Informazioaren Segurtasunerako Politika hau maiatzaren 3ko 311/2022 Errege Dekretuan, Administrazio Elektronikoaren eremuan Segurtasun Eskema Nazionala (aurrerantzean, SEN) arautzen duenean, jasotako legezko aginduak betetzeko asmoz formalizatzen da, eta EEP Consorcio de Compensación de Seguros (aurrerantzean, CCS) formalizatutako Informazioaren Segurtasunaren Gobernu eta Kudeaketa Esparrurako giltzarria da.

SENen helburua sistemen, datuen, komunikazioen eta zerbitzu elektronikoen segurtasuna bermatzeko bitarteko elektronikoen erabileran beharrezko konfiantza-baldintzak sortzea da, horretarako, neurriak identifikatuz eta ezarriz, eta herritarrei eta administrazio publikoei eskubideak baliatzeko eta betebeharrak bitarteko horien bidez betetzeko aukera emanez.

SENek, 12. artikuluan, segurtasun-politika bat izateko beharra ezartzen du, eta oinarrizko printzipioak eta bete beharreko gutxieneko baldintzak zehaztuz.

Informazioaren Segurtasun Politika honek Inteligentzia Zentro Nazionalari atxikitako Zentro Kriptologiko Nazionalaren CCN-STIC-805 gidan aintzat hartutako jarraibide, jarraibide eta jarraibideak betetzen ditu.

CCSk IKT sistemak (Informazioaren eta Komunikazioaren Teknologiak) erabiltzen ditu gobernu-organoek (aurrerantzean, Zuzendaritzak) formalizatu dituzten helburu estrategikoak lortzeko. Ondorioz, sistema horiek arretaz eman behar dira, eta segurtasun-neurri egokiak hartu behar dira informazioa istripuetatik edo nahita eragindako kalteetatik babesteko.

Informazioa da, CCSk ematen dituen ia zerbitzu guztietarako, zerbitzu horiek eraginkortasun- eta kalitate-bermeekin gauzatzeko ezinbesteko haria, eta, horrela, formalki ezarritako helburu estrategikoak betetzea lortzen da.

Hauek dira edozein zerbitzu ematean bermatu behar diren informazioaren segurtasun-dimentsio nagusiak:

• Konfidentzialtasuna: Informazioa baimendutako pertsonek, erakundeek edo prozesuek bakarrik eskura dezaketela bermatzen du.
• Osotasuna: Informazioa baimendutako pertsonek, erakundeek edo prozesuek soilik sortzen, aldatzen eta ezabatzen dutela bermatzen du.
• Erabilgarritasuna: Bermatzen du informazioa eskuragarri dagoela baimendutako pertsonek, erakundeek edo prozesuek behar dutenean.

Bestalde, beste segurtasun-dimentsio batzuk aurkezten dira, hala nola zatien autentifikazioa, trazabilitatea edo ez gaitzestea, eta horiek ere bermatu egin behar dira informazioaren segurtasun-balioak hala behar duenean ematen ari den zerbitzuaren testuinguruan.

Horrek esan nahi du erakundeak eta bertako langileek SENek eskatutako gutxieneko segurtasun-neurriak aplikatu behar dituztela, bai eta zerbitzuen prestazio-mailen etengabeko jarraipena egin, ohartarazitako kalteberatasunak monitorizatu eta intzidenteei erantzun eraginkorra prestatu ere, lehen adierazitako segurtasun-dimentsioak bermatzeko.

CSSk bermatu behar du segurtasuna IKT sistemen bizi-zikloaren etapa bakoitzaren zati integrala dela, sortzen denetik zerbitzua kentzen den arte, garatzeko edo eskuratzeko erabakiak hartzen diren arte eta ustiapeneko berezko jarduerak egiten diren arte.

Informazioaren Segurtasun Politika printzipio argiak eta ondo zehaztuak hartzean oinarritzen da, jarraibide estrategikoak, lege-eskakizunak eta hirugarrenekin formalizatutako kontratuak betetzen direla bermatzeko, eta, beraz, informazioaren eta komunikazioaren teknologiak modu seguruan erabiltzeko Consorcioaren tresna nagusi gisa eratzen da.

CCSren Informazioaren Segurtasun Politikatik datorren araudia (estandarrak, prozedurak eta segurtasun-jarraibideak) politika hori zabaldu ondoren sartuko da politika horretan, eta nahitaez bete beharko dute CCSren informazioa erabiltzen duten langile guztiek eta hirugarrenek.

Langileak arduratuko dira beren eginkizunak betetzean prozesatzen duten CCSko informazioaren segurtasunaz, eta informazioaren segurtasunari buruzko jarraibideak eta arauak ezagutu, ulertu eta bete beharko dituzte, gaitutako babes-neurriak behar bezala aplikatzen direla zainduz.

Langileek formalki esleitutako eginkizunak behar bezala betetzeko behar-beharrezkoa den informaziorako sarbidea baino ez dute izango, eta, horrela, gutxieneko pribilegio-politika bermatuko dute.

Informazioaren Segurtasun Politika hau CCSk segurtasunaren arloan onartutako jarduketa-gidalerroak formalizatzen dituen goi-mailako dokumentu gisa ezartzen da, eta zehaztasun handiagoz garatuko dira horretarako prestatutako segurtasun-araudian (estandarrak, prozedurak eta segurtasun-jarraibideak).

