Hemen ikusgai dauden gainerako formatuen edukia PDF dokumentu elektroniko ofizial eta jatorrizkoa eraldatuz lortu da
El contenido de los otros formatos que aquí se muestran, se ha obtenido mediante una transformación del documento electrónico PDF oficial y auténtico
ERABAKIA, 2013ko apirilaren 25ekoa, UPV/EHUko Gobernu Kontseiluarena, Universidad del País Vasco / Euskal Herriko Unibertsitatearen (UPV/EHU) Informazioaren Segurtasun Politika dokumentua onartzea.
ACUERDO de 25 de abril de 2013, del Consejo de Gobierno de la UPV/EHU, por el que se aprueba la Política de Seguridad de la Información de la Universidad del País Vasco / Euskal Herriko Unibertsitatea (UPV/EHU).
UPV/EHUk informazio eta komunikazio teknologiak (IKT) erabiltzen ditu bere helburuak betetzeko aurrera eramaten dituen jardueren laguntza tresna gisa. Beraz, IKT sistemak eta baliabideak arduraz kudeatu behar dira eta, orobat, informazioa eta horren euskarri diren sistema eta zerbitzu elektronikoak babesteko neurriak hartu, beren eskuragarritasunean, konfidentzialtasunean, osotasunean edo kontserbazioan eragina izan dezaketen ustekabeko kalteei zein nahita egindako kalteei aurre egin ahal izateko.
La UPV/EHU apoya su actividad en las tecnologías de la información y comunicación (TIC) para alcanzar sus objetivos institucionales. En consecuencia, los sistemas y recursos TIC deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, confidencialidad, integridad o conservación de la información y de los sistemas y servicios electrónicos que la sustenten.
Esandakoari erantzuten dio 11/2007 Legeak, ekainaren 22koak, herritarrek zerbitzu publikoak baliabide elektronikoez erabiltzeari buruzkoak, 42.2 artikuluan; eta horretarako arautu zen Segurtasun Eskema Nazionala (ENS), helburu duena baliabide elektronikoak segurtasunez erabiltzeko politikarako printzipioak eta baldintzak ezartzea, horien bidez informazioa behar bezala babesteko.
A ello ha venido a dar respuesta el artículo 42.2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, mediante la creación del Esquema Nacional de Seguridad (ENS), cuyo objeto es el establecimiento de los principios y requisitos de una política de seguridad en la utilización de los medios electrónicos que permita la adecuada protección de la información.
Zehatzago esanda, ENSk, 11. artikuluan, dio administrazio publikoetako organo goren guztiek informazioaren segurtasun politika xedatu behar dutela, kasuan kasuko organoko titularrak onartu beharrekoa.
Más concretamente, el artículo 11 del ENS dispone que todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad de la información, cuya aprobación pertenecerá al titular del órgano correspondiente.
UPV/EHUren Informazioaren Segurtasun Politikaren helburua da, azken finean, informazioaren kalitatea bermatzea eta zerbitzuak modu jarraituan ematea, betiere prebentzio neurriak hartuz, eguneroko jarduna ikuskatuz eta gerta daitezkeen gorabeherei azkar erantzunez.
El objetivo de la Política de Seguridad de la Información de la UPV/EHU es, en definitiva, garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Administrazio Elektronikoko Batzordea, martxoaren 6ko bileran, UPV/EHUren Informazioaren Segurtasun Politikari buruzko zirriborroaren alde agertu zen. Zirriborro hori Gobernu Kontseiluari aurkeztu zitzaion ondoren, 2013ko martxoaren 21eko ohiko bileran, eta zuzenketak aurkezteko epea ireki zen, apirilaren 12ra arte.
Con fecha 6 de marzo, la Comisión de Administración Electrónica informó favorablemente el borrador del documento de la Política de Seguridad de la Información de la UPV/EHU, que se presentó posteriormente, el pasado 21 de marzo de 2013, en sesión ordinaria del Consejo de Gobierno, concediéndose un plazo de hasta el 12 de abril para presentar enmiendas al mismo.
2013ko martxoaren 21eko testuari zuzenketak egiteko epea amaitu da eta ez da bat ere aurkeztu.
Transcurrido el plazo dado al respecto, no se ha presentado ninguna enmienda al texto presentado el pasado 21 de marzo de 2013.
Horrela, bada, idazkari nagusiaren proposamenari jarraituz, Gobernu Kontseiluak honakoa
Por todo ello, a propuesta del Secretario General, el Consejo de Gobierno
Lehenengoa.– UPV/EHUren Informazioaren Segurtasun Politika onartzea, eranskinean adierazitako moduan.
Primero.– Aprobar la Política de Seguridad de la Información de la UPV/EHU en los términos del anexo.
Bigarrena.– Euskal Herriko Agintaritzaren Aldizkarian argitaratzeko agindua ematea. UPV/EHUren Informazioaren Segurtasun Politika EHAAn argitaratu eta biharamunean jarriko da indarrean.
Segundo.– Ordenar su publicación en el Boletín Oficial del País Vasco. La Política de Seguridad de la Información de la UPV/EHU entrará en vigor al día siguiente a su publicación.
Leioa, 2013ko apirilaren 25a
Leioa, a 25 de abril de 2013.
Errektorea,
El Rector,
IÑAKI GOIRIZELAIA ORDORIKA.
IÑAKI GOIRIZELAIA ORDORIKA.
Idazkari nagusia,
El Secretario General,
JOSE LUIS MARTÍN GONZÁLEZ.
JOSE LUIS MARTÍN GONZÁLEZ.
Aurrekariak
Antecedentes
Informazioa ezinbesteko aktiboa da UPV/EHUko jarduera eta zerbitzu gehienak bete eta gestionatzeko, eta, beraz, arduraz babestu eta administratu behar da eta bermatu informazio sistema ez dela etengo. Informazioaren babesa are garrantzitsua da egungo egoeran, informazio sistemarako arrisku eta mehatxu berriak ekarri baitituzte administrazio jardunean ohiko bihurtu diren informazio eta komunikazio teknologiek.
La información constituye uno de los activos esenciales para la prestación y gestión de gran parte de la actividad y servicios de la UPV/EHU, y por consiguiente, debe ser protegida y administrada diligentemente, garantizando la continuidad de los sistemas de información. Esta protección de la información cobra aún más fuerza, en un contexto actual, donde el uso de las tecnologías de la información y comunicación en el día a día de la acción administrativa viene acompañado de nuevos riesgos y amenazas para los sistemas de información.
