La present Política de Seguretat de la Informació es formalitza a fi de donar compliment als preceptes legals recollits en el Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat (d'ara endavant, *ENS), en l'àmbit de l'Administració Electrònica, i constitueix la pedra angular per al Marc de Govern i Gestió de la Seguretat de la Informació formalitzat en el Consorcio de Compensación de Seguros E.P.E (d'ara endavant, CCS).

La finalitat del ENS és la creació de les condicions necessàries de confiança en l'ús dels mitjans electrònics, a través de la identificació i implantació de mesures que permetin garantir la seguretat dels sistemes, les dades, les comunicacions i els serveis electrònics, atorgant als ciutadans i a les Administracions Públiques, el possible exercici de drets i el compliment de deures a través d'aquests mitjans.

El ENS, en el seu article 12, estableix l'obligació de disposar d'una Política de Seguretat, especificant els principis bàsics i els requisits mínims que ha de complir la mateixa.

Aquesta Política de Seguretat de la informació segueix les pautes, instruccions i indicacions considerades per la guia CCN-STIC-805 del Centre Criptològic Nacional, centre adscrit al Centre Nacional d'Intel·ligència.

El CCS fa ús dels sistemes TIC (Tecnologies de la Informació i Comunicacions) per a aconseguir els objectius estratègics que han estat formalitzats pels òrgans de govern (d'ara endavant, la Direcció). En conseqüència, aquests sistemes han de ser administrats amb diligència, prenent les mesures de seguretat adequades per a protegir la informació enfront de danys accidentals o deliberats.

La informació constitueix per a la pràctica totalitat dels serveis prestats pel CCS, el fil conductor imprescindible per a l'execució dels mateixos amb garanties d'eficiència i qualitat, aconseguint, amb això, el compliment dels objectius estratègics formalment establerts.

Les dimensions principals de seguretat de la informació que han de ser garantides en la prestació de qualsevol servei són:

• Confidencialitat: Garanteix que la informació només es troba accessible a persones, entitats o processos autoritzats.
• Integritat: Garanteix que la informació només es genera, modifica i elimina per persones, entitats o processos autoritzats.
• Disponibilitat: Garanteix que la informació es troba accessible quan les persones, entitats o processos autoritzats ho precisen.

D'altra banda, es presenten altres dimensions de seguretat, com ara l'autenticació de les parts, la traçabilitat o el no repudi que, d'igual forma, han de ser garantides quan el valor de seguretat de la informació en el context del servei que estigui sent prestat, així ho precisi.

Això implica que l'organització i el seu personal ha d'aplicar les mesures mínimes de seguretat exigides pel ENS, així com realitzar un seguiment continu dels nivells de prestació dels serveis, monitorar les vulnerabilitats alertades, i preparar una resposta efectiva als incidents per a garantir les dimensions de seguretat assenyalades amb anterioritat.

El CSS ha de garantir que la seguretat és part integral de cada etapa del cicle de vida dels sistemes TIC, des de la seva concepció fins a la seva retirada de servei, passant per les decisions de desenvolupament o adquisició, i les activitats pròpies d'explotació.

La Política de Seguretat de la Informació es basa en l'adopció de principis clars i ben definits que assegurin el compliment de les directrius estratègiques, els requeriments legals, així com els contractuals formalitzats amb tercers i, per tant, es constitueix com l'instrument principal en el qual es recolza el CCS per a la utilització segura de les tecnologies de la informació i comunicacions.

La normativa (estàndard, procediments i instruccions de seguretat) que emani de la Política de Seguretat de la Informació del CCS passarà a formar part de la mateixa una vegada hagi estat divulgada, sent d'obligat compliment per a la totalitat dels empleats i terceres parts que facin ús de la informació propietat del CCS.

Els empleats seran responsables de la seguretat de la informació del CCS que processen en l'acompliment de les seves funcions, i hauran de conèixer, comprendre i complir les directrius i normes relatives a la seguretat de la informació, vetllant per la correcta aplicació de les mesures de protecció habilitades.

L'accés a la informació per part dels empleats es limitarà a l'estrictament necessari per al correcte acompliment de les funcions formalment assignades garantint, amb això, l'atenció de la política de mínim privilegi.

La Política de Seguretat de la Informació queda establerta com el document d'alt nivell que formalitza les diferents directrius d'actuació en matèria de seguretat adoptades pel CCS, i que seran desenvolupades en major detall en la corresponent normativa de seguretat (estàndards, procediments i instruccions de seguretat) elaborada a tals efectes.