Premisa horren arabera, beraz, Informazioaren Segurtasun Politikak honako helburu nagusi hauek ditu:

• Informazioaren segurtasunaren arloan aplikatzekoa den lege-araudia betetzea.
• Formalizatutako misioa eta helburu estrategikoak betetzen laguntzea.
• Informazioaren segurtasuna emandako zerbitzuek eskatutako eskakizunekin lerrokatzea, informazio-aktiboek dituzten arriskuak aztertzeko eta ebaluatzeko prozesua formalizatuz eta gauzatuz, eta informazioaren segurtasunaren ingurunearekin lotutako arriskuak arintzeko estrategia bat definitzea.
• Informazio-aktiboen babes egokia bermatzea, horiek lortutako kritikotasun-mailaren arabera (informazio-aktiboen segurtasun-balioa, kontuan hartutako dimentsioen arabera).
• Segurtasun-araudi dokumentatuan jasotako segurtasun-neurri teknikoak eta antolamenduzkoak behar bezala ezartzeko behar diren baliabideen dimentsionamendua erraztea.
• Informazioaren segurtasunaren arloko jardunbide egokien erabilera sustatzea, eta antolaketa-egituraren testuinguruan segurtasun-kultura bat sortzea.
• Negozioaren Jarraitutasun Plan baten definizioa, ezarpena eta mantenua bultzatzea.
• Berrikuspen, monitorizazio, auditoria eta etengabeko hobekuntzarako mekanismoak ezartzea, emandako zerbitzuek eskatzen dituzten segurtasun-maila egokiei eusteko.

CCSk Informazioaren Segurtasuneko Politika hau aplikatuko du ENSaren aplikazio-eremuaren eraginpean dauden informazio eta komunikazio sistema guztietan.

Informazioaren Segurtasun Politika formalizatzeak eta politika horretatik eratortzen den segurtasun-araudiak CCSren jarduera nagusiari aplikatu beharreko legezko araudi hau kontuan hartu eta integratuko du:

• 311/2022 Errege Dekretua, maiatzaren 3koa, Administrazio Elektronikoaren eremuan Segurtasun Eskema Nazionala arautzen duena.
• 4/2010 Errege Dekretua, urtarrilaren 8koa, Administrazio Elektronikoaren eremuan Elkarreragingarritasunaren Eskema Nazionala arautzen duena, ezarri beharreko segurtasun teknikoko eta antolakuntzako neurriei dagokienez.
• 39/2015 Legea, urriaren 1ekoa, Administrazio Publikoen Administrazio Prozedura Erkidearena.
• 40/2015 Legea, urriaren 1ekoa, Sektore Publikoaren Araubide Juridikoarena.
• 2016/679 (EB) Erregelamendua, Europako Parlamentuarena eta Kontseiluarena, 2016ko apirilaren 27koa (aurrerantzean, DBEO – Datuak Babesteko Erregelamendu Orokorra), datu pertsonalen tratamenduari eta datu horien zirkulazio askeari dagokienez pertsona fisikoak babesteari buruzkoa.
• 3/2018 Lege Organikoa, 2018ko abenduaren 5ekoa, Datu Pertsonalak Babestekoa eta Eskubide Digitalak Bermatzekoa (aurrerantzean, 3/2018 Legea).
• 9/2017 Legea, azaroaren 8koa, Sektore Publikoko Kontratuena, Europako Parlamentuaren eta Kontseiluaren 2014ko otsailaren 26ko 2014/23/EB eta 2014/24/EB Zuzentarauen transposizioa egiten duena Espainiako ordenamendu juridikora.
• 14/2019 Errege Lege Dekretua, urriaren 31koa, Administrazio digitalaren, sektore publikoko kontratazioaren eta telekomunikazioen arloetan segurtasun publikoko arrazoiengatik presako neurriak hartzen dituena.
• 34/2002 Legea, uztailaren 11koa, Informazio Gizartearen Zerbitzuei eta Merkataritza Elektronikoari buruzkoa (aurrerantzean, LSSICE).
• 6/2020 Legea, azaroaren 11koa, konfiantzazko zerbitzu elektronikoen zenbait alderdi arautzen dituena, Espainiako ordenamendu juridikoa 910/2014 (EB) Erregelamendura (eIDAS ere esaten zaio) egokitzen duena.
• Jabetza Intelektualaren Legearen Testu Bategina, 1996ko apirilaren 12ko 1/1996 Legegintzako Errege Dekretuaren bidez onartua. Araudi hori hainbat legek aldatu dute, hala nola 21/2014 Legeak, Europako zuzentarauen edukia Espainiako legeriara aldatzen duenak, eta 2/2019 Legeak, 2014/26/EB Zuzentaraua eta 2017/1564 (EB) Zuzentaraua txertatzen dituenak.
• PCI/487/2019 Agindua, apirilaren 26koa, Segurtasun Nazionaleko Kontseiluak onartutako 2019ko Zibersegurtasunaren Estrategia Nazionala argitaratzen duena.

Eta horiekin bat datozen gainerako xedapenak eta arestian aipatutakoak garatzeko xedapenak.

