Aprobación: 31 de marzo de 2023 en sesión del Comité de Seguridad de la Información del Ayuntamiento de Ponferrada.
Publicación BOP: Martes, 23 mayo de 2023. Número 97.
Fecha de actualización del contenido: 6 de junio de 2023.

Índice

  1. Aprobación y entrada en vigor
  2. Introducción
  3. Alcance
  4. Marco normativo
  5. Cumplimiento de principios básicos y requisitos mínimos de seguridad
  6. Organización de la seguridad
    1. Roles o perfiles de seguridad
    2. Comité de Seguridad de la Información
    3. Responsabilidades asociadas al Esquema Nacional de Seguridad
    4. Funciones del Delegado de Protección de Datos
    5. Funciones del Comité de Seguridad de la Información
    6. Procedimientos de designación
    7. Resolución de conflictos
  7. Datos de carácter personal
  8. Desarrollo de la política de seguridad de la información
  9. Terceras partes


1. APROBACIÓN Y ENTRADA EN VIGOR

Texto aprobado el día 31 de marzo de 2023 en sesión del Comité de Seguridad de la Información del Ayuntamiento de Ponferrada.

Esta "Política de Seguridad de la Información", en adelante Política, será efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.


2. INTRODUCCIÓN

El desarrollo de la Administración Electrónica implica el tratamiento de gran cantidad de información por parte de los sistemas de tecnologías de la información y de las comunicaciones. La información está sometida a diferentes tipos de amenazas y de vulnerabilidades que pueden afectar a estos sistemas. El Real Decreto por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica, persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas.

Al objeto de dar cumplimiento al ENS, el Ayuntamiento de Ponferrada, conocedor de los riesgos que pueden afectar a los sistemas de información que soportan los trámites electrónicos puestos a disposición a la ciudadanía, y teniendo en cuenta que ésta pone a su disposición su activo más valioso, "su propia Información", es consciente de que éstos deben ser administrados con la suficiente diligencia, y que se deben tomar las medidas adecuadas para protegerlos frente a daños accidentales o deliberados, que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o de los servicios prestados.

De este modo, todas las Unidades Administrativas y Servicios Municipales del Ayuntamiento de Ponferrada, que se encuentran dentro del ámbito del ENS, tienen presente que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada del servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Por tanto, para el Ayuntamiento de Ponferrada, el objetivo de la Seguridad de la Información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria para detectar cualquier incidente y reaccionando con presteza a los incidentes para recuperarse lo antes posible, acorde a lo establecido en el Artículo 10 del ENS.


3. ALCANCE

Esta Política se aplicará a los sistemas de información del Ayuntamiento de Ponferrada, que están relacionados con el ejercicio de derechos y el cumplimiento de deberes por medios electrónicos, o con el acceso a la información o al procedimiento administrativo y que se encuentran dentro del alcance del Esquema Nacional de Seguridad (ENS).

Todos los empleados públicos y cargos del Ayuntamiento de Ponferrada, así como el personal de terceros relacionados con éste, que se encuentren afectados por el alcance del ENS, tienen la obligación de conocer y cumplir esta "Política de Seguridad de la Información" y la normativa de seguridad, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue al personal afectado.


4. MARCO NORMATIVO

El marco normativo en que se desarrollan las actividades del Ayuntamiento de Ponferrada en el alcance de esta Política, y, en particular, la prestación de sus servicios electrónicos a la ciudadanía, se recoge en el ANEXO I - MARCO NORMATIVO y deberá mantenerse actualizado, siendo responsabilidad del Comité de Seguridad de la Información del Ayuntamiento de Ponferrada. En dicho Anexo se incluirán también las instrucciones técnicas de seguridad de obligado cumplimiento, publicadas mediante resolución de la Secretaría de Estado de Administraciones Públicas y aprobadas por el Ministerio de Hacienda y Administraciones Públicas, a propuesta del Comité Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional (CCN).