Informazioaren segurtasun politika honek informazioaren segurtasunaren arloan indarrean dauden legeetan du oinarri, ezinbestean bete beharrekoetan, eta, hain zuzen ere, ondokoetan: 11/2007 Legea, ekainaren 22koa, herritarrek zerbitzu publikoak baliabide elektronikoez erabiltzeari buruzkoak (aurrerantzean LAE); 3/2010 Errege Dekretua, urtarrilaren 8koa, Administrazio Elektronikoaren Esparruan Segurtasun Eskema Nazionala arautzen duena (aurrerantzean ENS), helburu duena baliabide elektronikoak segurtasunez erabiltzeko politikarako oinarrizko printzipioak eta gutxieneko baldintzak ezartzea horien bidez informazioa behar bezala babesteko eta baliabidekok konfiantzaz erabiltzeko beharrezko diren baldintzak sortzeko.
La presente Política de Seguridad de la Información parte de la exigencia del cumplimiento de la legislación vigente en materia de Seguridad de la Información, integrada básicamente por el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos (en adelante LAE), y desarrollado, por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica (en adelante ENS), que tiene por objeto el establecimiento de los principios básicos y requisitos mínimos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información y la creación de las condiciones necesarias de confianza en su uso.
ENSk, 11. artikuluan, dio administrazio publikoetako organo goren guztiek informazioaren segurtasun politika xedatu behar dutela, kasuan kasuko organoko titularrak onartu beharrekoa. Beraz, agiri honek arau izaera izango du eta UPV/EHUko Gobernu Kontseiluari aurkeztu behar zaio hark onar dezan.
El ENS en su artículo 11 dispone que todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad de la información, que será aprobada por el titular del órgano correspondiente. Por tanto, el presente documento de carácter reglamentario deberá ser elevado a la decisión del Consejo de Gobierno de la UPV/EHU para su aprobación.
Bestalde, UPV/EHUk, 2012-2017 Plan Estrategikoan (IV. ardatza: Gobernantza eta kudeaketa) jasotakoari jarraituz, administrazio elektronikoa ezartzeko proiektua ari da garatzen Idazkaritza Nagusiak bultzatuta eta IKT Gerenteordetzarekin koordinatuta, eta agiri hau horren parte da. Horrela, unibertsitatearen ildo estrategikoetako bat da gestioaren kalitatea eta eraginkortasuna hobetzea, betiere, konpromiso sendoa izanik informaziorako eta zerbitzu eta sistema elektronikoetarako ondokoak bermatzea: konfidentzialtasuna, osotasuna, benetakotasuna, trazabilitatea eta kontserbazioa.
Asimismo, la UPV/EHU, en el marco del Plan Estratégico 2012-2017 (dentro del Eje IV «Gobernanza y Gestión») está desarrollando, impulsado por la Secretaría General y en coordinación con la Vicegerencia de las TICs, el proyecto de Implantación de la Administración Electrónica, del cual el presente documento forma parte. En este sentido, la Universidad establece la mejora en la calidad y eficiencia de su gestión como una de sus líneas estratégicas, manteniendo el compromiso firme en relación con la preservación de la confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad, conservación de la información y de los sistemas y servicios electrónicos que la sustenten.
1. artikulua.– Xedea eta ezarpen eremua.
Artículo 1.– Objeto y ámbito de aplicación.
Informazioaren segurtasun politika honen xedea da UPV/EHUren informazio sistemaren maila guztiak definitzea eta maila guztietan arautzea, hain zuzen ere Estatutuetako 1. artikuluaren babesean UPV/EHUk goi mailako hezkuntza arloko zerbitzu publikoa emateko behar dituen informazio sistema guztietakoak.
La presente Política de Seguridad de la Información tiene por objeto definir y regular a todos los niveles los sistemas de información que permiten a la UPV/EHU prestar el servicio público de educación superior en los términos establecidos en el artículo 1 de sus Estatutos.
Informazioaren Segurtasun Politika hau ezarriko zaie hala UPV/EHUko IKT zerbitzu, sistema eta bestelako baliabideei nola unibertsitatearen prozesuei sostengua ematen dieten eta beren baitan kokatutako informazio aktiboetan eragina duten beste guztiei.
La presente Política de Seguridad de la Información se aplicará a todos los servicios, sistemas y demás recursos TIC de la UPV/EHU y/o que den soporte a sus procesos y que afecten a los diferentes activos de información sustentados en ellos.
UPV/EHUko IKT baliabideen helburua da irakaskuntzari, ikerketari eta unibertsitatearen funtzionamendurako beharrezko diren administrazio lanei laguntza ematea. Unibertsitatearen IKT baliabideak dira: bere jabetzako sistema nagusi eta sailetako guztiak, lan estazioak, lanpostuetako ordenagailuak, inprimagailuak eta periferiko eta irteera gailu guztiak, lokalizazio sistemak, barneko eta kanpoko sareak, erabiltzaile anitzeko sistemak eta komunikazio zerbitzuak (ahotsaren, irudiaren, datuen eta dokumentuen transmisio telematikoa eta biltegiratze sistemak, bai eta horietako sistema edo azpiegituretan instalatuta dauden informatikako aplikazioak (softwarea) ere.
Los recursos TIC de la UPV/EHU tienen como finalidad el apoyo a la docencia, a la investigación y a las tareas administrativas necesarias para su funcionamiento. Son recursos TIC de la Universidad todos los sistemas centrales y departamentales, estaciones de trabajo, ordenadores de puesto, impresoras y otros periféricos y dispositivos de salida, sistemas de localización, redes internas y externas, sistemas multiusuario y servicios de comunicaciones (transmisión telemática de voz, imagen, datos o documentos) y sistemas de almacenamiento que sean de su propiedad, así como las aplicaciones informáticas (software) que estén alojadas en cualquiera de los sistemas o infraestructuras referidos.
Horri jarraituz, ez dira unibertsitatearen IKT baliabide izango, eta, beraz, ez dira informazioaren segurtasun politika honen menpe egongo, norberak erositako eta UPV/EHUren inbentarioan sartuta ez dauden ordenagailuak. Hala ere, norberaren ordenagailua erabilita erakundearen sarean sartuz gero, Informazioaren Segurtasun Politika honen menpe eta hori garatzeko zehaztutako gainontzeko arau eta jarraibideen menpe egongo dira.
En este sentido, no se considera un recurso TIC de la Universidad, y, por tanto, quedan fuera del ámbito de aplicación de la presente Política de Seguridad de la información, aquellos ordenadores personales financiados a título individual y no inventariados a nombre de la UPV/EHU. No obstante, en el caso de que se acceda a la red corporativa mediante dichos ordenadores personales, quedarán sujetos a las obligaciones establecidas en la presente Política de Seguridad de la Información y normas e instrucciones de desarrollo.
Informazioaren Segurtasun Politika UPV/EHUko IKT baliabideak erabiltzen dituzten pertsona guztiei ere ezarriko zaie, edozein izanda ere laneko atala, ikastegia, saila, institutua, egitura, erakundea, unitatea edo zerbitzua (barneko zein kanpokoa).
