Inicio
Mapa Web
Ir a la web corporativa
Portal de transparencia
ES
Castellano
AS
Asturiano
Identificate
SEDE ELECTRÓNICA
No hay subtitulo
Menu
SEDE ELECTRÓNICA
✕
Mis Datos
Datos personales
Datos del padrón de habitantes
Anotaciones en el registro
Expedientes
Buzón de notificaciones electrónicas
Portafirmas
Documentos
Portal Tributario
Publicaciones Oficiales
Tablón de anuncios empleo municipal
Tablón de anuncios y edictos electrónicos
Ordenanzas y reglamentos municipales
Bandos de Alcaldía
Actas de Plenos, Extractos y Orden del día
Declaraciones institucionales
Perfil de contratante
Calendario fiscal
Trámites
Catálogo de trámites
Suscripción o baja de notificaciones electrónicas
Presentación de documentación a expedientes en trámite
Presentación de documentos habitualmente solicitados
Solicitud de consulta de documentos a archivo
Oficinas de asistencia de registro
Validación de documentos
Portal Tributario
Recibos
Multas
Autoliquidaciones
Objetos tributarios
Mi Calendario fiscal
Pago online de tributos y otros ingresos
Inicio
>
Política de Seguridad de la Información
Volver
Imprimir
Política de Seguridad de la Información
1. INTRODUCCIÓN
El Ayuntamiento de Mieres, depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la información tratada o los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
2. MISIÓN DEL AYUNTAMIENTO DE MIERES
El Ayuntamiento de Mieres, para la gestión de sus intereses y de las funciones y competencias que tiene encomendadas, promueve actividades y presta servicios públicos que contribuyen a satisfacer las necesidades y aspiraciones de la población. Para ello pone a disposición de esta la realización de trámites online con el objetivo de impulsar la participación de la ciudadanía en los asuntos públicos estableciendo, de este modo, nuevas vías de participación que garanticen el desarrollo de la democracia participativa y la eficacia de la acción pública.
Se desea potenciar por otro lado el uso de las nuevas tecnologías en el Ayuntamiento y en la propia ciudadanía. Los principales objetivos que se persiguen entre otros son: fomentar la relación electrónica de la ciudadanía con el Ayuntamiento, crear la confianza necesaria entre ciudadano y Ayuntamiento en esta relación.
3. ALCANCE
Esta Política de Seguridad de la Información (en adelante, Política de Seguridad) se aplicará a los sistemas de información del Ayuntamiento de Mieres, que están relacionados con el ejercicio de derechos por medios electrónicos, con el cumplimiento de deberes por medios electrónicos o con el acceso a la información o al procedimiento administrativo y que se encuentran dentro del alcance del Esquema Nacional de Seguridad (ENS).
Todos los empleados públicos y cargos electos (miembros) del Ayuntamiento de Mieres, así como el personal de terceros relacionados con éste, que se encuentren afectados por el alcance del ENS, tienen la obligación de conocer y cumplir esta “Política de Seguridad de la Información” y la normativa de seguridad, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue al personal afectado.
4. MARCO NORMATIVO
La base normativa que afecta al desarrollo de las actividades y competencias del Ayuntamiento de Mieres, en lo que a administración electrónica se refiere y, en particular, la prestación de sus servicios electrónicos a la ciudadanía, y que implica la implantación de forma explícita de medidas de seguridad en los sistemas de información, está constituida con carácter general por la siguiente legislación:
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS).
Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, modificada por la Ley 11/1999, de 21 de abril.
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD).
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
La restante normativa especial o sectorial y de desarrollo que contenga previsiones en materia de seguridad de la información, en particular las instrucciones técnicas de obligado cumplimiento del Esquema Nacional de Seguridad y, en su caso, guías de seguridad aprobadas por el Centro Criptológico Nacional (en adelante, CCN).
Las normas dictadas por el Ayuntamiento de Mieres que afecten a la Seguridad de la Información.
La jurisprudencia dictada en la materia y las interpretaciones y recomendaciones del del CCN y de las autoridades de control en protección de datos personales.
También forman parte del marco normativo las restantes normas aplicables a la Administración Electrónica del Ayuntamiento de Mieres, derivadas de las anteriores y publicadas en las sedes electrónicas comprendidas dentro del ámbito de aplicación de la presente Política.