Aurretik identifikatutako segurtasun-helburuak betetzen direla bermatzeko, Informazioaren Segurtasun Politikak segurtasun-printzipio jakin batzuen aplikazioa formalizatzen du.

5.1. SEGURTASUNA PROZESU INTEGRAL GISA

Segurtasuna prozesu integrala da, eta zerbitzuak emateko euskarri gisa erabiltzen diren informazio-sistemekin zerikusia duten giza elementu, elementu material, tekniko, juridiko eta antolamenduzko guztiek osatzen dute. Ildo horretan, beraz, segurtasun-jarduera guztiak ikuspegi horretatik egingo dira, edozein jarduera puntual edo egoeraren araberako tratamendu saihestuz.

Arreta handia jarriko da zerbitzuak ematen esku hartzen duten pertsonen eta arduradun hierarkikoen kontzientziazioan, ezjakintasuna, antolaketarik eta koordinaziorik eza edo jarraibide egokiak informazioaren segurtasunerako arrisku-iturri izan ez daitezen.

5.2. ARRISKUEN ARABERAKO SEGURTASUNAREN KUDEAKETA

Arriskuak aztertzea eta kudeatzea segurtasun-prozesuaren funtsezko zatia da, eta etengabe eguneratutako jarduera izan behar du.

Arriskuak kudeatzeak informazio-ingurune kontrolatua mantentzea ahalbidetuko du, arriskuak maila onargarrietaraino minimizatuz.

Arriskua maila horietara murrizteko, segurtasun-neurriak aplikatuko dira, modu orekatuan eta proportzionatuan, tratatutako informazioaren izaeraren, eman beharreko zerbitzuen eta erabilitako informazio-aktiboek izan ditzaketen arriskuen arabera.

5.3. PREBENTZIOA, DETEKZIOA ETA ERANTZUNA

Informazioaren segurtasunak prebentzio-, detekzio- eta erantzun-alderdiei buruzko ekintzak jaso behar ditu, dauden kalteberatasunak minimizatzeko, eta mehatxuak gauzatu ez daitezen edo, egitekotan, emandako informazioari edo zerbitzuei larriki eragin ez diezaieten lortzeko.

Prebentzio-neurriek disuasiora edo esposizio-azalera murriztera bideratutako osagaiak izan ditzakete, eta mehatxuak gauzatzeko aukera murriztu behar dute.

Detekzio-neurriak mehatxuak gauzatzeko edozein egoeraren alerta goiztiarrera bideratuta egongo dira.

Behar den garaian kudeatuko diren erantzun-neurriak informazioa eta segurtasun-intzidentziaren bat izan dezaketen zerbitzuak lehengoratzera bideratuko dira.

5.4. DEFENTSA-LERROAK EGOTEA

Babes-estrategia hainbat segurtasun-geruzaz osatuta dagoela bermatu beharko da. Geruza horietako bat arriskuan dagoenean, saihestu ezin izan diren gertakarien aurrean behar bezala erreakzionatu ahal izango da, eta hedatu ahal izateko probabilitatea murriztu egingo da.

Defentsa-lerroak antolamendu-izaerako neurri fisiko eta logikoek osatu behar dituzte.

5.5. ETENGABEKO ZAINTZA ETA ALDIZKAKO BERREBALUAZIOA

Etengabeko zaintzari esker, ezohiko jarduerak edo portaerak detektatu ahal izango dira, eta horiei erantzun egokia eman ahal izango zaie.

Informazio-aktiboen segurtasun-egoera etengabe ebaluatuz gero, haien bilakaera neurtu ahal izango da, urrakortasunak hautemanez eta konfigurazio-akatsak identifikatuz.

Segurtasun-neurriak aldian-aldian berriz ebaluatu eta eguneratuko dira, haien eraginkortasuna arriskuen bilakaerara eta babes-sistemetara egokituta, eta, beharrezkoa izanez gero, segurtasuna birplanteatu ahal izango da.

5.6. ERANTZUKIZUNAK BEREIZTEA

Informazioaren segurtasunaren erantzukizuna informazio-sistemen ustiapenaren gaineko erantzukizunetik bereizita egongo da.

Informazioaren Segurtasun Politika garatzeak segurtasun-baldintza jakin batzuk betetzea ahalbidetu beharko du.

6.1. SEGURTASUN-PROZESUA ANTOLATZEA ETA EZARTZEA

Segurtasunak erakundeko kide guztiak konprometitu beharko ditu.

6.2. ARRISKUEN KUDEAKETA

Arriskuak kudeatzeko prozesua arriskuak aztertzeko eta tratatzeko jarduerek osatuko dute, proportzionaltasun-printzipioaren aplikazioa bermatuz.

6.3. LANGILEEN KUDEAKETA

Langileak, bertakoak zein kanpokoak izan, prestatu egin beharko dira, eta segurtasun-arloko betebeharren, betebeharren eta erantzukizunen berri eman beharko zaie.

Bere jarduna gainbegiratu beharko da ezarritako prozedurak betetzen direla egiaztatzeko, eta bere zereginak betetzean onartutako segurtasuneko arau eta prozedura operatiboak aplikatuko ditu.

Informazio-aktiboen erabilera seguruaren esanahia eta irismena segurtasun-arau espezifiko batzuetan zehaztu eta islatuko da.