La Política de Seguridad de la Información se aplica también a todas aquellas personas, indistintamente del sector en el que se integren, Centros, departamentos, Institutos, estructuras, entidades, unidades o servicios, sean internos o externos, que hagan uso de los recursos de las TIC de la UPV/EHU.
2. artikulua.– Printzipioak.
Artículo 2.– Principios.
Informazioaren segurtasun politika honek babeserako ondorengo oinarrizko printzipioak ditu euskarri, eta horiexek izango dira UPV/EHUk informazioaren segurtasunerako egingo dituen jarduera guztien zutabe.
La presente Política de Seguridad de la Información se fundamenta en los siguientes principios básicos de protección que forman los pilares sobre los que se sustentan y sustentarán todas las actuaciones en materia de seguridad de la información que realice la UPV/EHU con su actividad.
a) Segurtasuna elementu guztiei dagokie.
a) La seguridad como proceso integral.
Informazioaren tratamenduan hainbat elementuk hartzen dute parte: pertsonek, baliabide teknikoek, baliabide materialek eta antolakuntzako baliabideek: elementu guzti-guztion menpe dagoen prozesu baten emaitza da informazioaren segurtasuna.
La seguridad de la información es el resultado de un proceso integral que depende de todos y cada uno de los elementos humanos, técnicos, materiales y organizativos que intervienen en su tratamiento.
b) Arriskuen gestioa.
b) Gestión de riesgos.
Informazioaren segurtasunaren gestioa arriskuen gestioan dago oinarrituta, eta helburu izan behar du gutxieneko maila onargarrien barruan mantentzea arrisku maila, horretarako, batetik, segurtasuneko neurri egokiak ezarrita, etengabe eguneratuak informazioaren tratamendurako erabilitako aplikazio eta zerbitzu guztien bizi zikloan, eta, bestetik, oreka eta proportzionaltasuna ezarrita datuen izaeraren, datu horien tratamenduaren, egon daitezkeen arriskuen eta ezarri beharreko segurtasun neurrian artean.
La gestión de la seguridad de la información está basada en la gestión de riesgos, cuyo objetivo debe ser mantener los niveles de riesgo dentro de unos niveles mínimos aceptables mediante el despliegue de las medidas de seguridad apropiadas y permanentemente actualizadas en todas las fases del ciclo de vida de las aplicaciones y servicios relacionados con el tratamiento de la información, estableciendo un equilibrio y proporcionalidad entre la naturaleza de los datos, los tratamientos realizados, los riesgos a los que estén expuestos y las medidas de seguridad aplicadas.
c) Prebentzioa, erantzuna eta informazioa berreskuratzea.
c) Prevención, reacción y recuperación.
Sistemaren segurtasunerako ezinbestekoa da prebentzioa, arriskuak antzemateko eta beharrezko zuzenketak egiteko, hartara mehatxuak ez gauzatzea eta informazio sistemetako eta zerbitzuetako datuetan eragin larririk ez izatea lortzeko.
La seguridad del sistema debe contemplar los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre el mismo no se materialicen o no afecten gravemente a los datos que manejan los sistemas de información o los servicios que prestan.
Segurtasuneko gorabeherei erantzuna emateko sistema izan behar da, gorabeheroi denboraz hartzeko aurre. Bestalde, beharrezkoa da informazioa berreskuratu eta zerbitzuak zuzentzeko bitartekoak izatea, segurtasuneko gorabeheraren baten eraginez ohiko baliabideak zerbitzutik kanpo geratuz gero eskura izateko konponbideak.
Las medidas de reacción tendrán como objeto que los incidentes de seguridad se atajen a tiempo. Por su parte, las medidas de recuperación deben permitir la restauración de la información y los servicios de forma que se pueda hacer frente a las situaciones en las que un incidente de seguridad inhabilite los medios habituales.
d) Defentsa lerroak.
d) Líneas de defensa.
Babeserako estrategia ezartzen da segurtasun maila askoz osatua. Neurriak antolaketakoak, operatiboak, fisikoak eta logikakoak dira, eta horien guztien antolaketa egokiaren bidez, lortzen da horrelako mailaren batean segurtasunak kale eginez gero, gainontzekoetan eraginik ez izatea. Era berean, informazio sistemak diseinatu eta osatzean kontuan izan behar da sistemak berak izan behar duela modurik segurtasuna bermatzeko.
Se establece una estrategia de protección constituida por múltiples capas de seguridad, compuestas por medidas de naturaleza organizativa, operativa, física y lógica, dispuestas de tal forma que si una de ellas falla la seguridad en su conjunto no se vea comprometida. Asimismo, los sistemas de información deben diseñarse y configurarse de forma que garanticen la seguridad por defecto.
e) Koordinazioa eta elkarlana.
e) Coordinación y colaboración.
Informazioaren segurtasun arduradunak elkarlanean aritu beharko dira informazioaren segurtasun neurriak ezarri eta kontrolatzeko zereginean. Elkarlan hori UPV/EHUko ekimen eta jarduera guztietarako izan behar da.
Las y los responsables de seguridad de la información actuarán de manera coordinada en la aplicación y control de las medidas de seguridad de la información. Esta coordinación se extenderá a todas las iniciativas y actuaciones de la UPV/EHU.
f) Aldain aldiko ebaluazioa eta etengabeko hobekuntza.
f) Reevaluación periódica y mejora continua.
Informazioaren segurtasun gestioa aldian-aldian ebaluatu behar da eta etengabe eguneratu eta monitorizatu sistema eraginkorra izan dadin, arriskuak ez ezik, babes sistemak berak be etengabe ari baitira aldatzen.
La gestión de la seguridad de la información requiere una reevaluación, actualización y monitorización continua, para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección.
g) Informazioaren sailkapena.
g) Clasificación de la información.
UPV/EHUk informazio aktibo guztiak sailkatu eta inbentariatuko ditu oinarri hartuta bakoitzaren izaera, bai eta informazioaren arduradunak ere; guztia informazioaren segurtasun politika honetan zehaztutakoaren babesean. Ezarri beharreko babes maila eta neurriak sailkapen horretako emaitzen araberakoak izango dira.
La UPV/EHU clasificará e inventariará los activos de la información en virtud de su naturaleza, identificando las y los responsables de la información de acuerdo con lo establecido en la presente Política de Seguridad de la Información. El nivel de protección y las medidas a aplicar se basarán en el resultado de dicha clasificación.
3. artikulua.– Eginkizunak eta erantzukizunak.
Artículo 3.– Funciones y responsabilidades.