Así mismo, el Comité de Seguridad de la Información del Ayuntamiento de Ponferrada también será responsable de identificar las guías de seguridad del CCN, que serán de aplicación para mejorar el cumplimiento de lo establecido en el Esquema Nacional de Seguridad.

También forman parte del marco normativo las restantes normas aplicables a la Administración Electrónica del Ayuntamiento de Ponferrada, derivadas de las anteriores y publicadas en las sedes electrónicas comprendidas dentro del ámbito de aplicación de la presente Política.

El Comité de Seguridad de la Información velará por la actualización de este catálogo normativo conforme vayan incorporándose nuevas normas o derogándose, incluyendo las instrucciones técnicas de seguridad de obligado cumplimiento, publicadas mediante resolución de e los órganos ministeriales con competencias en la materia y a iniciativa del Comité Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional (CCN) tal y como se establece en el "Artículo 30. Perfiles de cumplimiento específicos y acreditación de entidades de implementación de configuraciones seguras".

Así mismo, el Comité de Seguridad de la Información será responsable de identificar las guías de seguridad del CCN, referenciadas en el mencionado artículo, que serán de aplicación para mejorar el cumplimiento de lo establecido en el Esquema Nacional de Seguridad.


5. CUMPLIMIENTO DE PRINCIPIOS BÁSICOS Y REQUISITOS MÍNIMOS DE SEGURIDAD

El Ayuntamiento de Ponferrada, para lograr el cumplimiento de los artículos del Real Decreto por el que se regula el Esquema Nacional de Seguridad, que recogen los principios básicos y de los requisitos mínimos, ha implementado diversas medidas de seguridad, proporcionadas a la naturaleza de la información y los servicios a proteger y teniendo en cuenta la categoría de los sistemas afectados.

Seguridad como un proceso integral (artículo 6) y mínimo privilegio (artículo 20)

La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. Los sistemas se diseñarán de forma que garanticen la seguridad por defecto, del siguiente modo:

  1. El sistema proporcionará la mínima funcionalidad requerida para que la organización alcance sus objetivos.
  2. Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son accesibles por las personas, o desde emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados.
  3. En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, sean innecesarias e, incluso, aquellas que sean inadecuadas al fin que se persigue.
  4. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

Vigilancia continua y reevaluación periódica (artículo 10) e integridad y actualización del sistema (Artículo 21)

El Ayuntamiento de Ponferrada ha implementado controles y evaluaciones regulares de la seguridad, (incluyendo evaluaciones de los cambios de configuración de forma rutinaria), para conocer en todo momento el estado la seguridad de los sistemas en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos. Antes de la entrada de nuevos elementos, ya sean físicos o lógicos, estos requerirán de una autorización formal.

Así mismo, solicitará la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente.
Gestión de personal (artículo 15) y profesionalidad (artículo 16)

Todos los empleados del Ayuntamiento de Ponferrada deberán recibir información, formación y concienciación en materia de seguridad. Se establecerá un programa de concienciación continua.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo.

Gestión de la seguridad basada en los riesgos (artículo 7) y análisis y gestión de riesgos (artículo 14)

Todos los sistemas afectados por esta Política de Seguridad, así como todos los tratamientos de datos personales, deberán ser objeto de un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • Regularmente, al menos una vez al año.
  • Cuando cambien la información manejada y/o los servicios prestados de manera significativa.
  • Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades graves.

El Responsable de Seguridad ENS será el encargado de que se realice el análisis de riesgos, así como de identificar carencias y debilidades y ponerlas en conocimiento del Comité de Seguridad de la Información.

Incidentes de seguridad (artículo 25), prevención, detección, respuesta y conservación (artículo 8)

El Ayuntamiento de Ponferrada implementará un proceso integral de detección, reacción y recuperación frente a código dañino mediante el desarrollo de procedimientos que cubrirán los mecanismos de detección, los criterios de clasificación, los procedimientos de análisis y resolución, así como los cauces de comunicación a las partes interesadas y el registro de las actuaciones. Este registro se empleará para la mejora continua de la seguridad del sistema.