El Ayuntamiento de Mieres mantendrá un registro con el marco normativo aplicable al Ayuntamiento, incluyendo las instrucciones técnicas de seguridad de obligado cumplimiento, tal y como se contempla en el Esquema Nacional de Seguridad (ENS), siendo el Comité de Seguridad de la Información el encargado del mantenimiento del precitado registro.
Asimismo, el Comité de Seguridad de la Información del Ayuntamiento de Mieres, también será responsable de identificar las guías de seguridad del CCN, que serán de aplicación para mejorar el cumplimiento de lo establecido en el Esquema Nacional de Seguridad (ENS).
5. CUMPLIMIENTO DE LOS REQUISITOS MÍNIMOS DE SEGURIDAD
El Ayuntamiento de Mieres, para lograr el cumplimiento de los artículos del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la administración electrónica, que recogen los principios básicos y de los requisitos mínimos, ha implementado diversas medidas de seguridad proporcionales a la naturaleza de la información y los servicios a proteger y teniendo en cuenta la categoría de los sistemas afectados.
5.1 La seguridad como un proceso integral (artículo 6), seguridad por defecto y mínimo privilegio (artículo 20)
La seguridad se entiende como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos, relacionados con el sistema de información. La aplicación del Esquema Nacional de Seguridad al Ayuntamiento de Mieres estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural.
Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y la de los responsables jerárquicos, para evitar que, la ignorancia, la falta de organización y de coordinación o de instrucciones adecuadas, constituyan fuentes de riesgo para la seguridad.
Los sistemas de información deben diseñarse y configurarse otorgando los mínimos privilegios necesarios para su correcto desempeño, lo que implica incorporar los siguientes aspectos:
a) El sistema proporcionará la funcionalidad imprescindible para que la organización alcance sus objetivos competenciales o contractuales.
b) Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo sean accesibles por las personas autorizadas, desde emplazamientos o equipos asimismo autorizados; pudiendo exigirse, en su caso, restricciones de horario y puntos de acceso facultados.
c) En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que sean innecesarias o inadecuadas al fin que se persigue. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.
d) Se aplicarán guías de configuración de seguridad para las diferentes tecnologías, adaptadas a la categorización del sistema, al efecto de eliminar o desactivar las funciones que sean innecesarias o inadecuadas.
5.2 Vigilancia continua y reevaluación periódica (artículo 10), integridad y actualización del sistema (artículo 21) y mejora continua del proceso de seguridad (artículo 27)
La vigilancia continua por parte del Ayuntamiento de Mieres permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta.
La evaluación permanente del estado de la seguridad de los activos permitirá medir su evolución, detectando vulnerabilidades e identificando deficiencias de configuración.
Las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.
La inclusión de cualquier elemento físico o lógico en el catálogo actualizado de activos del sistema, o su modificación, requerirá autorización formal previa.
La evaluación y monitorización permanentes permitirán adecuar el estado de seguridad de los sistemas atendiendo a las deficiencias de configuración, las vulnerabilidades identificadas y las actualizaciones que les afecten, así como la detección temprana de cualquier incidente que tenga lugar sobre los mismos.
El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a la gestión de la seguridad de las tecnologías de la información.
5.3 Gestión de personal (artículo 15) y profesionalidad (artículo 16)
Todo el personal, propio o ajeno, relacionado con los sistemas de información del Ayuntamiento de Mieres, dentro del ámbito del ENS, serán formados e informados de sus deberes, obligaciones y responsabilidades en materia de seguridad. Su actuación será supervisada para verificar que se siguen los procedimientos establecidos, las normas y procedimiento operativos de seguridad aprobados para el desempeño de sus cometidos.
El significado y alcance del uso seguro del sistema se concretará y plasmará en unas normas de seguridad que serán aprobadas por la dirección o el órgano superior correspondiente. De igual modo, se determinarán los requisitos de formación y experiencia necesaria del personal para el desarrollo de su puesto de trabajo.
La seguridad de los sistemas de información estará atendida y será revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: planificación, diseño, adquisición, construcción, despliegue, explotación, mantenimiento, gestión de incidencias y desmantelamiento.