UPV/EHUren informazioaren segurtasun politika hau eta informazioaren segurtasunaren arloko gainontzeko arau eta jarraibideak ezartze aldera, antolaketako egitura zehaztu da horrela eginkizunak banatzeko eta horren araberako erantzukizunak zehazteko. Informazioaren segurtasunari buruzko agiri honetan eta ENSn adierazitako erantzukizunak Estatutuetan edo bestelakoen jasotakoaren arabera hala dagokion kargudunaren edo lanpostuan ari denarena izango da.
Para promover la aplicación de esta Política de Seguridad de la Información de la UPV/EHU y demás normativa e instrucciones de seguridad de la información, se establece una estructura organizativa basada en una distribución de funciones con una asignación de responsabilidades de las mismas. El desempeño de cualquiera de las responsabilidades definidas en este documento de seguridad de la información y en el ENS vendrá determinado por el acceso a los diferentes cargos o destinos, estatutarios o no, que han quedado vinculados a ellas.
Plantillan egindako edozein aldaketaren ondorioz kendu edo aldatu egiten bada ENSren ezarpenarekin zerikusia daukan lanposturen bat, zehaztu egin beharko da, nahitaez, zein lanposturi esleitzen zaizkion eginkizun horiek.
Cualquier modificación de la RPT que conlleve la supresión o modificación de alguno de los puestos vinculados a la aplicación del ENS, tendrá que incorporar obligatoriamente el puesto al que quedarán vinculadas esas funciones.
1) Informazioaren Segurtasun Batzordea.
1) Comité de Seguridad de la Información.
Informazioaren Segurtasun Batzordea kide anitzeko organoa da, informazioaren segurtasun arloko gaiak gestionatu, koordinatu, ezarri eta onartzen dituena. Batzordeko kide izango dira:
El Comité de Seguridad de la Información es el órgano colegiado que dirige, gestiona, coordina, establece y aprueba las actuaciones en materia de seguridad de la información. Este Comité estará compuesto por:
• Informazioaren arloko arduraduna edo hark eskuordetza emandako pertsona (batzordeburua izango da).
• Responsable de la información o persona en quien delegue, que actuará como presidente o presidenta.
• Informazioaren segurtasuneko arduraduna (idazkaria izango da).
• Responsable de Seguridad de la Información, que actuará como secretario o secretaria.
• Informazio Zerbitzuetako arduradunen ordezkari bat, kontuan izanda zein gai aztertuko den bileran. Gehienez ere zerbitzuetako 4 ordezkari egongo dira, arloko arduradun gorenek aukeratuak UPV/EHUko Estatutuetako 180. artikuluan jasotakoari jarraituz.
• Una o un representante de las y los Responsables de los Servicios de la información correspondiente, en función del asunto tratado en cada caso, con un máximo de 4 Responsables de los Servicios, designadas y designados por los máximos responsables de cada una de estas áreas, de acuerdo con lo establecido en el artículo 180 de los Estatutos de la UPV/EHU.
• Informazio Sistemetako arduradun bat, gerenteak edo eskuordetutako pertsonak, aukeratua.
• Una o un Responsable de los Sistemas de la Información, designado por la o el Gerente o persona en quien delegue.
UPV/EHUko zerbitzu eta unitate guztiek dute Informazioaren Segurtasun Batzordeari eskatutako informazioa eta laguntza emateko betebeharra. Ondokoak dira batzordearen eginkizun eta erantzukizunak:
Todos los servicios y unidades de la UPV/EHU estarán obligados a informar y prestar apoyo al Comité de Seguridad de la Información cuando éste así lo requiera. El Comité tiene las siguientes funciones y responsabilidades concretas:
a) Informazioaren segurtasunaren arloko estrategia eta lan lerroak osatzea eta bultzatzea.
a) Elaborar e impulsar la estrategia y nuevas líneas de trabajo en lo que respecta a la seguridad de la información.
b) Etengabeko hobekuntza bultzatzea informazioaren segurtasunaren gestio sisteman.
b) Promover la mejora continua del sistema de gestión de la seguridad de la información.
c) Gobernu Kontseiluari ENSarekin lotura duten arautegi eta arau orokorrak eta, egoki izanez gero, UPV/EHUko informazioaren segurtasunerako teknikak aurkeztea kontseiluak onar ditzan.
c) Proponer al Consejo de Gobierno la aprobación de los reglamentos y normativas generales y, en su caso, técnicas de seguridad de la información de la UPV/EHU relacionadas con la aplicación del ENS.
d) Informazioaren segurtasun tekniketarako irizpideak osatzea eta jarraipena egitea, Gobernu Kontseiluak onartutako arau orokorrak garatze aldera.
d) Elaborar y hacer el seguimiento de las instrucciones técnicas de seguridad de la información como desarrollo de las normativas generales aprobadas por el Consejo de Gobierno.
e) Informazioaren Segurtasun Politika eta gainontzeko arau orokorrak osatzea, gainbegiratzea eta jarraipena egitea, eta Gobernu Kontseiluari beharrezko diren aldaketak proposatzea.
e) Elaborar, revisar y hacer el seguimiento regularmente de la Política de Seguridad de la Información y demás normativas generales, proponiendo al Consejo de Gobierno las modificaciones que considere oportunas.
f) Informazioaren Segurtasun Politika eta UPV/EHUk informazioaren segurtasunerako onartutako arau eta irizpideak zabaltzea.
f) Divulgar la Política de Seguridad de la Información y normativas e instrucciones de seguridad de la información aprobadas por la UPV/EHU.
f) Informazioaren Segurtasun Politika eta UPV/EHUk informazioaren segurtasunerako onartutako arau eta irizpideak ezartzean sor daitezkeen arazoak aztertu eta ebaztea.
g) Interpretar y resolver los conflictos surgidos en la aplicación de la Política de Seguridad de la Información y normativas e instrucciones de seguridad de la información aprobadas por la UPV/EHU.
h) Informazioaren Segurtasun Politika eta arlo horretako arau eta irizpideak betetzen ez direnean, horren berri ematea organo eskudunari eta, behar izanez gero, diziplina neurriak ezartzea eskatzea.
h) Comunicar a los órganos competentes del incumplimiento de la Política de Seguridad de la Información y normativas e instrucciones derivadas e instar, en su caso, la adopción de las medidas disciplinarias correspondientes.
i) INSaren jarraipenerako lanak gainbegiratzea eta onartzea.
i) Supervisión y aprobación de las tareas de seguimiento del ENS.
j) Informazio sistemetan izandako gorabeherak ikertzea eta aztertzea, bai eta ezarri diren neurriak ere.
j) Investigar y analizar el registro de incidentes habidos en los sistemas de información y las medidas aplicadas en cada caso.
k) Gobernu Kontseiluari urtero txostena aurkeztea, Informazioaren Segurtasun Politikaren gestioari buruzkoa; txostenean jaso ahalko dira informazioaren segurtasun arloan izandako gorabeherak.
k) Elevar al Consejo de Gobierno su informe anual sobre la gestión de la Política de Seguridad de la Información en la que podrá incluir una exposición detallada de los incidentes habidos en materia de seguridad de la información.