Para que la información y/o los servicios no se vean perjudicados por incidentes de seguridad, el Ayuntamiento de Ponferrada implementará las medidas de seguridad establecidas por el ENS, así como cualquier otro control adicional, que haya identificado como necesario, a través de una evaluación de amenazas y riesgos. Estos controles, los roles y responsabilidades de seguridad de todo el personal, estarán claramente definidos y documentados.

Cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales, se establecerán los mecanismos de detección, análisis y reporte necesarios para que lleguen a los responsables regularmente.

El Ayuntamiento de Ponferrada establecerá las siguientes medidas de reacción ante incidentes de seguridad:

  • Mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

Para garantizar la disponibilidad de los servicios, el Ayuntamiento de Ponferrada dispondrá de los medios y técnicas necesarias que permiten garantizar la recuperación de los servicios más críticos.

Existencia de líneas de defensa (artículo 9) y prevención ante otros sistemas de información interconectados (artículo 23)

El Ayuntamiento de Ponferrada ha implementado una estrategia de protección basada en múltiples capas, constituidas por medidas organizativas, físicas y lógicas, de tal forma que cuando una de las capas falle, el sistema implementado permita:

  • Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse.
  • Reducir la probabilidad de que el sistema sea comprometido en su conjunto.
  • Minimizar el impacto final sobre el mismo.

Esta estrategia de protección ha de proteger el perímetro, en particular, si se conecta a redes públicas [1]. En todo caso, se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y se controlará su punto de unión.

Diferenciación de Responsabilidades (artículo 11) y organización e implantación del proceso de seguridad (artículo 13)

El Ayuntamiento de Ponferrada organizará su seguridad comprometiendo a todas las personas integrantes de la organización, mediante la designación de diferentes roles de seguridad con responsabilidades claramente diferenciadas, tal como se recoge en el apartado de "ORGANIZACIÓN DE LA SEGURIDAD" del presente documento.

Autorización y control de los accesos (artículo 17)

El Ayuntamiento de Ponferrada implementará mecanismos de control de acceso al sistema de información, limitándolos a los estrictamente necesarios y debidamente autorizados.

Protección de las instalaciones (artículo 18)

El Ayuntamiento de Ponferrada implementará mecanismos de control de acceso físico, previniendo los accesos físicos no autorizados, así como los daños a la información y a los recursos, mediante perímetros de seguridad, controles físicos y protecciones generales en áreas.

Adquisición de productos de seguridad y contratación de servicios de seguridad (artículo 19)

El Ayuntamiento de Ponferrada tendrá en cuenta, para la adquisición de productos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.

Protección de la información almacenada y en tránsito (artículo 22) y continuidad de la actividad (artículo 26)

El Ayuntamiento de Ponferrada implementará mecanismos para proteger la información almacenada o en tránsito, especialmente cuando ésta se encuentra en entornos inseguros (portátiles, tablets, soportes de información, redes abiertas, etc.).

Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones, en caso de pérdida de los medios habituales de trabajo.

Se desarrollarán procedimientos que aseguren la recuperación y conservación a largo plazo de los documentos electrónicos producidos en el ámbito de las competencias del Ayuntamiento de Ponferrada. De igual modo, se implementarán mecanismos de seguridad correspondientes a la naturaleza del soporte en que se encuentren los documentos, para garantizar que toda información en soporte no electrónico relacionada estará protegida con el mismo grado de seguridad que la electrónica.

Registro de actividad y detección de código dañino (artículo 24)

El Ayuntamiento de Ponferrada habilitará registros de la actividad de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa. Todo ello con la finalidad exclusiva de lograr el cumplimiento del ENS, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación.

En concreto, el Ayuntamiento dispondrá de una solución integral de antivirus, tanto en puestos de trabajo como en servidores, que incorpore funcionalidades tanto de EPP (primera línea de defensa en los puestos del Ayuntamiento, basada en la prevención), como de EDR (complementa la protección de la solución EPP, detectando código dañino, incorporando mecanismos de respuesta así como medidas para revertir los daños) y de integración con los cortafuegos perimetrales, para bloqueo de funcionalidades en caso de detección de amenazas.