6.4. PROFESIONALTASUNA

Informazioaren segurtasunari dagokionez, informazio-sistemen bizitza-zikloaren fase guztietan (planifikazioa, diseinua, eskurapena, eraikuntza, hedapena, ustiapena, mantentzea, gorabeheren kudeaketa eta baja) trebatutako, dedikatutako eta ikasitako langileek aztertu eta ikuskatuko dute.

Segurtasun-zerbitzuak ematen dituzten hirugarren erakundeek profesional kualifikatuak izan beharko dituzte, bai eta kudeaketa-maila eta emandako zerbitzuen heldutasun-maila egokiak ere.

Lanpostua garatzeko langileek bete behar dituzten prestakuntza- eta esperientzia-baldintzak zehaztuko dira.

6.5. SARBIDEAK BAIMENTZEA ETA KONTROLATZEA

Informazio-sistemetarako sarbide kontrolatua behar bezala baimendutako erabiltzaile, prozesu, gailu edo bestelako informazio-sistemetara mugatuko da, eta baimendutako funtzioetara soilik.

6.6. INSTALAZIOEN BABESA

Informazio-sistemek eta horiei lotutako komunikazio-azpiegiturek kontrolatutako eremuetan egon beharko dute, eta sarbide-mekanismo egokiak eta proportzionalak izan beharko dituzte, arriskuen analisiaren arabera.

6.7. GUTXIENEKO PRIBILEGIOA

Informazio-sistemak diseinatu eta konfiguratu behar dira, behar bezala jarduteko behar diren gutxieneko pribilegioak emanez. Horrek esan nahi du alderdi hauek sartu behar direla:

1. Informazio-sistemek eskumen- edo kontratu-helburuak lortzeko ezinbestekoa den funtzionaltasuna emango dute.
2. Jarduera operatzeko, administratzeko eta erregistratzeko funtzioak beharrezkoak diren gutxienekoak izango dira, eta baimendutako pertsonek bakarrik betetzen dituztela ziurtatuko da, era berean baimendutako kokaleku edo ekipoetatik, eta, hala badagokio, ordutegi-murrizketak eta baimendutako sarbide-puntuak eskatu ahal izango dira.
3. Konfigurazioa kontrolatuz, beharrezkoak ez diren edo lortu nahi den helbururako desegokiak diren funtzioak ezabatu edo desaktibatuko dira. Informazio-sistemen erabilera arruntak erraza eta segurua izan behar du, eta, beraz, erabilera ez-seguruak erabiltzaileak ekintza kontziente bat egin behar du.

6.8. SEGURTASUN-PRODUKTUAK ETA -ZERBITZUA EROSTEA/KONTRATATZEA

SENen aplikazio-eremuko informazio-sistemetan erabiliko diren segurtasun-produktuak eskuratzeko edo informazioaren eta komunikazioaren teknologien segurtasun-zerbitzuak kontratatzeko, produktu horiek eskuratzeko helburuarekin lotutako segurtasun-funtzionaltasuna ziurtatuta dutenak erabiliko dira, sistemaren kategoriaren eta segurtasun-mailaren arabera.

Kriptologia Zentro Nazionalaren (aurrerantzean, CCN) Informazioaren Teknologien Segurtasuna Ebaluatu eta Egiaztatzeko Eskema Nazionala Ziurtatzeko Erakundeak, Kriptologia Zentro Nazionala arautzen duen martxoaren 12ko 421/2004 Errege Dekretuaren 2.2.c) artikuluan xedatutakoaren babesean eratutakoak, kontuan hartuta erakunde horrek aitortutako ebaluaziorako irizpide eta metodologia nazionalak eta nazioartekoak, eta produktu edo zerbitzu zehatzaren aurreikusitako erabileraren arabera, honako alderdi hauek zehaztuko ditu bere eskumenen barruan:

1. Segurtasun- eta ziurtapen-betekizun funtzionalak.
2. Arau bidez eskatzen diren beste segurtasun-ziurtagiri gehigarri batzuk.
3. Salbuespen gisa, ziurtatutako produkturik edo zerbitzurik ez dagoen kasuetan jarraitu beharreko irizpidea.

Segurtasun-zerbitzuak kontratatzeko, aurreko paragrafoetan adierazitakoa eta profesionaltasun-betekizunean xedatutakoa beteko dira.

6.9. SISTEMAREN OSOTASUNA ETA EGUNERATZEA

Informazio-aktiboen erregistroan edozein elementu fisiko edo logiko sartzeko edo aldatzeko, aldez aurreko baimen formala beharko da.

Ebaluazio eta monitorizazio iraunkorrari esker, informazio-sistemen segurtasun-egoera egokitu ahal izango da konfigurazio-akatsak, identifikatutako ahultasunak eta eragiten dieten eguneratzeak kontuan hartuta, bai eta horien gainean gertatzen den edozein gorabehera goiz detektatzea ere.

6.10. BILTEGIRATUTAKO ETA IRAGAITZAZKO INFORMAZIOAREN BABESA

Arreta berezia jarriko da ekipo edo gailu eramangarri edo mugikorren, gailu periferikoen, informazio-euskarrien eta sare irekietako komunikazioen bidez biltegiratutako edo iragaitzazko informazioan. Informazio hori bereziki aztertu beharko da babes egokia lortzeko.