2) Informazioaren arduraduna.
2) Responsable de la Información.
Informazioaren arduraduna UPV/EHUko idazkari nagusia izango da. Ondokoak dira bere eginkizun eta erantzukizunak:
La figura de la o del Responsable de la Información recaerá en la Secretaria o Secretario General de la UPV/EHU. Tiene las siguientes funciones y responsabilidades:
a) Informazioaren segurtasunak bete beharreko baldintzak zehaztea.
a) Determinar los requisitos de seguridad de la información tratada.
b) Arriskuen analisian jasotako informazio aktibo bakoitzerako behar den segurtasunaren dimentsioa definitzea (eskuragarritasuna, konfidentzialtasuna, osotasuna, benetakotasuna eta trazabilitatea) eta horietako bakoitzari dagokion maila.
b) Definir para cada activo de la información contemplada en el análisis de riesgos las diferentes dimensiones de la seguridad (disponibilidad, confidencialidad, integridad, autenticidad y trazabilidad) y su nivel correspondiente.
c) Hirugarrenekin egiten diren kontratuetan segurtasun klausulak sartzen direla eta bete egiten dituztela zaintzea.
c) Velar por la inclusión de cláusulas sobre seguridad en los contratos con terceras partes y por su cumplimiento.
d) Organo eskudunek emandako gainontzeko eginkizunak.
d) Cualquier otra función que pueda ser encomendada por los órganos correspondientes.
3) Informazio zerbitzuetako arduradunak.
3) Responsables de los Servicios de la Información.
Informazio zerbitzuetako arduradunak UPV/EHUko zerbitzuetako buruak izango dira.
Las y los Responsables de los Servicios de la Información serán quienes ostenten las jefaturas de los servicios de la UPV/EHU.
Ondokoak izango dira zerbitzuko arduradunaren eginkizunak:
Las y los Responsables de los Servicios tendrán las siguientes funciones:
a) Zehaztea informazioaren tratamenduaren arloan zerbitzuan bermatu beharreko segurtasun baldintzak.
a) Determinar los requisitos de seguridad de los servicios prestados que deban ser garantizados en el tratamiento de la información.
b) Definitzea arriskuen analisian jasotako zerbitzuek dituzten segurtasun premiak, segurtasunaren dimentsioak (eskuragarritasuna, konfidentzialtasuna, osotasuna, benetakotasuna eta trazabilitatea) eta horietako bakoitzari dagokion maila.
b) Definir las necesidades de seguridad de los servicios contemplados en el análisis de riesgos las diferentes dimensiones de seguridad (disponibilidad, confidencialidad, integridad, autenticidad y trazabilidad) y su nivel correspondiente.
c) Egon daitezkeen gorabeherek izan dezaketen eragina aztertzeko lanean laguntza ematea, eta gorabehera horietarako estrategiak eta babes neurriak proposatzea.
c) Colaborar en el análisis de impacto de los incidentes que se puedan producir y plantear las estrategias y salvaguardas ante los mismos.
4) Informazio sistemen arduradunak.
4) Responsables de los Sistemas de la Información.
Informazio sistemetako arduradunak IKT zerbitzuetako buruak izango dira. Ondokoak dira eginkizunak eta erantzukizunak:
La figura de las o de los Responsables de los Sistemas de la Información recaerá en las personas que ocupen las jefaturas de los servicios de las TIC. Tendrán definidas las siguientes funciones y responsabilidades:
a) Bere erantzukizunpeko baliabideak kontrolpean daudela bermatzea.
a) Garantizar que los recursos bajo su responsabilidad permanecen bajo control.
b) Bere erantzukizunpeko sistemetan segurtasun baldintzak ezartzea.
b) Satisfacer los requisitos de seguridad de los sistemas bajo su responsabilidad.
c) Segurtasun prozesuak betetzea bere eraginpeko arloan.
c) Llevar a cabo los procesos de seguridad en el ámbito de su área.
d) Segurtasun fisikoa eta logikoa ezartzea bere arloan.
d) Implementar la seguridad física y lógica dentro de su área.
e) Segurtasuneko, DPBLko eta arriskuen gestioko auditorietan laguntzako ematea.
e) Colaborar en las auditorias de seguridad, LOPD y gestión de riesgos.
5) Informazioaren segurtasuneko arduraduna.
5) Responsable de Seguridad de la Información.
Informazioaren segurtasuneko arduraduna gerentea izango da edo hark eskuordetutako pertsona. Ondokoak dira bere eginkizunak eta erantzukizunak:
La figura de la o del Responsable de Seguridad de la Información recaerá en la o en el Gerente o persona en quien delegue. Tendrá definidas las siguientes funciones y responsabilidades:
a) Zehaztea informazioaren eta zerbitzuen segurtasunak bete behar dituen baldintzak betetzeko beharrezko diren neurriak, eta egiaztatzea ezarrita daudenak egokiak direla une oro informazioa eta zerbitzuak babesteko.
a) Determinar las medidas necesarias para satisfacer los requisitos de seguridad de la información y de los servicios y verificar que las establecidas son adecuadas en todo momento para la protección de la información manejada y los servicios prestados.
b) Zehaztea sistemaren kategoria kontuan hartuta ENSaren I. eranskinean jasotako prozedura eta ezarri beharreko segurtasun neurriak.
b) Determinar la categoría del sistema según el procedimiento descrito en el anexo I del ENS y las medidas de seguridad que deben aplicarse.
c) Informazio aktiboen bizi zikloan egiten diren prozedura eta eragiketa guztiak gainbegiratzea.
c) Revisar la operativa de todos los activos de la información durante su ciclo de vida.
d) Adostea, zerbitzuetako eta sistemetako arduradunekin batera, informazio jakin baten edo zerbitzu jakin baten erabilera etetea, segurtasunean arazo larririk antzemanez gero.
d) Acordar, junto a las o a los Responsables de los Servicios y de los Sistemas, la suspensión del manejo de cierta información o la prestación de cierto servicio si conoce deficiencias graves de seguridad.
e) Informazio arduradunei eta zerbitzuetako arduradunei gorabehera funtzional arinen berri ematea.
e) Informar a la o al Responsable de Información y a las y a los Responsables de los Servicios de las incidencias funcionales moderadas.
f) Gorabehera larriei buruzko txostenak egitea Informazioaren Segurtasun Batzordean aurkezteko.
f) Realizar informes sobre las incidencias graves producidas para su posterior presentación en el Comité de Seguridad de la Información.
