNIA (aprobado en Consejo de Gobierno el 26 de mayo de 2023) (pfd), publicado en el BOUNIA Núm. 11/2023 (enlace)

• Composición
• Funciones
• Procedimiento de Designación
• Seguridad y Privacidad de la Información en la UNIA

[...]

7. Organización de la Seguridad de la Información

7.1. Criterios utilizados para la Organización de la Seguridad de la Información

La UNIA, con el objeto de organizar la seguridad de la información y teniendo en cuenta lo establecido en el Real Decreto 311/2022, de 3 de mayo (enlace), por el que se regula el Esquema Nacional de Seguridad (ENS) y las pautas establecidas en la Guía CCN-STIC-801 “Responsabilidades y Funciones en el ENS” y la Guía de Adecuación al ENS para Universidades, emprenderá las siguientes acciones:

1. Designará los perfiles de seguridad: Responsable de la Información, Responsable del Servicio, Responsable de la Seguridad, Responsable del Sistema y Delegado de Protección de Datos.
2. Constituirá un órgano consultivo y estratégico para la toma de decisiones en materia de Seguridad de la Información. Este órgano se constituirá como un órgano colegiado y se denominará Comité de Seguridad y Privacidad de la Información. Será presidido por una persona física que será la que asumirá la responsabilidad formal de sus actos.

7.2. Perfiles y Órganos de la Seguridad de la Información

7.2.1.  Comité de Seguridad y Privacidad de la Información

El Comité de Seguridad y Privacidad de la Información (en adelante Comité de Seguridad) estará constituido por:

• Presidente: Rector/a o persona en quien delegue.
• Secretario: Responsable de la Seguridad de la Información o persona en quien delegue.
• Responsable del Servicio: Gerente de la UNIA.
• Responsable de la Información: titular de la Secretaría General de la UNIA.
• Responsable de la Seguridad de la Información: Vicerrector/a o asimilado con competencias en Transformación Digital de la UNIA.
• Responsable del Sistema: Director/a del Área de Gestión de las TIC.
• Administrador de la Seguridad: personal de la UNIA con competencias en la materia, designado a propuesta del responsable de la seguridad de la información y que ejerza como Gestor de la Seguridad de la Información.
• Delegado de Protección de Datos: Delegado/a de Protección de Datos de la UNIA.

Los Responsables de la Información y del Servicio serán convocados por la Presidencia, en función de los asuntos a tratar, en representación de los distintos ámbitos o áreas de la universidad. 

A instancias de la Presidencia, el Secretario del Comité de Seguridad realizará las convocatorias y levantará acta de las reuniones del Comité de Seguridad. A las sesiones del Comité de Seguridad podrán asistir, en calidad de asesores, las personas que en cada caso estime pertinente su Presidente.

7.2.2. Comisión Permanente del Comité de Seguridad

En el marco del ENS, los miembros del Comité de Seguridad que constituirán la Comisión Permanente del Comité de Seguridad (en adelante Comisión Permanente), serán los siguientes:

• Presidente: Responsable de la Seguridad de la Información.
• Secretario: Administrador de la Seguridad.
• Responsable del Sistema.
• Delegado de Protección de Datos.

El Delegado de Protección de Datos participará en las reuniones de la Comisión Permanente cuando en la misma vayan a abordarse cuestiones relacionadas con la Privacidad de la Información, así como siempre que se requiera su participación.

La Comisión Permanente abordará los asuntos que requieran de una actuación directa e inmediata y que no puedan tratarse, en primera instancia, por el Comité de Seguridad, en atención a las necesidades derivadas del cumplimiento de sus fines y atribuciones.

La Comisión Permanente podrá́ desarrollar sus funciones en pleno o en Grupos de Trabajo para el análisis y realización de propuestas específicas. Las propuestas planteadas en la Comisión Permanente serán sometidas a análisis, debate y aprobación, si procede, por parte del Comité de Seguridad.

Las reuniones de trabajo de sus miembros serán convocadas por la Presidencia, quien recabará los acuerdos alcanzados y dará cuenta al Comité de Seguridad, para en caso de ser necesario, proceder a su aprobación.