6.11. INTERKONEKTATUTAKO BESTE INFORMAZIO-SISTEMA BATZUEN AURREKO PREBENTZIOA

Informazio-sistemen perimetroa babestuko da, bereziki sare publikoetara konektatzen bada, eta prebentzio, detekzio eta segurtasun gorabeherei erantzuteko zereginak indartuko dira. Nolanahi ere, informazio-sistemak beste sistema batzuekin konektatzearen ondoriozko arriskuak aztertuko dira, eta horien lotura-puntua kontrolatuko da.

6.12. JARDUERAREN ERREGISTROA ETA KODE KALTEGARRIAREN DETEKZIOA

Erabiltzaileen jarduerak erregistratuko dira, eta behar ez diren edo baimendu ez diren jarduerak monitorizatzeko, aztertzeko, ikertzeko eta dokumentatzeko behar-beharrezkoa den informazioa gordeko da, une bakoitzean jarduten duen pertsona identifikatzeko aukera emanez. Hori guztia jardun-eremu honetan aplikatzekoak diren legezko xedapenak betez egingo da.

Informazio-sistemen segurtasuna zaintze aldera, eta aplikatu beharreko lege-araudia zorrotz betetzen dela bermatze aldera, sartzen diren eta irteten diren komunikazioak aztertu ahal izango dira, informazioaren segurtasun-helburuetarako soilik, eta horrela, sareetara eta informazio-sistemetara baimenik gabe sartzea eragotzi ahal izango da, zerbitzua ukatzeko erasoak gelditu ahal izango dira, kode kaltegarriak asmo txarrez banatzea saihestu ahal izango da, bai eta beste kalte batzuk ere.

Informazio-sistema zuzentzeko edo, hala badagokio, erantzukizunak eskatzeko, informazio-sisteman sartzen den erabiltzaile bakoitza modu bakarrean identifikatuta egon beharko da, une oro jakin dadin nork jasotzen dituen sarbide-eskubideak, zer motatakoak diren eta nork egin duen jarduera jakin bat.

6.13. SEGURTASUN-INTZIDENTEAK

Segurtasun-intzidenteak kudeatzeko prozedurak izango dira, bai eta alderdi interesdunei jakinarazteko bideak eta jardueren erregistroa ere. Erregistro hori informazio-sistemen segurtasuna etengabe hobetzeko erabiliko da.

6.14 JARDUERAREN JARRAIPENA

Informazio-sistemek segurtasun-kopiak izango dituzte, eta beharrezko mekanismoak ezarriko dira eragiketen jarraitutasuna bermatzeko, ohiko bitartekoak galduz gero.

6.15. ETENGABEKO HOBEKUNTZA

Ezarritako informazioaren segurtasun-prozesu integrala etengabe eguneratu eta hobetu beharko da.

Informazioaren Segurtasun Politika honen irismena osatzen duten sistemek arriskuak aztertu eta ebaluatu behar dituzte, jasaten dituzten mehatxuak identifikatzeko, mehatxu horiek gauzatzearekin lotutako inpaktua ebaluatzeko eta sor daitezkeen arrisku-egoerak zehazteko.

Arriskuen azterketa eta ebaluazio horren emaitzak aukera emango du arriskuak arintzeko estrategia gisa egokiak diren segurtasun-neurriak identifikatu eta proposatzeko.

Arriskuen azterketa horrek ezaugarri nagusi hauek ditu:

• Estatuan eta nazioartean jardunbide egokitzat jotzen diren arriskuak kudeatzeko arauak eta metodologiak aplikatzean oinarritzen da.
• Informaziorako eta emandako zerbitzuetarako erreferentziazko balorazio bat ezartzen du, arriskuen analisiari dakezkion jarduerak gauzatzean emaitza homogeneoak lortzeko.
• Urtean behin egiten da, edo honako egoera hauek aurkezten direnean:
  • Kudeatutako informazioaren, emandako zerbitzuen edo zerbitzu horiek emateko euskarri gisa jarduten duten sistemen funtsezko aldaketa.
  • Sistemari lotutako eraso-bektore, mehatxu edo kalteberatasun berriak identifikatzea.
  • Segurtasun-gertakari larri bat izatea.

Informazioaren Segurtasun Batzordeak gidatuko du arriskuen analisia aldizka gauzatzea, eta horretarako behar diren baliabide teknikoak, giza baliabideak eta baliabide ekonomikoak planifikatuko ditu.

CCSk ezarritako segurtasun-araudia hierarkikoki lotutako maila hauetan egituratzen da:

1. I. maila: Informazioaren Segurtasunerako Politika
2. II. maila: Informazioaren Segurtasuneko Estandarrak
3. III. maila: Informazioaren Segurtasunerako Prozedurak
4. IV. maila: Informazioaren segurtasunerako berariazko jarraibideak

Egitura hierarkiko horrek aukera ematen du beheko mailak eraginkortasunez egokitzeko CCSaren ingurune operatiboko aldaketetara.

CCSko langileek, Informazioaren Segurtasun Politikaz gain, beren eginkizunetan eragina izan dezaketen segurtasun-estandar, -prozedura eta -jarraibide guztiak ezagutu eta bete beharko dituzte.