g) Aldian-aldian auditoriarako eskaria egitea eta ekimen hori sustatzea, egiaztatzeko UPV/EHUk bete egiten dituela informazioaren segurtasunaren arloan dituen betebeharrak.
g) Impulsar o instar la realización de auditorías periódicas que permitan verificar el cumplimiento de las obligaciones de la UPV/EHU en materia de seguridad de la información.
h) Informazioaren Segurtasun Politikaren jarraipena egitea, bai eta IKT baliabideen segurtasun fisiko eta logikoarena ere.
h) Llevar a cabo el seguimiento de la Política de Seguridad de la Información de manera operativa así como de la seguridad física y lógica de los recursos TIC.
i) Informazioaren Segurtasun Batzordeari proposatzea segurtasunaren arloan beharrezko diren arauak eta jarraibide eta irizpide teknikoak, bai eta horietan egin beharreko aldaketak ere.
i) Proponer aquella normativa e instrucciones y directrices técnicas y sus propuestas de modificaciones que considere necesaria en materia de seguridad al Comité de Seguridad de la Información.
4. artikulua.– Informazioaren segurtasunaren arloko araudia.
Artículo 4.– Marco normativo en materia de seguridad de la información.
UPV/EHUk informazioaren segurtasunerako araudi esparru bat ezarri du, mailakatua, eta hartara, agiri honetan jasotako helburuak banan-banan garatuko dira:
La UPV/EHU establece un marco normativo en materia de seguridad de la información estructurado por diferentes niveles de forma que los objetivos marcados por el presente documento tengan un desarrollo específico:
1) Lehenengo maila: informazioaren Segurtasun Politika eta arau orokorrak.
1) Primer nivel: la Política de Seguridad de la Información y las normativas generales.
2) Bigarren maila: informazioaren segurtasunerako jarraibideak eta gidalerroak. Agiri bilduma, prozedura jakin batean jasota ez dagoen gorabeheraren bat gertatzen denean nola jokatu azaltzen duena.
2) Segundo nivel: las instrucciones y directrices de seguridad de la información. Conjunto de documentos que sirven para indicar cómo se debe actuar en caso de que una cierta circunstancia no esté recogida en un procedimiento explícito.
3) Hirugarren maila: informazioaren segurtasun prozedurak. Agiri bilduma, jarduera jakin bat nola bete azaltzen duena, zehatz-mehatz eta pausuz pausu azaldu ere.
3) Tercer nivel: los procedimientos de seguridad de la información. Conjunto de documentos que describen explícitamente y paso a paso cómo realizar una cierta actividad.
4) Laugarren maila: praktika onak, aholkuak, gidak, prestakuntza ikastaroak, aurkezpenak... biltzen dituzten dokumentuak.
4) Cuarto nivel: documentación de buenas prácticas, recomendaciones, guías, cursos de formación, presentaciones, etc.
Informazioaren Segurtasun Politika eta arau orokorrak UPV/EHUko Gobernu Kontseiluak onartuko ditu idazkari nagusiaren eta Informazioaren Segurtasun Batzordearen proposamenari jarraituz, hurrenez hurren. Informazioaren segurtasunerako jarraibide eta gidalerro teknikoak, bigarren, hirugarren eta laugarren mailakoak, Informazioaren Segurtasun Batzordeak onartuko ditu informazioaren segurtasuneko arduradunek zerbitzuetako eta sistemetako arduradunekin lankidetzan egindako proposamenei jarraituz.
La Política de Seguridad de la Información y las normativas generales serán aprobadas por el Consejo de Gobierno de la UPV/EHU a propuesta de la Secretaría General y del Comité de Seguridad de la Información, respectivamente. Las instrucciones y directrices técnicas de seguridad de la información formadas por el segundo, tercer y cuarto nivel serán aprobadas por el Comité de Seguridad de la Información a propuesta de la o del Responsable de Seguridad de la Información en colaboración con las y los Responsables de los Servicios y de los de Sistemas.
Informazioaren Segurtasun Batzordeak informazioaren segurtasunerako adostutako jarraibideak errektorearen erabaki bidez onartuko dira eta jarraibideak ez betetzeak diziplina arloko erantzukizuna izango du.
Dichas instrucciones de seguridad de la información aprobadas por el Comité de Seguridad de la Información deberán adoptarse por Resolución del Rector o Rectora cuyo incumplimiento dará lugar a la correspondiente responsabilidad disciplinaria.
5. artikulua.– Informazio sisteman sartzea.
Artículo 5.– Acceso a la información.
UPV/EHUk jendaurrean ez daukan informazioa erabiltzen duen erabiltzaile oro behar bezala identifikatuta egon behar da eta informazio horretara sartzeko beharrezko diren pribilegioak izan beharko ditu. Beraz, informazio sistemetarako sarrera kontrolatuta egon behar da eta behar bezala baimendutako erabiltzaile, prozesu, gailu eta informazio sistemak baino ezin izango dira sartu informazio sistemetan, eta kasuan-kasuan baimendutako funtzioetarako baino ez dute izango sarbiderik.
Quienes traten información de la UPV/EHU que no sea de acceso público, deberán estar debidamente identificados y tener los privilegios de acceso a la información estrictamente necesarios para desempeñar su contenido. Es por ello que el acceso a los sistemas de información debe estar controlado y limitado exclusivamente a las personas usuarias, procesos, dispositivos y sistemas de información que estén debidamente autorizadas, de forma que el acceso quede restringido exclusivamente a las funciones permitidas.
6. artikulua.– Gorabeherei erantzuna ematea eta gorabeherak erregistratzea.
Artículo 6.– Reacción de incidentes y su registro.
Informazioaren segurtasunean gorabeherarik egonez gero, erabiltzaileek Gorabeheren Protokoloari jarraitu beharko diote; agiri hori Informazioaren Segurtasun Batzordeak onartuko du Informazioaren Segurtasun Politikan zehaztutakoari jarraituz. Mota horretako gorabeheretarako osatuko den erregistroan jaso beharko dira informazioaren segurtasunean izandako gorabehera guztiak, bai eta horiek konpontzeko ezarri diren babes neurriak ere. Erregistro hori sistemaren segurtasuna etengabe hobetzeko erabiliko da.
Ante incidentes de seguridad de la información, las y los usuarios deberán ajustar su actuación a las instrucciones marcadas por el Protocolo de Incidentes cuya aprobación corresponderá al Comité de Seguridad de la Información de acuerdo con lo previsto en la presente Política de Seguridad de la Información. Quedará constancia en un registro de incidentes establecido al efecto, de todos los incidentes de seguridad de la información que se produzcan y las acciones de tratamiento que se sigan para su salvaguarda. Este registro se empleará para la mejora continua de la seguridad del sistema.