De manera objetiva y no discriminatoria, se exigirá que las organizaciones que nos proporcionen servicios de seguridad cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez en los servicios prestados.
5.4 Gestión de la seguridad basada en los riesgos (artículo 7), análisis y gestión de riesgos (artículo 14)
El análisis y la gestión de los riesgos será parte esencial del proceso de seguridad y será una actividad continua y permanentemente actualizada.
La gestión de los riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos a niveles aceptables. La reducción a estos niveles se realizará mediante una apropiada aplicación de medidas de seguridad, de manera equilibrada y proporcionada a la naturaleza de la información tratada, de los servicios a prestar y de los riesgos a los que estén expuestos.
Esta gestión se realizará por medio del análisis y tratamiento de los riesgos a los que está expuesto el sistema. Sin perjuicio de lo dispuesto en el anexo II del ENS, se empleará alguna metodología reconocida internacionalmente. Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos.
5.5 Incidentes de seguridad (artículo 25), prevención, detección, respuesta y conservación (artículo 8)
El Ayuntamiento de Mieres, dispone de procedimientos de gestión de incidentes de seguridad acuerdo con lo previsto en el Esquema Nacional de Seguridad (ENS), la Instrucción Técnica de Seguridad correspondiente, y de mecanismos de detección, criterios de clasificación, procedimientos de análisis y resolución, así como de los cauces de comunicación a las partes interesadas y el registro de las actuaciones.
La seguridad del sistema contemplará las acciones relativas a los aspectos de prevención, detección y respuesta, al objeto de minimizar sus vulnerabilidades y lograr que las amenazas sobre el mismo no se materialicen o que, en el caso de hacerlo, no afecten gravemente a la información que maneja o a los servicios que presta.
Las medidas de prevención que podrán incorporar componentes orientados a la disuasión o a la reducción de la superficie de exposición, deben eliminar o reducir la posibilidad de que las amenazas lleguen a materializarse.
Las medidas de detección irán dirigidas a descubrir la presencia de un ciberincidente.
Las medidas de respuesta se gestionarán en tiempo oportuno, estarán orientadas a la restauración de la información y los servicios que pudieran haberse visto afectados por un incidente de seguridad.
El sistema de información garantizará la conservación de los datos e información en soporte electrónico.
De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos que sean la base para la preservación del patrimonio digital.
5.6 Existencia de líneas de defensa (artículo 9) y prevención ante otros sistemas de información interconectados (artículo 23)
El Ayuntamiento de Mieres, ha implementado una estrategia de protección del sistema de información constituida por múltiples capas de seguridad, constituidas por medidas organizativas, físicas y lógicas, de tal forma que cuando una capa ha sido comprometida permita desarrollar una reacción adecuada frente a los incidentes que no han podido evitarse, reduciendo la probabilidad de que el sistema sea comprometido en su conjunto y minimizar el impacto final sobre el mismo.
Se protegerá el perímetro del sistema de información, especialmente, cuando el sistema del Ayuntamiento se conecta a redes públicas, tal y como se definen en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, reforzándose las tareas de prevención, detección y respuesta a incidentes de seguridad.
En todo caso, se analizarán los riesgos derivados de la interconexión del sistema con otros sistemas y se controlará su punto de unión. Para la adecuada interconexión entre sistemas se estará a lo dispuesto en la Instrucción Técnica de Seguridad correspondiente.
5.7 Diferenciación de responsabilidades (artículo 11) y organización e implantación del proceso de seguridad (artículo 13)
El Ayuntamiento de Mieres, ha organizado su seguridad comprometiendo a todos los miembros de la corporación mediante la designación de diferentes roles de seguridad con responsabilidades claramente diferenciadas, tal y como se recoge en el apartado de “ORGANIZACIÓN DE LA SEGURIDAD” del presente documento.
5.8 Autorización y control de los accesos (artículo 17)
El Ayuntamiento de Mieres, ha implementado mecanismos de control de acceso al sistema de información, limitándolo a los usuarios, procesos, dispositivos y otros sistemas de información, debidamente autorizados, y exclusivamente a las funciones permitidas.