Mejora continua del proceso de seguridad (artículo 27)

El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a la gestión de la seguridad de las tecnologías de la información.

Ayuntamiento de Ponferrada habilitará registros de la actividad de los usuarios, reteniendo la información necesaria para monitorización.


6. ORGANIZACIÓN DE LA SEGURIDAD

La Organización de la Seguridad de la Información en el Ayuntamiento de Ponferrada se establece en la forma que se indica a continuación.

6.1 Roles o perfiles de seguridad

Para garantizar el cumplimiento y la adaptación de las medidas exigidas reglamentariamente, se han creado roles o perfiles de seguridad, y se han designado los cargos u órganos que los ocuparán, del siguiente modo:

  • Delegado de Protección de Datos (DPD): El así designado por el Ayuntamiento de Ponferrada.
  • Responsable General de la Información y de los Servicios: El propio Comité de Seguridad de la Información.
  • Responsable Particular de la Información y de los Servicios: Los Jefes o máximos responsables de cada una de las Unidades Administrativas y Servicios Municipales del Ayuntamiento de Ponferrada en las materias que les conciernan.
  • Responsable de Seguridad de la Información: El Responsable del ENS.
  • Responsable del Sistema: Jefe de la Unidad de Informática.

6.2 Comité de Seguridad de la Información

El Ayuntamiento de Ponferrada ha constituido un Comité de Seguridad de la Información, como órgano colegiado y está formado por los siguientes miembros:

  • Presidente: Concejal Delegado del área vinculado con la Sede Electrónica.
  • Secretario: Secretaria General.
  • Vocales:
    1. Responsable de Seguridad: El responsable del ENS, Jefe del Departamento de Informática.
    2. Responsable del Sistema: Jefe de Negociado de Informática.
    3. El Delegado de Protección de Datos del Ayuntamiento de Ponferrada, que será convocado cuando hayan de abordarse cuestiones relacionadas con el tratamiento de datos de carácter personal, así como cuando se juzgue oportuno. Participará en las sesiones con voz pero sin voto. En todo caso, si un asunto se sometiese a votación se hará constar siempre en acta la opinión del Delegado de Protección de Datos.
    4. Jefe de Innovación y Territorio Inteligente

El Responsable General de Información y Servicios será el propio órgano del Comité de Seguridad de la Información, recogiendo así las funciones propias de dicho rol.

Los Responsables particulares tanto de la Información como de los Servicios serán cada uno de los Jefes o máximos responsables de cada una de las Unidades Administrativas y Servicios Municipales del Ayuntamiento de Ponferrada en las materias que les conciernan, pudiendo ser convocados, con voz pero sin voto, a las sesiones del Comité que se considere oportuno.

Asimismo, y con carácter opcional, podrán incorporarse a las labores del Comité grupos de trabajo especializados, ya sean de carácter interno, externo o mixto.

El Comité de Seguridad de la Información celebrará sus sesiones en las dependencias del Ayuntamiento de Ponferrada con periodicidad mínima semestral, previa convocatoria al efecto realizada por el Presidente de dicho Comité.

6.3 Responsabilidades asociadas al Esquema Nacional de Seguridad

A continuación, se detallan y se establecen las funciones y responsabilidades de cada una de las figuras, responsabilidades que recoge el Comité de Seguridad.

  • Funciones del Responsable de la Información y de los Servicios:

¬ Establecer y aprobar los requisitos de seguridad aplicables al servicio y la información dentro del marco establecido en el anexo I del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, previa propuesta al Responsable de Seguridad, y/o Comité de Seguridad de la Información.

¬ Aceptar los niveles de riesgo residual que afectan al Servicio y a la Información.

¬ Informar sobre los derechos de acceso al Servicio y a la Información.

¬ Poner en comunicación del Responsable de Seguridad cualquier variación respecto a la Información y los Servicios de los que es responsable, especialmente la incorporación de nuevos Servicios o Información a su cargo.