7. artikulua.– Harremanak hirugarrenekin.
Artículo 7.– Relación con tercera partes.
UPV/EHUk beste administrazio publiko batzuetan betetzen dituenean zerbitzuak edo beste administrazio publiko batzuei informazioa ematen dienean, edo beste zerbitzu publiko batzuk unibertsitateko informazioan sartzen direnean, Informazioaren Segurtasun Politikaren eta arloko arauen berri emango zaie beste erakundekoei, alde bietako informazioaren segurtasun batzordeen arteko komunikazio eta koordinazio bideak ezarriko dira eta informazioaren segurtasunaren arloan egon daitezkeen gorabeherei erantzuna emateko protokoloak zehaztuko.
Cuando la UPV/EHU preste servicios o ceda información a otras Administraciones Públicas u organismos, o accedan a información universitaria, se les hará partícipe de esta Política de Seguridad de la Información y de las normas e instrucciones derivadas, se establecerán canales de comunicación y coordinación entre los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad de la información.
Era berean, UPV/EHUk hirugarrenen zerbitzuak erabiltzen dituenean edo hirugarrenei informazioa laga edo unibertsitateen informaziora sartu, Informazioaren Segurtasun Politikaren eta arloko arauen berri emango zaie, bai eta zerbitzu eta informazio horien segurtasun irizpideak ere. Hirugarrenek araudian eta irizpideetan zehaztutako segurtasun neurriak eta betebeharrak bete beharko dituzte, eta nahi dituzten prozedurak ezarri ahal izango dituzte horiek betetze aldera. Prozedura bereziak ezarriko dira gorabeherak antzeman eta konpontzeko. Bermatuta egon beharko da beste erakunde edo entitateko langileak kontzientziatuta daudela informazioaren segurtasunaren arloan, Informazioaren Segurtasun Politika honen maila berean gutxienez.
Asimismo, cuando la UPV/EHU utilice servicios de terceros o ceda información a terceros, o accedan a información universitaria, se les hará igualmente partícipe de esta Política de Seguridad de la Información y de la normativa e instrucciones de seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones y medidas de seguridad establecidas en dicha normativa e instrucciones, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de detección y resolución de incidencias. Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad de la información, al menos al mismo nivel que el establecido en esta Política de Seguridad de la Información.
Hain zuzen ere, hirugarrenek bermatu egin beharko dute auditorien bidez neurtu daitezkeen estandarretan oinarritutako informazioaren segurtasun politika betetzen dutela, eta hirugarrenek egindako kontrolak eta ikuskapenak izan beharko dituzte egiaztatzeko polita horiek bete egiten dituztela. Era berean, kontratua bukatzean, hirugarrenak bermatu beharko du, auditoria bidez edo suntsipen/ezabatze egiaztagiriaren bidez, baliogabetu eta ezabatu egin dituela UPV/EHUren datuak.
En concreto, los terceros deberán garantizar el cumplimiento de políticas de seguridad de la información basadas en estándares auditables y someterse a controles y revisiones de terceros que certifiquen el cumplimiento de estas políticas. Asimismo, se garantizará mediante auditoría o certificado de destrucción/borrado que el tercero cancela y elimina los datos pertenecientes a la UPV/EHU a la finalización del contrato.
Hirugarrenek ezin badute bete Informazioaren Segurtasun Politikan jasotako punturen bat, Informazioaren Segurtasun arduradunak txostena egingo du zehazteko zeintzuk diren arriskuak eta zelan egingo zaien aurre. Horrelakoetan, aurrera egin aurretik, onespena eman beharko du informazioaren arduradunak eta kasuan kasuko zerbitzuek.
Cuando algún aspecto de la Política de la Seguridad de la Información no pueda ser satisfecho por una tercera parte, se requerirá un informe de la o del Responsable de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por la o el Responsable de la Información y de los Servicios afectados antes de seguir adelante.
8. artikulua.– Langileen betebeharrak eta eginkizunak.
Artículo 8.– Obligaciones y deberes del personal.
UPV/EHUren Informazioaren Segurtasun Politikan jasotakoa eta informazioaren segurtasunaren arloko gainontzeko arau eta irizpideetan zehaztutakoa nahitaez betebeharreko aginduak dira, eta ez betetzeak diziplinaren arloko erantzukizuna ekarriko du. Beraz, UPV/EHUk konpromisoa hartzen du unibertsitateko kide guztiei arlo horretako prestakuntza emateko eta gai horretaz sentsibilizatzeko, eta behar diren baliabide guztiak jartzeko eragindako pertsona guztiei hel dakien informazioa.
Lo previsto en la Política de Seguridad de la Información de la UPV/EHU y demás normativa e instrucciones en materia de seguridad de la información, constituye un mandato de estricta observancia cuyo incumplimiento dará lugar a la correspondiente responsabilidad disciplinaria. A tales efectos, la UPV/EHU se compromete a formar y sensibilizar a todas y todos los miembros de la comunidad universitaria, así como a disponer los medios necesarios para que la información llegue a las personas afectadas.
9. artikulua.– Erantzukizuna informazioren segurtasunaren arloko araudia betetzen ez denean.
Artículo 9.– Responsabilidades en caso de incumplimiento de la normativa de seguridad de la información.
Informazioaren Segurtasun Batzordeak aztertu ahal izango du ea UPV/EHUko datuetan sartzeko baimena dutenek edo beren lanean datuok erabiltzen dituztenek ez duten bete Informazioaren Segurtasun Politikan eta hori garatzeko arau eta irizpideetan zehaztutako betebeharren bat.
El Comité de Seguridad de la Información podrá apreciar si por parte del personal que tiene acceso a datos de la UPV/EHU, o trata dichos datos en el ejercicio de sus actividades profesionales, existe algún tipo de incumplimiento en las obligaciones previstas en la Política de Seguridad de la Información o en su normativa e instrucciones de desarrollo.
Bete ezean, prebentzio neurriak eta neurri zuzentzaileak zehaztu dira informazio sistemak eta sareak zaindu eta babesteko, eta diziplina erantzukizuna eskatu ahal izango da.
En caso de incumplimiento, se prevén medidas preventivas y correctivas encaminadas a salvaguardar y proteger las redes y sistemas de información, sin perjuicio de la correspondiente exigencia de responsabilidad disciplinaria.
UPV/EHUren Informazioaren Segurtasun Politika ez dela bete egiaztatuz gero, erantzukizunak argitzeko eskaria egingo dute UPV/EHUko Estatutuetan jasotako bideei jarraituz.
Constatado un incumplimiento de la Política de Seguridad de la Información de la UPV/EHU, instará por los cauces establecidos en los Estatutos de la UPV/EHU, la depuración de las responsabilidades disciplinarias a las que hubiera lugar.