[...]

7.5. Comité de la Seguridad y Privacidad de la Información

Serán funciones del Comité de la Seguridad y Privacidad de la Información:

1. Estar permanentemente informado de la normativa que regula la Certificación de Conformidad con el ENS, incluyendo sus normas de acreditación, certificación, guías, manuales, procedimientos e instrucciones técnicas.
2. Estar permanentemente informado de la relación de Entidades de Certificación acreditadas y organizaciones, públicas y privadas, certificadas.
3. Estar permanentemente informado de la relación de esquemas de certificación de la seguridad con los que la Administración Pública tiene establecidos arreglos o acuerdos de reconocimiento mutuo de certificados.
4. Proponer directrices y recomendaciones, que serán recogidas en las correspondientes actas de las reuniones del Comité, a las que su presidente, deberá dar cumplida respuesta.
5. Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, para asegurar que estos sean consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
6. Atender las inquietudes, en materia de Seguridad de la Información, de la Administración y de las diferentes áreas, informando regularmente del estado de la seguridad de la información a la Dirección.
7. Resolver los conflictos de responsabilidad que puedan aparecer entre los diferentes responsables y/o entre diferentes Departamentos, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.
8. Asesorar en materia de seguridad de la información, siempre y cuando le sea requerido.
9. Revisar la Política de Seguridad de la Información previa aprobación por el Órgano Superior.
10. Aprobar la Normativa General de Utilización de los Recursos y Sistemas de Información para todo el personal.
11. Aprobar el Mapa de Normativa, con la lista de Normativas y Procedimientos de Seguridad para la implantación y cumplimiento del ENS.

Periodicidad de las Reuniones y Adopción de Acuerdos:

1. Durante el desarrollo del Proyecto de Adecuación al ENS, para evaluar el proceso y posibilitar su adecuado seguimiento, el Comité de Seguridad deberá reunirse con carácter semestral.
2. Una vez alcanzada la conformidad con el ENS de los servicios prestados por la universidad, el Comité de Seguridad se reunirá al menos una vez al año, siendo lo recomendable hacerlo con carácter semestral, sin perjuicio de que, en atención a las necesidades derivadas del cumplimiento de sus fines y atribuciones, requiera de una mayor frecuencia en las reuniones.
3. En cualquier caso, las reuniones se convocarán por su Presidencia, a través del Secretario, a su iniciativa o por mayoría de sus miembros permanentes.
4. Las decisiones se adoptarán por consenso de sus miembros.

7.6. Comisión Permanente del Comité de Seguridad

Serán funciones de la Comisión Permanente del Comité de la Seguridad de la Información:

1. Las funciones propias de cada miembro como pertenecientes al Comité de Seguridad.
2. Elevar al Comité de Seguridad directrices y recomendaciones.
3. Asesorar en materia de seguridad de la información, siempre y cuando le sea requerido.
4. Elevar al Comité de Seguridad las propuestas de modificaciones a la Normativa General de Utilización de los Recursos y Sistemas de Información para todo el personal.
5. Elevar al Comité de Seguridad propuestas de Mapa de Normativa, con la lista de Normativas y Procedimientos de Seguridad para la implantación y cumplimiento del ENS.
6. Atender cuestiones urgentes relativas a la Seguridad de la Información.

Periodicidad de las Reuniones y Adopción de Acuerdos:

1. Se reunirá ante situaciones sobrevenidas que requieran de unas actuaciones ágiles y/o toma de decisiones menores.
2. Las reuniones se convocarán a iniciativa de su Presidencia, a través del Secretario.
3. Las decisiones se adoptarán por consenso de sus miembros.

7.7. Procedimiento de Designación

La creación del Comité de Seguridad y de su Comisión Permanente, el nombramiento de sus integrantes y la designación de los responsables identificados en esta Política de Seguridad, se realizará por el Rector de la UNIA.

El nombramiento se revisará cada 4 años o cuando el puesto quede vacante.