Sota aquesta premissa, per tant, la Política de Seguretat de la Informació contempla els següents objectius principals:

• Donar compliment a la normativa legal d'aplicació en l'àmbit de la seguretat de la informació.
• Contribuir a complir amb la missió i objectius estratègics formalitzats.
• Alinear la seguretat de la informació amb els requeriments demandats pels serveis prestats mitjançant la formalització i execució del procés d'anàlisi i avaluació dels riscos als quals es troben exposats els diferents actius d'informació, aconseguint la definició d'una estratègia per a la mitigació dels riscos relacionats amb l'entorn de la seguretat de la informació.
• Garantir la protecció adequada dels diferents actius d'informació en funció del grau de sensibilitat i criticitat aconseguit pels mateixos (valor de seguretat dels actius d'informació segons les diferents dimensions considerades).
• Facilitar el dimensionament dels recursos necessaris per a la correcta implantació de les mesures de seguretat d'índole tècnica i organitzativa recollides en la normativa de seguretat documentada a tals efectes.
• Fomentar l'ús de bones pràctiques en matèria de seguretat de la informació, així com crear una cultura de seguretat en el context de l'estructura organitzativa.
• Impulsar la definició, implantació i manteniment d'un Pla de Continuïtat de Negoci.
• Establir els mecanismes de revisió, monitoratge, auditoria i millora contínua a fi de mantenir els nivells de seguretat oportuns demandats pels serveis prestats.

El CCS aplicarà la present Política de Seguretat de la Informació sobre tots aquells sistemes d'informació i de comunicacions que es vegin afectats per l'àmbit d'aplicació del ENS.

La formalització de la Política de Seguretat de la Informació, així com la normativa de seguretat que es derivi d'aquesta, tindrà en consideració i integrarà la següent normativa legal aplicable a l'activitat principal del CCS:

• Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica.
• Reial decret 4/2010, de 8 de gener, pel qual es regula l'Esquema Nacional d'Interoperabilitat en l'àmbit de l'Administració Electrònica, pel que fa a les mesures de seguretat tècniques i organitzatives a implantar.
• Llei 39/2015, d'1 d'octubre, del Procediment Administratiu Comú de les Administracions Públiques.
• Llei 40/2015, d'1 d'octubre, de Règim Jurídic del Sector Públic.
• Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016 (d'ara endavant, RGPD – Reglament General de Protecció de Dades), relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades.
• Llei orgànica, 3/2018, de 5 de desembre de 2018, de Protecció de Dades Personals i Garantia dels Drets Digitals (d'ara endavant, Llei 3/2018).
• Llei 9/2017, de 8 de novembre, de Contractes del Sector Públic, per la qual es transposen a l'ordenament jurídic espanyol les Directives del Parlament Europeu i del Consell 2014/23/UE i 2014/24/UE, de 26 de febrer de 2014.
• Reial decret llei 14/2019, de 31 d'octubre, pel qual s'adopten mesures urgents per raons de seguretat pública en matèria d'administració digital, contractació del sector públic i telecomunicacions.
• Llei 34/2002, d'11 de juliol, de Serveis de la Societat de la Informació i de Comerç Electrònic (d'ara endavant, LSSICE).
• Llei 6/2020, d'11 de novembre, reguladora de determinats aspectes dels serveis electrònics de confiança, que adapta l'ordenament jurídic espanyol al Reglament (UE) 910/2014 (també conegut com eIDAS).
• Text Refós de la Llei de Propietat Intel·lectual, aprovat mitjançant el reial decret legislatiu 1/1996, de 12 d'abril de 1996. Aquesta normativa ha estat modificada per diverses lleis, incloent-hi la Llei 21/2014, que transposa el contingut de les directives europees a la legislació espanyola, i la Llei 2/2019, que incorpora la Directiva 2014/26/UE i la Directiva (UE) 2017/1564.
• Ordre PCI/487/2019, DE 26 d'abril, per la qual es publica l'Estratègia Nacional de Ciberseguretat 2019, aprovada pel Consell de Seguretat Nacional.

I altres disposicions concordants i de desenvolupament de les esmentades anteriorment.

A fi de garantir el compliment dels objectius de seguretat identificats amb anterioritat, la Política de Seguretat de la Informació formalitza l'aplicació de determinats principis de seguretat.