5.9 Protección de las instalaciones (artículo 18)
El Ayuntamiento de Mieres, ha implementado mecanismos de control de acceso físico, previniendo los accesos físicos no autorizados, así como los daños a la información y a los recursos, mediante perímetros de seguridad, controles físicos y protecciones generales en áreas.
5.10 Adquisición de productos de seguridad y contratación de servicios de seguridad (artículo 19)
Para la adquisición de productos de seguridad o contratación de servicios de seguridad de las tecnologías de la información y la comunicación que vayan a ser empleados en el Ayuntamiento de Mieres, se tendrá en cuenta que dichos productos tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, y de forma proporcionada a la categoría del sistema y el nivel de seguridad determinados.
Para la contratación de servicios de seguridad se atenderá a lo señalado anteriormente y en lo dispuesto en cuanto a la revisión y auditoría de la seguridad de los sistemas de información por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida.
El Ayuntamiento de Mieres exigirá, de manera objetiva y no discriminatoria, que las organizaciones que les presten servicios de seguridad cuenten con profesionales cualificados y con unos niveles idóneos de gestión y madurez en los servicios prestados.
5.11 Protección de información almacenada y en tránsito (artículo 22) y continuidad de la actividad (artículo 26)
El Ayuntamiento de Mieres, prestará especial atención a la información almacenada o en tránsito a través de los equipos o dispositivos portátiles o móviles, los dispositivos periféricos, los soportes de información y las comunicaciones sobre redes abiertas, que deberán analizarse especialmente para lograr una adecuada protección.
Se aplicarán procedimientos que garanticen la recuperación y conservación a largo plazo de los documentos electrónicos producidos por los sistemas de información comprendidos en el ámbito de aplicación del ENS, cuando ello sea exigible.
Toda información en soporte no electrónico que haya sido causa o consecuencia directa de la información electrónica a la que se refiere el ENS, deberá estar protegida con el mismo grado de seguridad que ésta. Para ello, se aplicarán las medidas que correspondan a la naturaleza del soporte, de conformidad con las normas que resulten de aplicación.
Los sistemas dispondrán de copias de seguridad y se establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales.
5.12 Registro de actividad y detección de código dañino (artículo 24)
El Ayuntamiento de Mieres, con el propósito de satisfacer el objeto del ENS, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, registrará las actividades de los usuarios, reteniendo la información estrictamente necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa.
Al objeto de preservar la seguridad de los sistemas de información, garantizando la rigurosa observancia de los principios de actuación de las Administraciones públicas, y de conformidad con lo dispuesto en el Reglamento General de Protección de Datos y el respeto a los principios de limitación de la finalidad, minimización de los datos y limitación del plazo de conservación allí enunciados, el Ayuntamiento de Mieres podrá, en la medida estrictamente necesaria y proporcionada, analizar las comunicaciones entrantes o salientes, y únicamente para los fines de seguridad de la información, de forma que sea posible impedir el acceso no autorizado a las redes y sistemas de información, detener los ataques de denegación de servicio, evitar la distribución malintencionada de código dañino así como otros daños a las antedichas redes y sistemas de información.
Para corregir o, en su caso, exigir responsabilidades, cada usuario que acceda al sistema de información deberá estar identificado de forma única, de modo que se sepa, en todo momento, quién recibe derechos de acceso, de qué tipo son éstos, y quién ha realizado una determinada actividad.
5.13 Infraestructuras y servicios comunes (artículo 29)
El Ayuntamiento de Mieres, tendrá en cuenta que la utilización de infraestructuras y servicios comunes de las administraciones públicas, incluidos los compartidos o transversales, facilitará el cumplimiento de lo dispuesto en el ENS.
5.14 Perfiles de cumplimiento específicos y acreditación de entidades de implementación de configuraciones seguras (artículo 30)
El Ayuntamiento de Mieres, tendrá en cuenta la aplicación de aquellos perfiles de cumplimiento específicos para entidades locales que le sean de aplicación.
6. ORGANIZACIÓN DE LA SEGURIDAD
Para garantizar el cumplimiento del Esquema Nacional de Seguridad y establecer la organización de la seguridad de la información, adaptada a las necesidades y particularidad de este Ayuntamiento, se han definido los siguientes roles:
Responsable de la Información y de los Servicios
: Comité de Seguridad de la Información.