Segurtasun-araudia eskuragarri egongo da erabiltzaile guztientzat, eta, bereziki, irismenean aintzat hartutako informazio- eta komunikazio-sistemak erabiltzen, funtzionatzen edo administratzen dituztenentzat.

CCSko segurtasunaren antolaketa arlo honetan aintzat hartutako funtzio eta erantzukizunak identifikatuz eta definituz ezartzen da, bai eta honako hauek osatzen duten antolaketa-egitura ezarriz ere:

1. Informazioaren Segurtasuneko Batzordea.
2. Segurtasun-arduraduna.
3. Sistemen arduraduna.
4. Informazioaren arduraduna.
5. Zerbitzuaren arduraduna.
6. Datuak Babesteko ordezkaria

9.1. INFORMAZIOAREN SEGURTASUNERAKO BATZORDEA

Informazioaren segurtasunaren arloan, kontrol-, gainbegiratze- eta harmonizazio-organo gorena da. Informazioaren Segurtasun Batzordea erakundeko gobernu-organoetako kide izango da.

9.1.1. OSAERA

Informazioaren Segurtasun Batzordea honako kide iraunkor hauek osatzen dute:

• Lehendakaria
• Idazkaria
• Kideak

Segurtasun-arduradunak planteatutako gai-zerrendaren arabera, Informazioaren Segurtasun Batzordearen deialdian identifikatutako zerbitzu-arduradunetako batzuen edo Datuak Babesteko Ordezkariaren laguntza eskatu ahal izango da, erabaki egokiak hartzeko beharrezkoa bada.

Informazioaren Segurtasun Batzordea ez da batzorde teknikoa, baina erabakiak hartzeko edo iritzi jakin bat emateko informazio egokia eskatuko die aldizka bertako edo kanpoko teknikariei. Aholkularitza hori kasu bakoitzean zehaztuko da, eta hainbat modutan gauzatu ahal izango da:

• Kanpoko aholkularitzan oinarrituta.
• Barneko lantalde espezializatuak, kanpokoak edo mistoak osatuz.
• Mintegietara edo bestelako prestakuntza-inguruneetara edo esperientziak trukatzeko inguruneetara joanda.

9.1.2. EGINKIZUNAK

Hauek dira Informazioaren Segurtasunerako Batzordearen eginkizunak:

• Zuzendaritzaren eta zerbitzu-arduradunen kezkei erantzutea.
• Informazioaren segurtasunaren egoeraren berri ematea aldizka Zuzendaritzari.
• Segurtasuna kudeatzeko eta gobernatzeko ereduaren etengabeko hobekuntza sustatzea.
• Segurtasun-arloko betebeharrak betetzen direla egiaztatzea ahalbidetzen duten aldizkako auditoretzak egin daitezen sustatzea.
• Informazioaren segurtasunaren arloan arloek egiten dituzten ahaleginak koordinatzea, formalizatutako segurtasun-helburuekin bat datozela ziurtatzeko.
• Arduradunen artean eta/edo antolakuntza-unitateen artean sor daitezkeen interes-gatazkak ebaztea, eta erabakitzeko behar besteko aginpiderik ez duten kasuak zuzendaritzara eramatea.
• Informazioaren segurtasun-politika egitea, aldizka berrikustea eta onartzea.
• Segurtasuneko arduradunak egindako informazioaren segurtasun-estandarrak onartzea.
• Identifikatutako rolen prestakuntza- eta kualifikazio-betekizunak lantzea eta onartzea, informazioaren segurtasunaren ikuspegitik.
• Informazioaren segurtasuna etengabe hobetzeko planak onartzea. Bereziki, hainbat arlotan plantea daitezkeen planen koordinazioa zaintzea.
• Arriskuak arintzeko estrategia formalizatuari dagokion jarraipena egitea.
• Segurtasun-intzidenteak kudeatzeko prozesuen jarduna monitorizatzea eta horretarako jarduketak gomendatzea. Bereziki, informazioaren segurtasuneko intzidenteen kudeaketan arlo guztien koordinazioa zaintzea.
• IKT proiektu guztietan informazioaren segurtasuna kontuan hartzen dela zaintzea, hasierako zehaztapenetik martxan jarri arte (diseinu bidezko segurtasun-bermeak).

9.2. EGINKIZUNAK ETA ERANTZUKIZUNAK

Segurtasunaren arloko eginkizunen eta erantzukizunen esleipena behar bezala lerrokatuta dago CCSren antolamendu-egituraren testuinguruan formalizatutako eskumen funtzionalekin.

9.2.1. ZERBITZUAREN ARDURADUNA

Zerbitzuko arduradunaren eginkizunak honako erantzukizun nagusi hauek hartzen ditu bere gain:

• Zerbitzuak dituen arriskuen jabe gisa jardutea.
• Zerbitzuaren segurtasun-mailak zehaztea eta eguneratuta edukitzea, eta informazioaren segurtasunari eragiten dioten gorabeherek eragindako inpaktuak balioestea, SENen ezarritakoaren arabera.

Jarduera hori gauzatzeko, segurtasun-arduradunarekin eta sistemen arduradunarekin koordinatuta jardun ahal izango du.