5.1. SEGURETAT COM A PROCÉS INTEGRAL

La seguretat s'entén com un procés integral constituït per tots els elements humans, materials, tècnics, jurídics i organitzatius relacionats amb els sistemes d'informació utilitzats com a suport per a la prestació de serveis. En aquest sentit, per tant, totes les activitats de seguretat seran executades sota aquesta perspectiva, evitant qualsevol actuació puntual o tractament conjuntural.

Es prestarà la màxima atenció a la conscienciació de les persones que intervenen en la prestació dels serveis, i la dels responsables jeràrquics a fi d'evitar que el desconeixement, la falta d'organització i de coordinació o d'instruccions adequades, constitueixin fonts de risc per a la seguretat de la informació.

5.2. GESTIÓ DE LA SEGURETAT BASADA EN ELS RISCOS

L'anàlisi i la gestió dels riscos és part essencial del procés de seguretat, havent de constituir una activitat contínua i permanentment actualitzada.

La gestió dels riscos permetrà el manteniment d'un entorn d'informació controlat, minimitzant els riscos fins a nivells acceptables.

La reducció del risc fins a tals nivells s'aconseguirà mitjançant l'aplicació de mesures de seguretat, de forma equilibrada i proporcionada a la naturalesa de la informació tractada, els serveis a prestar i els riscos als quals estiguin exposats els diferents actius d'informació utilitzats.

5.3. PREVENCIÓ, DETECCIÓ I RESPOSTA

La seguretat de la informació ha de contemplar les accions relatives als aspectes de prevenció, detecció i resposta, a fi de minimitzar les vulnerabilitats existents, i aconseguir que les amenaces no es materialitzin o que, en el cas de fer-lo, no afectin greument la informació o els serveis prestats.

Les mesures de prevenció, que podran incorporar components orientats a la dissuasió o a la reducció de la superfície d'exposició, han de reduir la possibilitat que les amenaces arribin a materialitzar-se.

Les mesures de detecció estaran orientades a l'alerta primerenca de qualsevol escenari de materialització d'amenaces.

Les mesures de resposta, que es gestionaran en temps oportú, estaran orientades a la restauració de la informació i els serveis que poguessin haver-se vist afectats per un incident de seguretat.

5.4. EXISTÈNCIA DE LÍNIES DE DEFENSA

S'haurà de garantir que l'estratègia de protecció queda conformada per múltiples capes de seguretat, disposades de manera que, quan una de les capes es vegi compromesa, es pugui reaccionar adequadament enfront dels incidents que no han pogut evitar-se, reduint la probabilitat que puguin propagar-se.

Les línies de defensa han d'estar constituïdes per mesures de naturalesa organitzativa, física i lògica.

5.5. VIGILÀNCIA CONTÍNUA I REAVALUACIÓ PERIÒDICA

La vigilància contínua permetrà la detecció d'activitats o comportaments anòmals i la seva oportuna resposta.

L'avaluació permanent de l'estat de seguretat dels actius d'informació permetrà mesurar la seva evolució, detectant vulnerabilitats i identificant deficiències de configuració.

Les mesures de seguretat es reavaluaran i actualitzaran periòdicament, adequant la seva eficàcia a l'evolució dels riscos i els sistemes de protecció, podent arribar a un replantejament de la seguretat, si fos necessari.

5.6. DIFERENCIACIÓ DE RESPONSABILITATS

La responsabilitat de la seguretat de la informació estarà diferenciada de la responsabilitat sobre l'explotació dels sistemes d'informació.

El desenvolupament de la Política de Seguretat de la Informació haurà de permetre el compliment de determinats requisits de seguretat.

6.1. ORGANITZACIÓ I IMPLANTACIÓ DEL PROCÉS DE SEGURETAT

La seguretat haurà de comprometre a tots els membres de l'organització.

6.2. GESTIÓ DE RISCOS

El procés de gestió de riscos estarà conformat per les activitats d'anàlisis i tractament dels riscos garantint l'aplicació del principi de proporcionalitat.

6.3. GESTIÓ DE PERSONAL

El personal, propi o aliè, haurà de ser format i informat dels seus deures, obligacions i responsabilitats en matèria de seguretat.

La seva actuació, que haurà de ser supervisada per a verificar que se segueixen els procediments establerts, aplicarà les normes i procediments operatius de seguretat aprovats en l'acompliment de les seves comeses.

El significat i abast de l'ús segur dels actius d'informació es concretarà i plasmarà en unes normes de seguretat específiques.

6.4. PROFESSIONALITAT

La seguretat de la informació estarà atesa i serà revisada i auditada per personal qualificat, dedicat i instruït en totes les fases del cicle de vida dels sistemes d'informació: planificació, disseny, adquisició, construcció, desplegament, explotació, manteniment, gestió d'incidències i baixa.