Responsable de Seguridad
: Jefe de Sección de Nuevas Tecnologías del Ayuntamiento de Mieres.
Responsable del Sistema: Técnico adscrito al Departamento
de Informática del Ayuntamiento de Mieres.
El Ayuntamiento de Mieres ha constituido el
Comité de Seguridad de la Información,
como órgano colegiado y está formado por los siguientes miembros:
Presidente
: Concejal con competencias en Sistemas de Información.
Secretario
: Personal funcionario o laboral fijo de plantilla de la corporación.
Vocales
:
Responsable de Seguridad
: Jefe del Departamento de Informática del Ayuntamiento de Mieres.
Responsable del Sistema
: Responsable de Sistemas del Departamento de Informática del Ayuntamiento de Mieres.
Delegado de Protección de Datos
. Técnico Medio del Ayuntamiento de Mieres.
Asesor o asesora del Concejal con competencias en Sistemas de Información
.
El Delegado de Protección de Datos (DPD) al igual que el Asesor del Responsable de la Información y de los Sistemas, participará con voz, pero sin voto, en las reuniones del Comité de Seguridad de la Información cuando en el mismo vayan a abordarse cuestiones relacionadas con el tratamiento de datos de carácter personal, así como siempre que se requiera su participación. En todo caso, si un asunto se sometiese a votación se hará constar siempre en acta la opinión del Delegado de Protección de Datos (DPD) y del Asesor del Responsable de la Información y de los Sistemas.
Con carácter opcional, otros miembros del Ayuntamiento de Mieres podrán incorporarse a las labores del Comité, incluidos grupos de trabajo especializados, ya sean de carácter interno, externo o mixto.
El Comité de seguridad de la Información celebrará sus sesiones en las dependencias del Ayuntamiento de Mieres con periodicidad semestral, previa convocatoria al efecto realizada por el Presidente de dicho Comité.
El Comité de Seguridad de la Información, se encargará también, de la resolución de los conflictos y/o diferencias de opiniones, que pudieran surgir entre los roles de seguridad.
6.1 Responsabilidades asociadas al Esquema Nacional de Seguridad
A continuación, se detallan y se establecen las funciones y responsabilidades de cada uno de los roles de seguridad que recoge el Comité de Seguridad:
Funciones del Responsable de la Información y de los Servicios
Serán funciones del Responsable de la Información y de los Servicios:
Determinar los niveles de seguridad de la información tratada, y los requisitos de la información en materia de seguridad, según los parámetros del Anexo I del ENS, siguiendo los criterios de valoración de la Política de Seguridad, recabando al efecto propuesta al Responsable de Seguridad y contando con la participación del Responsable del Sistema.
Valorar las consecuencias de un impacto negativo sobre la seguridad de la información, que efectuará atendiendo a su repercusión en la capacidad del Ayuntamiento para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de la ciudadanía.
Tratar desde su nivel de responsabilidad los incidentes de seguridad conforme al procedimiento que se establezca al efecto.
Aceptar los niveles de riesgo residual que afectan al Servicio y a la Información.
Poner en comunicación del Responsable de Seguridad, cualquier variación respecto a la Información y los Servicios de los que es responsable, especialmente la incorporación de nuevos Servicios o Información a su cargo. El cual dará traslado de dichos cambios al Comité de Seguridad de la Información.
Funciones del Responsable de Seguridad
Serán funciones del Responsable de Seguridad:
Mantener y verificar el nivel adecuado de seguridad de la Información manejada y de los servicios electrónicos prestados por los sistemas de información.
Promover la formación y concienciación en materia de seguridad de la información.
Designar responsables de la ejecución del análisis de riesgos, de la declaración de aplicabilidad, identificar medidas de seguridad, determinar configuraciones necesarias, elaborar documentación del sistema.
Proporcionar asesoramiento para la determinación de la categoría de seguridad del sistema en base a la valoración de los servicios e información, en colaboración con el Responsable del Sistema y/o Comité de Seguridad de la Información.
Participar en la elaboración e implantación de los planes de mejora de la seguridad y llegado el caso en los planes de continuidad, procediendo a su validación.