• Zerbitzuaren segurtasun-mailak bermatzea.
• Zerbitzuaren segurtasun-arriskuen analisia gauzatzea, segurtasun-arduradunaren parte-hartzearekin, eta identifikatutako arrisku-egoerak arintzeko estrategia gisa beharrezkoak diren neurri teknikoak eta antolamenduzkoak hautatzea.
• Identifikatutako arrisku-egoeren jarraipena, monitorizazioa eta kontrola egitea.

Zerbitzuaren arduradunak segurtasun-arduradunari bidaliko dio bere erantzukizunen esparruan gauzatutako zereginen emaitza, gutxienez urtean behin edo hark eskatuta, eta emaitza informazioa integratzeko formatu egokian emango du.

Gobernu-organoek zehaztutako helburu estrategikoak lortzeko prozesu egokiak aplikatzeaz arduratuko den zuzendaritza betearazlearen testuinguruan izendatuko da zerbitzuko arduraduna.

9.2.2. SEGURTASUN-ARDURADUNA

Segurtasun-arduradunaren funtzioak honako erantzukizun nagusi hauek hartzen ditu bere gain:

• Informazioaren Segurtasun Politika egiten parte hartzea, Informazioaren Segurtasun Batzordeak berrikusi eta onar dezan.
• Segurtasun-prozedurak eta -jarraibideak prestatzea eta onartzea.
• Segurtasun-araudia eta horri lotutako erregistroak eguneratuta mantentzen direla zaintzea.
• Informazioaren Segurtasun Politikatik datorren segurtasun-araudia formalizatzea eta zabaltzea.
• Informazioaren segurtasunaren arloko prestakuntza eta kontzientziazioa sustatzea, bere erantzukizun-eremuaren barruan.
• Langileak segurtasunaren arloan prestatzeko eta kontzientziatzeko planak egitea. Plan horiek Informazioaren Segurtasuneko Batzordeak onartuko ditu.
• Formalizatutako segurtasun-helburuak behar bezala betetzen direla monitorizatzea.
• Zerbitzu-arduradunen segurtasun-betekizunak biltzea.
• Informazio-sistemen kategoria formalki zehaztea, zerbitzu-arduradunek identifikatutako segurtasun-mailen arabera.
• Zerbitzu-arduradunekin lankidetzan aritzea arriskuen analisia gauzatzeko.
• Aplikagarritasun-adierazpena egitea, arriskuen analisiaren emaitza gisa.
• Arriskuen Tratamendurako Plana egitea, Informazioaren Segurtasunerako Batzordeak aintzat hartu eta onar dezan.
• Aktiboen bizi-ziklo osoan segurtasuna kontuan hartzeko Sistemen arduradunak proposatutako jarraibideak onartzea (segurtasun-printzipio lehenetsia).
• Datuak Babesteko ordezkariarekin lankidetzan aritzea, datu pertsonalak babesteko behar diren segurtasun-neurriak identifikatzeko.
• Informazioaren Segurtasun Batzordearen bileren buru izatea.
• Aldizka, Informazioaren Segurtasun Batzordeari segurtasunaren, jazotako gorabehera garrantzitsuen eta segurtasunaren egoeraren arloko jarduketen txosten bat ematea (bereziki, identifikatutako zerbitzuek jasaten duten hondar-arriskuaren mailari buruzkoa).
• Informazioaren Segurtasun Batzordeari eta Zuzendaritzari segurtasunaren arloan identifikatutako beharrak eta proposamenak azaltzea, arriskuak arintzeko estrategia gisa.

Segurtasun-arduradunaren figuraren eta zerbitzuak ematearekin zerikusia duen beste edozein funtzioren artean funtzio egokiak bereiztea bermatuko da.

Segurtasun-arduraduna gobernu-organoen testuinguruan izendatuko da.

9.2.3. SISTEMEN ARDURADUNA

Sistemen arduradunaren funtzioak honako erantzukizun nagusi hauek hartzen ditu bere gain:

• Informazio-sistemak garatzea, erabiltzea eta mantentzea bizi-ziklo osoan, formalizatutako zehaztapenen arabera, eta behar bezala funtzionatzen dutela egiaztatzea.
• Segurtasun-neurri espezifikoak segurtasun-esparru orokorraren barruan behar bezala txertatzen direla bermatzea.
• Zerbitzu jakin baten prestazioa etetea erabakitzea, baldin eta ezarritako baldintzak betetzeari eragin diezaioketen segurtasun-akats larrien berri ematen bazaio. Erabaki hori eragindako zerbitzuaren arduradunarekin eta segurtasun-arduradunarekin adostu behar da, gauzatu aurretik.
• IT hornitzaileentzat aplikatzen dituzten segurtasun-neurrien ezarpena kontrolatzea sistemak garatu, instalatu eta probatzeko etapetan.
• Sistemetan aplikatu beharreko hardware- eta software-konfigurazio baimendua zehaztea.
• Sistemak mantentzean, ustiatzean, ezartzean eta gainbegiratzean inplikatutako funtzioen erantzukizunak mugatzea.
• Segurtasun-prozedurak prestatzea segurtasun-arduradunarekin batera.
• Kontingentzia-planak ezartzea, aldian behingo ariketak planifikatuz, langileak plan horiekin ohitu daitezen.
• Sistemen jarduteko moduaren segurtasunari eragiten dioten aldaketak onartzea.
• Sistemetako edozein elementuren konfigurazioan funtsezko edozein aldaketa onartzea.
• Sistemen segurtasunaren egoera monitorizatzea, eta aldian-aldian edo segurtasun-gorabehera garrantzitsuen aurrean segurtasun-arduradunari jakinaraztea.