Les entitats terceres que prestin serveis de seguretat hauran de comptar amb professionals qualificats, així com nivells idonis de gestió i maduresa en els serveis prestats.

Es determinaran els requisits de formació i experiència necessària del personal per al desenvolupament del seu lloc de treball.

6.5. AUTORITZACIÓ I CONTROL D'ACCESSOS

L'accés controlat als sistemes d'informació haurà d'estar limitat als usuaris, processos, dispositius o altres sistemes d'informació, degudament autoritzats, i exclusivament a les funcions permeses.

6.6. PROTECCIÓ DE LES INSTAL·LACIONS

Els sistemes d'informació i la seva infraestructura de comunicacions associada hauran de romandre en àrees controlades i disposar dels mecanismes d'accés adequats i proporcionals en funció de l'anàlisi de riscos.

6.7. MÍNIM PRIVILEGI

Els sistemes d'informació han de dissenyar-se i configurar-se atorgant els mínims privilegis necessaris per al seu correcte acompliment, la qual cosa implica incorporar els següents aspectes:

1. Els sistemes d'informació proporcionaran la funcionalitat imprescindible perquè s'aconsegueixin els objectius competencials o contractuals.
2. Les funcions d'operació, administració i registre d'activitat seran les mínimes necessàries, i s'assegurarà que només són desenvolupades per les persones autoritzades, des d'emplaçaments o equips així mateix autoritzats, podent exigir-se, si és el cas, restriccions d'horari i punts d'accés facultats.
3. S'eliminaran o desactivaran mitjançant el control de la configuració les funcions que siguin innecessàries o inadequades per a la finalitat que es persegueix. L'ús ordinari dels sistemes d'informació ha de ser senzill i segur, de manera que una utilització insegura requereixi d'un acte conscient per part de l'usuari.

6.8. ADQUISICIÓ / CONTRACTACIÓ DE PRODUCTES I SERVEI DE SEGURETAT

En l'adquisició de productes de seguretat o contractació de serveis de seguretat de les tecnologies de la informació i la comunicació que vagin a ser emprats en els sistemes d'informació de l'àmbit d'aplicació del *ENS, s'utilitzaran, de forma proporcionada a la categoria del sistema i el nivell de seguretat determinats, aquells que tinguin certificada la funcionalitat de seguretat relacionada amb l'objecte de la seva adquisició.

L'Organisme de Certificació de l'Esquema Nacional d'Avaluació i Certificació de Seguretat de les Tecnologies de la Informació del Centre Criptològic Nacional (d'ara endavant, *CCN), constituït a l'empara del que es disposa en l'article 2.2.c) del Reial decret 421/2004, de 12 de març, pel qual es regula el Centre Criptològic Nacional, tenint en compte els criteris i metodologies d'avaluació nacionals i internacionals reconegudes per aquest organisme i en funció de l'ús previst del producte o servei concret dins de les seves competències, determinarà els següents aspectes:

1. Els requisits funcionals de seguretat i d'assegurament de la certificació.
2. Altres certificacions de seguretat addicionals que es requereixin normativament.
3. Excepcionalment, el criteri a seguir en els casos en què no existeixin productes o serveis certificats.

Per a la contractació de serveis de seguretat s'estarà a l'assenyalat en els apartats anteriors i al que es disposa en el requisit de professionalitat.

6.9. INTEGRITAT I ACTUALITZACIÓ DEL SISTEMA

La inclusió de qualsevol element físic o lògic en el registre d'actius d'informació, o la seva modificació, requerirà autorització formal prèvia.

L'avaluació i monitoratge permanents permetran adequar l'estat de seguretat dels sistemes d'informació ateses les deficiències de configuració, les vulnerabilitats identificades i les actualitzacions que els afectin, així com la detecció precoç de qualsevol incident que tingui lloc sobre els mateixos.

6.10. PROTECCIÓ D'INFORMACIÓ EMMAGATZEMADA I EN TRÀNSIT

Es prestarà especial atenció a la informació emmagatzemada o en trànsit a través dels equips o dispositius portàtils o mòbils, els dispositius perifèrics, els suports d'informació i les comunicacions sobre xarxes obertes, que hauran d'analitzar-se especialment per a aconseguir una adequada protecció.