Recoger los requisitos de protección de datos que sean fijados por el responsable o por el encargado del tratamiento, contando con el asesoramiento del Delegado de Protección de Datos que sean necesarios implementar en los sistemas de acuerdo a la naturaleza, alcance, contexto y fines del mismo, así como de los riesgos para los derechos y libertades de acuerdo a lo establecido en los artículos 24 y 32 del RGPD, y de acuerdo a la evaluación de impacto en la protección de datos, si se ha llevado a cabo.
Gestionar las revisiones y auditorías externas o internas del sistema, presentando sus conclusiones al Responsable del Sistema para que adopte las medidas correctoras adecuadas.
Gestionar los procesos de certificación.
Elevar al Comité de Seguridad la aprobación de cambios y otros requisitos del sistema.
Funciones del Responsable del Sistema
Serán funciones del Responsable del Sistema
Paralizar o dar suspensión al acceso a información o prestación de servicio si tiene el conocimiento de que estos presentan deficiencias graves de seguridad.
Desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida.
Elaborar los procedimientos operativos necesarios.
Definir la topología y la gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.
Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.
Prestar al Responsable de Seguridad de la Información y/o Comité de Seguridad asesoramiento para la determinación de la Categoría del Sistema.
Colaborar, si así se le requiere, en la elaboración e implantación de los planes de mejora de la seguridad y, llegado el caso, en los planes de continuidad.
Llevar a cabo las funciones del administrador de la seguridad del sistema:
La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad.
La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluyendo la monitorización de la actividad desarrollada en el sistema y su correspondencia con lo autorizado.
Aprobar los cambios en la configuración vigente del Sistema de Información.
Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
Asegurar que son aplicados los procedimientos aprobados para manejar el Sistema de Información.
Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
Monitorizar el estado de seguridad proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica.
Cuando la complejidad del sistema lo justifique el Responsable de Sistema podrá designar los responsables de sistema delegados que considere necesarios, que tendrán dependencia funcional directa de aquél y serán responsables en su ámbito de todas aquellas acciones que les delegue el mismo. De igual modo, también podrá delegar en otro/s funciones concretas de las responsabilidades que se le atribuyen.
Funciones del Comité de Seguridad de la Información
El Comité de Seguridad de la Información tendrá las siguientes funciones:
Atender las solicitudes, en materia de Seguridad de la Información, de la Administración y de los diferentes roles de seguridad y/o áreas informando regularmente del estado de la Seguridad de la Información.
Asesorar en materia de Seguridad de la Información.
Resolver los conflictos de responsabilidad que puedan aparecer entre las diferentes unidades administrativas.
Asumir las funciones del Responsable de la Información y del Responsable del Servicio, en los términos recogidos en el ENS y las Guías CCN-STIC del Centro Criptológico Nacional.
Promover la mejora continua del sistema de gestión de la Seguridad de la Información. Para ello se encargará de:
Coordinar los esfuerzos de las diferentes áreas en materia de Seguridad de la Información, para asegurar que estos sean consistentes, alineados con la estrategia decidida en la materia, y evitar duplicidades.
Proponer planes de mejora de la Seguridad de la Información, con su dotación presupuestaria correspondiente, priorizando las actuaciones en materia de seguridad cuando los recursos sean limitados.
Velar porque la Seguridad de la Información se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
Realizar un seguimiento de los principales riesgos residuales asumidos por la Administración y recomendar posibles actuaciones respecto de ellos.
Realizar un seguimiento de la gestión de los incidentes de seguridad y recomendar posibles actuaciones respecto de ellos.
Elaborar y revisar regularmente la Política de Seguridad de la Información para su aprobación por el órgano competente.
Elaborar la normativa de Seguridad de la Información para su aprobación en coordinación con la Dirección General.
Verificar los procedimientos de seguridad de la información y demás documentación para su aprobación.
Elaborar programas de formación destinados a formar y sensibilizar al personal en materia de Seguridad de la Información y en particular en materia de protección de datos de carácter personal.
Elaborar y aprobar los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de Seguridad de la Información.
Promover la realización de las auditorías periódicas ENS y de protección de datos que permitan verificar el cumplimiento de las obligaciones de la Administración en materia de seguridad de la Información.
6.2 Procedimiento de designación
La creación del Comité de Seguridad de la Información, el nombramiento de sus integrantes y la designación de los Responsables identificados en esta Política de Seguridad será realizada por el órgano con competencias en la materia del Ayuntamiento de Mieres, y comunicada a las partes afectadas.