9.2.4. ERABILTZAILEAK

Erabiltzaileek honako erantzukizun nagusi hauek hartzen dituzte beren gain:

• Informazioaren segurtasun-politika ezagutzea eta betetzea, bai eta politika horretatik eratortzen den eta bere eginkizunak betetzean aplikatzekoa den segurtasun-araudia ere.
• Informazioaren segurtasunari buruz hautematen den gorabehera oro segurtasun-arduradunari jakinarazten laguntzea.
• Datuak Babesteko Ordezkariari datu pertsonalen segurtasunari dagokionez atzematen den arrakala oro jakinarazten laguntzea.
• Informazio-aktiboak ezarritako helbururako erabiltzea.
• Erakundearekin duen lan-harremana formalizatzearen ondoriozko informazioaren konfidentzialtasun-akordioei erantzutea.

CCSko langile guztiek ezagutu eta bete behar dute Informazioaren Segurtasun Politika hau eta politika horretatik eratortzen den araudia, eta Informazioaren Segurtasun Batzordearen ardura da informazioa kaltetuengana iristeko behar diren baliabideak izatea.

Langile guztiek segurtasunaren arloko kontzientziazio-ekintza jarraitua egingo dute. Kontzientziazio-ekintzen etengabeko programa bat ezarriko da langile guztiei arreta emateko, bereziki, langile berriei.

Langileek segurtasun-intzidenteak jakinarazteko prozedura erabili beharko dute, gorabeheraren bat antzemanez gero.

Sistemen eragiketan edo administrazioan erantzukizuna duten pertsonek sistemen kudeaketa segururako prestakuntza egokia jasoko dute.

CCSk zerbitzu bat emateko hirugarrenek parte hartzea eskatzen duenean, lankidetzari dagokion segurtasun-araudian parte hartuko dute, eta araudi horretan ezarritako betebeharren mende geratuko dira, eta, formalki, kanporatutako zerbitzuen irismenerako identifikatutako segurtasun-betekizunen mende.

Zerbitzua ematen den bitartean gerta daitezkeen gorabeherak jakinarazteko eta ebazteko prozedura espezifikoak formalizatuko dira.

Segurtasun-araudiaren alderdiren bat heren batek bete ezin badu, segurtasun-arduradunaren baimena beharko da, arriskuak eta horiek tratatzeko modua identifikatu ondoren, eta ezinezkoa izango da kontratazioa baimen hori lortu aurretik formalizatzea.

CCSk Pribatutasuna Kudeatzeko Sistema bat du, eta baimendutako pertsonek soilik izango dute sistema hori erabiltzeko aukera. Sistema hori DBEOren, 3/2018 Legearen eta arlo horretan indarrean dagoen gainerako araudiaren baldintzak betetzeko behar diren politikek eta prozedurek osatzen dute.

CCSk datu pertsonalak tratatzen ditu hainbat helbururekin, eta identifikatuta daude www.consorseguros.es web-orrian argitaratutako Tratamenduaren Jardueren Erregistroan.

CCSko informazio-sistema guztiak Pribatutasuna Kudeatzeko Sisteman bildutako datu pertsonalen izaera eta helbururako araudiak eskatutako segurtasun-mailetara egokituko dira.

CCSk, Datuak Babesteko ordezkariak aholkatuta, pribatutasunaren arloko arriskuen aldizkako azterketa egingo du, DBEOren 24. artikuluan ezarritako baldintzetan, bai eta DBEOren 35. artikuluan aurreikusitakoaren arabera egokiak diren eragin-ebaluazioak ere.

Nolanahi ere, arriskuen analisiaren eta, hala badagokio, egindako eragin-ebaluazioen ondorioz ezarri beharreko neurriak gailenduko dira, baldin eta SENen aurreikusitakoekin alderatuta neurri horiek larriagoak badira.

Informazioaren Segurtasun Politika urtero berrikusiko du Segurtasun Arduradunak, edo aldaketa esanguratsuren bat dagoenean (segurtasunaren kudeaketaren ikuspegia, operatibaren inguruabarrak, legezko aldaketak, giro teknikoko aldaketak, kontrol-agintariek egindako gomendioak, mehatxuekin eta kalteberatasunekin lotutako joerak, etab.) horretara behartzen duena.

Informazioaren Segurtasun Politikaren bertsio berri bat lortzen bada, Informazioaren Segurtasun Batzordearen onarpen formala beharko da, zabaldu aurretik.

Informazioaren Segurtasunerako Batzordeak 2025eko abenduaren 22an onartutako testua.

Informazioaren Segurtasunerako Politika hau eraginkorra da onartzen den egunaren biharamunetik politika berri batek ordezkatzen duen arte.

Indarrean jartzeak ondorio horietarako dagoen beste edozein politika indargabetzea dakar.