6.11. PREVENCIÓ DAVANT ALTRES SISTEMES D'INFORMACIÓ INTERCONNECTATS

Es protegirà el perímetre dels sistemes d'informació, especialment, si es connecta a xarxes públiques, reforçant-se les tasques de prevenció, detecció i resposta a incidents de seguretat. En tot cas, s'analitzaran els riscos derivats de la interconnexió dels sistemes d'informació amb altres sistemes, i es controlarà el seu punt d'unió.

6.12. REGISTRE D'ACTIVITAT I DETECCIÓ DE CODI NOCIU

Es registraran les activitats dels usuaris, retenint la informació estrictament necessària per a monitorar, analitzar, investigar i documentar activitats indegudes o no autoritzades, permetent identificar a cada moment a la persona que actua. Tot això, es durà a terme en compliment de les disposicions legals d'aplicació en aquest àmbit d'actuació.

A fi de preservar la seguretat dels sistemes d'informació, garantint la rigorosa observança de la normativa legal d'aplicació, es podrà analitzar les comunicacions entrants i sortints, i únicament per a fins de seguretat de la informació, de manera que sigui possible impedir l'accés no autoritzat a les xarxes i sistemes d'informació, detenir els atacs de denegació del servei, evitar la distribució malintencionada de codi nociu, així com altres danys.

Per a corregir o, si és el cas, exigir responsabilitats, cada usuari que accedeixi al sistema d'informació haurà d'estar identificat de manera única, de manera que se sàpiga, en tot moment, qui rep drets d'accés, de quin tipus són aquests, i qui ha realitzat una determinada activitat.

6.13. INCIDENTS DE SEGURETAT

Es disposarà de procediments de gestió d'incidents de seguretat, així com vies de comunicació a les parts interessades, i el registre de les actuacions. Aquest registre s'emprarà per a la millora contínua de la seguretat dels sistemes d'informació.

6.14. CONTINUÏTAT DE L'ACTIVITAT

Els sistemes d'informació disposaran de còpies de seguretat, i s'establiran els mecanismes necessaris per a garantir la continuïtat de les operacions en cas de pèrdua dels mitjans habituals.

6.15. MILLORA CONTÍNUA

El procés integral de seguretat de la informació implantat haurà de ser actualitzat i millorat de manera contínua.

Els sistemes que conformen l'abast de la present Política de Seguretat de la Informació es troben subjectes a una anàlisi i avaluació de riscos a fi d'identificar les amenaces a les quals es troben exposats, avaluar l'impacte associat a la materialització de tals amenaces, i determinar les situacions de riscos que podrien derivar-se.

El resultat d'aquesta anàlisi i avaluació de riscos permetrà la identificació i proposició de les mesures de seguretat oportunes com a estratègia per a la mitigació d'aquests.

Aquesta anàlisi de riscos atén les següents característiques principals:

• Està basat en l'aplicació de normes i metodologies de gestió de riscos reconegudes com a bones pràctiques a nivell nacional i internacional.
• Estableix una valoració de referència per a la informació i els serveis prestats, de tal forma, que s'obtinguin resultats homogenis en l'execució de les activitats inherents a l'anàlisi de riscos.
• S'executa amb periodicitat anual, o quan es presenten els següents escenaris:
  • Modificació substancial de la informació gestionada, els serveis prestats, o els sistemes que actuen com a suport per a la prestació de tals serveis.
  • Identificació de nous vectors d'atac, amenaces o vulnerabilitats associades al sistema.
  • Presència d'un incident greu de seguretat.

El Comitè de Seguretat de la Informació liderarà l'execució periòdica de l'anàlisi de riscos, planificant els recursos tècnics, humans i econòmics necessaris a tals efectes.

La normativa de seguretat establerta pel CCS s'estructura en els següents nivells relacionats jeràrquicament:

1. Nivell I: Política de Seguretat de la Informació
2. Nivell II: Estàndards de Seguretat de la Informació
3. Nivell III: Procediments de Seguretat de la Informació
4. Nivell IV: Instruccions específiques de Seguretat de la Informació

Aquesta estructura jeràrquica permet adaptar amb eficiència els nivells inferiors als canvis en l'entorn operatiu del CCS.

El personal del CCS tindrà l'obligació de conèixer i complir, a més de la Política de Seguretat de la Informació, tots els estàndards, procediments i instruccions de seguretat que puguin afectar l'acompliment de les seves funcions.

La normativa de seguretat estarà disponible per a tots els usuaris i, en particular, per a aquells que utilitzin, operin o administrin els sistemes d'informació i de comunicacions considerats en l'abast.