Los miembros del Comité, así como los roles de seguridad serán revisados cada cuatro años o con ocasión de vacante.
6.3 Resolución de conflictos
Alcaldía o el órgano en el que esta delegue, se encargará de la resolución de los conflictos y/o diferencia de opiniones, que pudieran surgir entre los roles de seguridad.
7. DATOS DE CARÁCTER PERSONAL
El Ayuntamiento de Mieres solo recogerá datos de carácter personal cuando sean adecuados, pertinentes y no excesivos y éstos se encuentren en relación con el ámbito y las finalidades para los que se hayan obtenido. De igual modo, adoptará las medidas de índole técnica y organizativas necesarias para el cumplimiento de la normativa de Protección de Datos vigente en cada caso.
El Ayuntamiento de Mieres, ha implementado los mecanismos adecuados para garantizar la adecuación a la normativa vigente en materia de protección de datos. En particular el Ayuntamiento ha adoptado las medidas oportunas para adecuarse al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, consistentes en el análisis de legitimidad jurídica de cada uno de los tratamientos de datos que se llevan a cabo, el análisis de riesgos de los tratamientos, la evaluación de impacto en los casos en los que sea requerido, el registro de actividades y el nombramiento del Delegado de Protección de Datos.
8. DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
El Comité de Seguridad de la Información del Ayuntamiento de Mieres ha aprobado el desarrollo de un sistema de gestión, que será establecido, implementado, mantenido y mejorado, conforme a los estándares de seguridad. Este sistema se adecuará y servirá de gestión de los controles del Esquema Nacional de Seguridad.
El sistema será documentado y permitirá generar evidencias de los controles y del cumplimiento de los objetivos marcados por el Comité de Seguridad. Existirá un procedimiento de gestión documental que establecerá las directrices para la estructuración de la documentación de seguridad del sistema, su organización, gestión y acceso.
Corresponde al Comité de Seguridad de la Información la revisión anual de la presente Política proponiendo, en caso de que sea necesario mejoras de la misma, para su aprobación por parte del mismo órgano que la aprobó inicialmente.
9. TERCERAS PARTES
Cuando el Ayuntamiento de Mieres preste servicios a otros organismos, o maneje información de otros organismos, se les hará partícipe de esta Política de Seguridad. El Ayuntamiento de Mieres, definirá y aprobará los canales para la coordinación de la información y los procedimientos de actuación para la reacción ante incidentes de seguridad, así como el resto de las actuaciones que el Ayuntamiento de Mieres, lleve a cabo en materia de Seguridad en relación con otros organismos.
Cuando el Ayuntamiento de Mieres, utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad existente que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la mencionada normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de comunicación y resolución de incidencias.
Se garantizará que el personal de terceros esté adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política de Seguridad.
De igual modo, teniendo en cuenta la obligación de cumplir con lo dispuesto en las Instrucciones Técnicas de Seguridad y en consideración a la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, donde se establece que los operadores del sector privado que presten servicios o provean soluciones a las entidades públicas, a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad, deberán estar en condiciones de exhibir la correspondiente Declaración de Conformidad con el Esquema Nacional de Seguridad cuando se trate de sistemas de categoría BÁSICA, o la Certificación de Conformidad con el Esquema Nacional de Seguridad, cuando se trate de sistemas de categorías MEDIA o ALTA.
Cuando algún aspecto de esta Política de Seguridad no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el Responsable de la Información y de los Servicios para proceder a la contratación del tercero.
10. PUBLICIDAD
La presente Política de Seguridad se publicará, además de en el Boletín Oficial del Principado de Asturias, en la Sede Electrónica y en el Portal de Transparencia del Ayuntamiento de Mieres.
11. APROBACIÓN Y ENTRADA EN VIGOR
La Política de Seguridad de la Información será efectiva desde la fecha de aprobación por parte de la Alcaldía del Ayuntamiento de Mieres y hasta que sea reemplazada por una nueva Política.
Enlaces
BOPA: Aprobación y publicación de la política de seguridad de la información del Ayuntamiento de Mieres
Volver
Imprimir