  • Funciones del Responsable de Seguridad de la Información:

¬ Mantener y verificar el nivel adecuado de seguridad de la Información manejada y de los servicios electrónicos prestados por los sistemas de información.

¬ Promover la formación y concienciación en materia de seguridad de la información.

¬ Designar responsables de la ejecución del análisis de riesgos, de la declaración de aplicabilidad, identificar medidas de seguridad, determinar configuraciones necesarias, elaborar documentación del sistema.

¬ Proporcionar asesoramiento para la determinación de la categoría del sistema, en colaboración con el Responsable del Sistema y/o Comité de Seguridad de la Información.

¬ Participar en la elaboración e implantación de los planes de mejora de la seguridad y llegado el caso en los planes de continuidad, procediendo a su validación.

¬ Gestionar las revisiones externas o internas del sistema.

¬ Gestionar los procesos de certificación.

¬ Elevar al Comité de Seguridad la aprobación de cambios y otros requisitos del sistema.

  • Las funciones del Responsable del Sistema:

¬ Paralizar o dar suspensión al acceso a información o prestación de servicio si tiene el conocimiento de que estos presentan deficiencias graves de seguridad.

¬ Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida.

¬ Elaborar los procedimientos operativos necesarios.

¬ Definir la topología y la gestión del Sistema de Información, estableciendo los criterios de uso y los servicios disponibles en el mismo.

¬ Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.

¬ Prestar al Responsable de Seguridad de la Información y/o el Comité de Seguridad asesoramiento para la determinación de la Categoría del Sistema.

¬ Colaborar, si así se le requiere, en la elaboración e implantación de los planes de mejora de la seguridad y, llegado el caso, en los planes de continuidad.

¬ Llevar a cabo las funciones del administrador de la seguridad del sistema:

    • La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad.
    • La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de la actividad desarrollada en el sistema y su correspondencia con lo autorizado.
    • Aprobar los cambios en la configuración vigente del Sistema de Información.
    • Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
    • Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de Información.
    • Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
    • Monitorizar el estado de seguridad proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica.

Cuando la complejidad del sistema lo justifique el Responsable de Sistema podrá designar los responsables de sistema delegados que considere necesarios, que tendrán dependencia funcional directa de aquél y serán responsables en su ámbito de todas aquellas acciones que les delegue el mismo. De igual modo, también podrá delegar en otro/s funciones concretas de las responsabilidades que se le atribuyen.

6.4 Funciones del Delegado de Protección de Datos

Corresponde al Delegado de Protección de Datos del Ayuntamiento de Ponferrada las funciones atribuidas a tal figura en el Reglamento UE 2016/679, de 27 de abril (Reglamento General de Protección de Datos) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y los criterios interpretativos de las autoridades de control. Tales funciones se ejercerán en los términos y condiciones y con el alcance señalados en la citada normativa.

6.5 Funciones del Comité de Seguridad de la Información

El Comité de Seguridad tendrá las siguientes funciones:

  • Atender las solicitudes, en materia de Seguridad de la Información, de la Administración y de las diferentes áreas, informando regularmente del estado de la Seguridad de la Información.
  • Asesorar en materia de Seguridad de la Información.
  • Resolver los conflictos de responsabilidad que puedan aparecer entre las diferentes unidades administrativas.
  • Promover la mejora continua del sistema de gestión de la Seguridad de la Información. Para ello, se encargará de:

¬ Coordinar los esfuerzos de las diferentes áreas en materia de Seguridad de la Información para asegurar que estos sean consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.

¬ Proponer planes de mejora de la Seguridad de la Información, con su dotación presupuestaria correspondiente, priorizando las actuaciones en materia de seguridad cuando los recursos sean limitados.

¬ Velar porque la Seguridad de la Información se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.

¬ Realizar un seguimiento de los principales riesgos residuales asumidos por la Administración y recomendar posibles actuaciones respecto de ellos.

¬ Realizar un seguimiento de la gestión de los incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.