L'organització de la seguretat en el CCS queda establerta mitjançant la identificació i definició de les diferents funcions i responsabilitats considerades en aquesta matèria, així com la implantació de l'estructura organitzativa composta per:

1. Comitè de Seguretat de la Informació.
2. Responsable de Seguretat.
3. Responsable de Sistemes.
4. Responsable de la Informació.
5. Responsable del Servei.
6. Delegat de Protecció de Dades

9.1. COMITÈ DE SEGURETAT DE LA INFORMACIÓ

Actua com a màxim òrgan de control, supervisió i harmonització en matèria de seguretat de la informació. El Comitè de Seguretat de la Informació pertanyerà als òrgans de govern de l'organització.

9.1.1. COMPOSICIÓ

El Comitè de Seguretat de la Informació està conformat pels següents membres permanents:

• President/a
• Secretari/a
• Vocals

En funció de l'ordre del dia plantejat pel Responsable de Seguretat, en la convocatòria del Comitè de Seguretat de la Informació es podrà sol·licitar l'assistència d'alguns dels Responsables de Servei identificats o el Delegat de Protecció de Dades si calgués per a la presa de decisions oportuna.

El Comitè de Seguretat de la Informació no és un comitè tècnic, no obstant això, recaptarà regularment del personal tècnic propi o extern, la informació pertinent per a la presa de decisions o emissió d'una opinió determinada. Aquest assessorament es determinarà en cada cas podent materialitzar-se de diferents formes:

• Secundant-se en un assessorament extern.
• Conformant grups de treball especialitzats interns, externs o mixtos.
• Assistint a seminaris o un altre tipus d'entorns formatius o d'intercanvi d'experiències.

9.1.2. FUNCIONS

Les funcions del Comitè de Seguretat de la Informació serien les següents:

• Atendre les inquietuds de la Direcció i dels Responsables de Serveis.
• Informar regularment de l'estat de la seguretat de la informació a la Direcció.
• Promoure la millora contínua del Model de Govern i Gestió de la Seguretat.
• Promoure l'execució de les auditories periòdiques que permetin verificar el compliment de les obligacions en matèria de seguretat.
• Coordinar els esforços de les diferents àrees en matèria de seguretat de la informació per a assegurar el seu alineament amb els objectius de seguretat formalitzats.
• Resoldre els conflictes d'interès que puguin presentar-se entre els diferents responsables i/o entre diferents unitats organitzatives, elevant a Direcció aquells casos en els quals no tingui suficient autoritat per a decidir.
• Elaborar, revisar regularment i aprovar la Política de Seguretat de la informació.
• Aprovar els estàndards de seguretat de la informació elaborats pel Responsable de Seguretat.
• Elaborar i aprovar els requisits de formació i qualificació dels rols identificats des del punt de vista de seguretat de la informació.
• Aprovar els plans de millora contínua de la seguretat de la informació. En particular, vetllar per la coordinació de diferents plans que puguin plantejar-se en diferents àrees.
• Efectuar el seguiment oportú en relació amb l'estratègia de mitigació de riscos formalitzada.
• Monitorar l'acompliment dels processos de gestió d'incidents de seguretat i recomanar possibles actuacions a tals efectes. En particular, vetllar per la coordinació de les diferents àrees en la gestió d'incidents de seguretat de la informació.
• Vetllar perquè la seguretat de la informació es tingui en compte en tots els projectes TIC des de la seva especificació inicial fins a la seva posada en operació (garanties de seguretat per disseny).

9.2. FUNCIONS I RESPONSABILITATS

L'assignació de funcions i responsabilitats en matèria de seguretat es troba degudament alineada amb les competències funcionals formalitzades en el context de l'estructura organitzativa del CCS.

9.2.1. RESPONSBLE DEL SERVEI

La funció de Responsable del Servei assumeix les següents responsabilitats principals:

• Actuar com a propietari dels riscos als quals es troba exposat el servei.
• Determinar i mantenir actualitzats els nivells de seguretat del servei, valorant els impactes derivats dels incidents que afecten la seguretat de la informació conforme amb el que s'estableix en el ENS.

Per a l'execució d'aquesta activitat, podrà actuar de manera coordinada amb el Responsable de Seguretat i el Responsable de Sistemes.

• Garantir els nivells de seguretat del servei.
• Executar l'anàlisi de riscos de seguretat del servei amb la participació del Responsable de Seguretat, així com seleccionar les mesures d'índole tècnica i organitzativa necessàries com a estratègia de mitigació dels escenaris de risc identificats.
• Efectuar el seguiment, monitoratge i control dels escenaris de risc identificats.