Prozedurak eta zehapenak diziplina araubideari buruzko legedian jasotakoak izango da, administrazio publikoetako langileei buruzkoan edo UPV/EHUk berak onartutakoan jasotakoak.
El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario del personal al servicio de las Administraciones Publicas o de la propia UPV/EHU.
Nazioko Segurtasun Eskemaren menpe dagoen sistemaren batek datu pertsonalak baldin baditu, DPBLOn eta lege hori garatzeko emandako araudietan zehaztutakoa ezarriko zaio, bai eta ENSn jasotako baldintzak ere.
Cuando un sistema al que afecte el Esquema Nacional de Seguridad maneje datos de carácter personal, le será de aplicación lo dispuesto en la LOPD y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el ENS.
Informazioaren Segurtasun Batzordeak erabakiko du zein epe ezarriko den informazioaren segurtasun politika hau garatzeko eta politika hau oinarri hartuta jarraibide teknikoak zehazteko.
El Comité de Seguridad de la Información establecerá los plazos en los que se desarrollará la normativa e instrucciones técnicas derivadas de la presente Política de Seguridad de la Información.
Indargabetuta geratzen dira informazioaren segurtasun politika honetan jasotakoaren kontra doazen xedapen guztiak, betiere, maila berekoak edo txikiagokoak badira.
Quedan derogadas las disposiciones de igual o inferior rango que se opongan a lo dispuesto en la presente Política de Seguridad de la Información.
Arautegi hau EHAAn argitaratu eta biharamunean jarriko da indarrean.
La presente normativa entrará en vigor al día siguiente a su publicación en el BOPV.
ENSko IV. eranskinean bildutako terminoak gorabehera, ondoren jasota daude agiri honetan ageri diren terminorik erabilienak, informazioaren segurtasun arlokoak, eta horietako bakoitzaren esanahia.
A continuación se describen el significado de los diferentes términos más usuales pertenecientes al vocabulario de la seguridad de la información que aparecen en el presente documento, sin perjuicio de los recogidos en el anexo IV de la ENS.
Aktiboa: informazio sistemaren osagai bat edo funtzio bat, nahita edo nahi gabe erasoren bat izan dezakeena eta erakundean ondorioak izan. Aktiboak dira: informazioa, datuak, zerbitzuak, aplikazioak (softwarea), ekipoak (hardwarea), komunikazioak, administrazio baliabideak, baliabide fisikoak eta giza baliabideak.
Activo: componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
Arriskua: aktiboak izan ditzakeen mehatxuen azterketa eta mehatxu horiek gertatu eta erakundeak kalteak izateko probabilitatea.
Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.
Arriskuen analisia: eskura dagoen informazioaren erabilera sistemakoa arriskuak identifikatzeko eta arriskuak balioesteko.
Análisis de riesgos: utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.
Arriskuen gestioa: jarduera koordinatuak, erakundea zuzendu eta kontrolatzeko arriskuei dagokienez.
Gestión de riesgos: actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.
Benetakotasuna: ezaugarri bat da informazioa sortu duen erabiltzailearen nortasuna bermatzen duena edo ziurtasun osoz jakiteko bidea ematen duena datuak nork bidali edo sortu dituen.
Autenticidad: propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.
Eskuragarritasuna: ezaugarri honen bitartez, baimendutako pertsona, erakunde edo prozesuek informaziorako sarbidea dute behar dutenean.
Disponibilidad: propiedad o característica consistente en que las personas, entidades o procesos autorizados tiene acceso a los mismos cuando lo requieran.
Informazio sistema: baliabideen multzo antolatua, informazioa bildu, biltegiratu, prozesatu, mantendu, erabili, banatu, zabaldu, eskura jarri, aurkeztu eta igortzeko.
Sistema de información: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
Konfidentzialtasuna: ezaugarri honen bidez bermatzen da informazioa ez dela baimenik gabeko norbanakoen, erakundeen edo prozesuen esku jartzen edo horien artean zabaltzen.
Confidencialidad: propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados.
Osotasuna: ezaugarri horren bidez bermatzen da informazio aktiboa ez dela baimenik gabe aldatu.
Integridad: propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada.
Prozesua: produktu edo zerbitzu bat lortzeko egindako jarduera multzo antolatua, hasiera eta amaiera zehaztua daukana, zenbait baliabide behar dituena eta azkenean emaitza bat daukana.
Proceso: conjunto organizado de actividades que se llevan a cabo para producir a un producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado.
Segurtasun neurriak: xedapen multzoa, helburu duena informazio sistema balizko arriskuetatik babestea eta hartara segurtasuna bermatzea. Neurriak izan daitezke: prebentziokoak, disuasiokoak, babesekoak, gorabehera antzeman eta erantzuna ematekoak edo informazioa berreskuratzekoak.
Medidas de seguridad: conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información, con el fin de asegurar sus objetivos de seguridad. Puede tratarse de medidas de prevención, de disuasión, de protección, de detección y reacción, o de recuperación.
Segurtasun politika: Jarraibide multzoa, dokumentu idatzian jasoa, eta erakundeak informazioa eta zerbitzuak gestionatu eta babesteko zehaztutako jarraibideak biltzen dituena.
Política de Seguridad: conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios.
Segurtasuneko gorabehera: ezustekoan edo gogoz kontra izandako gertakaria, informazio sistemaren segurtasunaren kalteak eragin dituena.
Incidente se seguridad: suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información.
Segurtasuneko gutxieneko baldintzak: informazioa eta zerbitzuak bermatzeko beharrezko baldintzak.
Requisitos mínimos de seguridad: exigencias necesarias para asegurar la información y los servicios.
Segurtasuneko oinarrizko printzipioak: informazio eta zerbitzuak bermatzeko egiten den edozein ekintzak bete behar dituen oinarriak.
Principios básicos de seguridad: fundamentos que deben regir toda acción orientada a asegurar la información y los servicios.
Sistemaren kategoria: oinarrizkoa-ertaina-handia eskalaren arabera sistemari dagokion maila, ezaugarri hori oinarri hartuta sistemaren segurtasun neurriak aukeratzeko. Sistemaren kategoriak aktiboen ikuspegi osoa biltzen du, zerbitzu jakin batzuk ematera bideratua.
Categoría de un sistema: es un nivel dentro de la escala básica-media-alta, con el que se adjetiva un sistema a fin de seleccionar las medidas de seguridad necesarias para el mismo. La categoría del sistema recoge la visión holística del conjunto de activos como un todo armónico, orientado a la prestación de unos servicios.
Trazabilitatea: ezaugarri bat da eta horren bidez erakunde baten jarduerak erakunde horri bakarrik egotzi ahal izango zaizkio.
Trazabilidad: propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.
RSS