¬ Elaborar y revisar regularmente la Política de Seguridad de la Información para su aprobación por el órgano competente.

¬ Elaborar la normativa de Seguridad de la Información para su aprobación en coordinación con la Dirección General.

¬ Verificar los procedimientos de seguridad de la información y demás documentación para su aprobación.

¬ Elaborar programas de formación destinados a formar y sensibilizar al personal en materia de Seguridad de la Información y, en particular, en materia de protección de datos de carácter personal.

¬ Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de Seguridad de la Información.

Promover la realización de las auditorías periódicas ENS y de protección de datos que permitan verificar el cumplimiento de las obligaciones de la Administración en materia de seguridad de la Información.

6.6 Procedimientos de designación

La creación del Comité de Seguridad de la Información, el nombramiento de sus integrantes y la designación de los Responsables identificados en esta Política ha sido realizada el 18 de abril de 2023, y comunicada a las partes afectadas.

Los miembros del Comité, así como los Roles de Seguridad, serán revisados cada cuatro años, o con ocasión de vacante.

6.7 Resolución de conflictos

El Comité de Seguridad de la Información se encargará de la resolución de los conflictos y/o diferencias de opiniones, que pudieran surgir entre los roles de seguridad.


7. DATOS DE CARÁCTER PERSONAL

El Ayuntamiento de Ponferrada solo recogerá datos de carácter personal cuando para una finalidad concreta, respetando los principios de la normativa de protección de datos, entre otros, licitud, lealtad, transparencia y minimización. Además, los datos se tratarán teniendo en cuenta los riesgos del tratamiento y respetando la confidencialidad de los mismos. De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa de Protección de Datos vigente en cada caso.

La aprobación y publicación del Registro de Actividades de Tratamiento del Ayuntamiento (aprobado por Junta de Gobierno Local, de 16 de marzo de 2023); el establecimiento y aplicación de los criterios del deber de información, diferenciando la información básica y la información detallada, con especificación de los diferentes ámbitos de actuación del Ayuntamiento; la definición del procedimiento para el ejercicio de los derechos de los ciudadanos en materia de protección de datos, con establecimiento de modelos tipo para facilitar dicho ejercicio o como gestionar las brechas de seguridad; la definición y actualización de la política de privacidad en la web; el establecimiento de cláusulas en materia de protección de datos en el ámbito de la contratación administrativa; el asesoramiento de las diferentes unidades, servicios y órganos municipales en materia de protección de datos, así como el impulso de la conciencia que sobre dicha materia debe tener la Administración.


8. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

El Comité de Seguridad de la Información aprobará el desarrollo de un sistema de gestión, que será establecido, implementado, mantenido y mejorado, conforme a los estándares de seguridad. Este sistema se adecuará y servirá de gestión de los controles del Esquema Nacional de Seguridad. El sistema será documentado y permitirá generar evidencias de los controles y del cumplimiento de los objetivos marcados por el Comité. Existirá un procedimiento de gestión documental que establecerá las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.

Corresponderá al Comité de Seguridad de la Información la revisión anual de la presente Política aprobando, en caso de que sea necesario, mejoras de la misma.


9. TERCERAS PARTES

Cuando el Ayuntamiento de Ponferrada preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información. El Ayuntamiento de Ponferrada, definirá y aprobará los canales para la coordinación de la información y los procedimientos de actuación para la reacción ante incidentes de seguridad, así como el resto de actuaciones que el Ayuntamiento de Ponferrada, lleve a cabo en materia de Seguridad en relación con otros organismos.

Cuando el Ayuntamiento de Ponferrada utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad existente que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la mencionada normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de comunicación y resolución de incidencias. Se garantizará que el personal de terceros esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad.

Cuando algún aspecto de esta Política de Seguridad no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad ENS que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.



[1] Se entenderá por red pública de comunicaciones la red de comunicaciones electrónicas que se utiliza, en su totalidad o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles para el público, de conformidad a la definición establecida en el apartado 32 del anexo II, de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.