El Responsable del Servei remetrà al Responsable de Seguretat el resultat de les tasques executades en l'àmbit de les seves responsabilitats, almenys, una vegada a l'any o a petició d'aquest, reportant el resultat en format adequat per a la integració de la informació.

El Responsable del Servei haurà estat designat en el context de la direcció executiva encarregada de l'aplicació dels processos oportuns per a aconseguir la consecució dels objectius estratègics definits pels òrgans de govern.

9.2.2. RESPONSABLE DE SEGURETAT

La funció de Responsable de Seguretat assumeix les següents responsabilitats principals:

• Participar en l'elaboració de la Política de Seguretat de la Informació per a la revisió i aprovació per part del Comitè de Seguretat de la Informació.
• Elaborar i aprovar els procediments i instruccions de seguretat.
• Vetllar pel manteniment actualitzat del cos normatiu de seguretat i els registres associats.
• Formalitzar i divulgar la normativa de seguretat que emana de la Política de Seguretat de la Informació.
• Promoure la formació i conscienciació en matèria de seguretat de la informació dins del seu àmbit de responsabilitat.
• Elaborar els Plans de Formació i Conscienciació del personal en matèria de seguretat, sent aquests aprovats pel Comitè de Seguretat de la Informació.
• Monitorar el correcte compliment dels objectius de seguretat formalitzats.
• Recopilar els requisits de seguretat dels Responsables de Serveis.
• Determinar formalment la categoria dels sistemes d'informació en funció dels nivells de seguretat identificats pels Responsables de Serveis.
• Col·laborar amb els Responsables de Serveis en l'execució de l'anàlisi de riscos.
• Elaborar la Declaració d'Aplicabilitat com a resultat de l'anàlisi de riscos.
• Elaborar el Pla de Tractament de Riscos per a la seva consideració i aprovació pel Comitè de Seguretat de la Informació.
• Aprovar les directrius proposades pel Responsable de Sistemes per a considerar la seguretat durant tot el cicle de vida dels actius (principi de seguretat per defecte).
• Col·laborar amb el Delegat de Protecció de Dades en la identificació de les mesures de seguretat precises en matèria de protecció de dades personals.
• Liderar les reunions del Comitè de Seguretat de la Informació.
• Facilitar periòdicament al Comitè de Seguretat de la Informació un reporti d'actuacions en matèria de seguretat, d'incidents rellevants esdevinguts i de l'estat de la seguretat (en particular del nivell de risc residual al qual queden exposats els diferents serveis identificats).
• Exposar al Comitè de Seguretat de la Informació i la Direcció les necessitats i propostes identificades en matèria de seguretat com a estratègia per a la mitigació dels riscos.

Es garantirà la segregació de funcions oportuna entre la figura del Responsable de Seguretat i qualsevol altra funció relacionada amb la prestació de serveis.

El Responsable de Seguretat haurà estat designat en el context dels òrgans de govern.

9.2.3. RESPONSABLE DE SISTEMES

La funció de Responsable de Sistemes assumeix les següents responsabilitats principals:

• Desenvolupar, operar i mantenir els sistemes d'informació durant tot el seu cicle de vida segons especificacions formalitzades, verificant el seu correcte funcionament.
• Garantir que les mesures específiques de seguretat s'integrin adequadament dins del marc general de seguretat.
• Acordar la suspensió de la prestació d'un servei determinat si és informat de deficiències greus de seguretat que poguessin afectar la satisfacció dels requisits establerts. Aquesta decisió ha de ser acordada amb el Responsable del Servei afectat i amb el Responsable de Seguretat abans de ser executada.
• Controlar la implantació de les mesures de seguretat que apliquen per a proveïdors de TU durant les etapes de desenvolupament, instal·lació i prova dels sistemes.
• Determinar la configuració autoritzada de maquinari i programari que ha de ser aplicada en els sistemes.
• Delimitar les responsabilitats de les diferents funcions involucrades en el manteniment, explotació, implantació i supervisió dels sistemes.
• Elaborar procediments de seguretat de manera conjunta amb el Responsable de Seguretat.
• Establir plans de contingència, duent a terme la planificació d'exercicis periòdics perquè el personal es familiaritzi amb tals plans.
• Aprovar els canvis que afectin la seguretat del mode d'operació dels sistemes.
• Aprovar tota modificació substancial de la configuració de qualsevol element dels sistemes.
• Monitorar l'estat de la seguretat dels sistemes, i reportar-lo periòdicament o davant incidents de seguretat rellevants al Responsable de Seguretat.

9.2.4. USUARIS

Els usuaris assumeixen les següents responsabilitats principals:

• Conèixer i complir la Política de Seguretat de la Informació, així com la normativa de seguretat que es deriva de la mateixa i que sigui aplicable en l'acompliment de les seves funcions.
• Col·laborar en la notificació al Responsable de Seguretat de tot incident que es detecti relatiu a la seguretat de la informació.
• Col·laborar en la notificació al Delegat de Protecció de Dades de tota bretxa que es detecti relativa a la seguretat de les dades personals.
• Utilitzar els actius d'informació per al propòsit establert.
• Atendre els acords de confidencialitat de la informació derivats de la formalització de la seva relació laboral amb l'entitat.

Tot el personal del CCS té l'obligació de conèixer i complir aquesta Política de Seguretat de la Informació i la normativa que es derivi d'aquesta, sent responsabilitat del Comitè de Seguretat de la Informació disposar els mitjans necessaris perquè la informació arribi als afectats.

Tot el personal atendrà una acció contínua de conscienciació en matèria de seguretat. S'establirà un programa continu d'accions de conscienciació per a atendre a tot el personal, en particular, als de nova incorporació.

El personal haurà d'usar el procediment per a la notificació d'incidents de seguretat habilitat a aquest efecte en cas de detectar un possible incident.

Les persones amb responsabilitat en l'operació o administració de sistemes rebran la formació oportuna per a la gestió segura d'aquests.

Quan el CCS requereixi de la participació de terceres parts per a la prestació d'un servei, els farà participis de la normativa de seguretat que sigui de consideració en el context d'aquesta col·laboració, quedant aquests subjectes a les obligacions establertes en aquesta normativa i, formalment, als requisits de seguretat identificats per a l'abast dels serveis externalitzats.

Es formalitzaran els procediments específics de reporti i resolució d'incidents que poguessin presentar-se durant la prestació del servei.

Quan algun aspecte de la normativa de seguretat no pugui ser satisfet per una tercera part, es requerirà l'autorització del Responsable de Seguretat prèvia identificació dels riscos en què s'incorre i la manera de tractar-los, no sent possible la formalització de la contractació amb caràcter previ a l'obtenció d'aquesta autorització.

El CCS compta amb un Sistema de Gestió de la Privacitat al qual tindrà accés només les persones autoritzades, compost per les polítiques i procediments necessaris per a donar compliment als requisits del RGPD, la Llei 3/2018, així com a la resta de normativa vigent en la matèria.

El CCS tracta dades de caràcter personal amb diferents finalitats trobant-se identificades en el Registre d'Activitats del Tractament publicat en la pàgina web www.consorseguros.es

Tots els sistemes d'informació del CCS s'ajustaran als nivells de seguretat requerits per la normativa per a la naturalesa i finalitat de les dades de caràcter personal recollits en l'esmentat Sistema de Gestió de la Privacitat.

El CCS, assessorat pel Delegat de Protecció de Dades, realitzarà una anàlisi de riscos periòdic en matèria de privacitat en els termes establerts en l'article 24 RGPD, així com les avaluacions d'impacte pertinents conforme al que es preveu en l'article 35 RGPD.

En tot cas, prevaldran les mesures a implantar a conseqüència de l'anàlisi de riscos i, si és el cas, de les avaluacions d'impacte realitzades, en cas de resultar agreujades respecte a les previstes en el ENS.

La Política de Seguretat de la Informació serà revisada anualment pel Responsable de Seguretat o quan existeixi un canvi significatiu (enfocament de la gestió de la seguretat, circumstàncies de l'operativa, canvis legals, canvis en l'ambient tècnic, recomanacions realitzades per autoritats de control, tendències relacionades amb amenaces i vulnerabilitats, etc.) que obligui a això.

En el cas que s'obtingui una nova versió de la Política de Seguretat de la Informació, es precisarà l'aprovació formal del Comitè de Seguretat de la Informació amb caràcter previ a la seva divulgació.

Text aprovat pel Comitè de Seguretat de la Informació el dia 22 de Desembre de 2025.

Aquesta Política de Seguretat de la Informació és efectiva des de l'endemà de la seva data d'aprovació i fins que sigui reemplaçada per una nova política.

La seva entrada en vigor suposa la derogació de qualsevol altra política que existís a tals efectes.