Iragarkia

37. ALDIZKARIA - 2019ko otsailaren 22a

1. NAFARROAKO FORU KOMUNITATEA

1.7. BESTELAKOAK

163/2019 EBAZPENA, 2019ko urtarrilaren 31koa, Nafarroako Unibertsitate Publikoko errektoreak emana. Haren bidez agintzen da argitaratzeko 2019ko urtarrilaren 31ko Gobernu Kontseiluak onetsi zuen “Erabakia, Nafarroako Unibertsitate Publikoak informazioaren segurtasunerako duen politika onesten duena”.

2003ko maiatzaren 12ko 110/2003 Foru Dekretuak onetsitako Unibertsitateko Estatutuetako 40. artikuluak ematen dizkidan ahalmenak erabiliz, 2019ko urtarrilaren 31n Gobernu Kontseiluak hartu zuen erabakia argitaratzeko agintzen da. Erabaki horren bidez, Nafarroako Unibertsitate Publikoak informazioaren segurtasunerako duen politika onetsi zen.

“GOBERNU KONTSEILUAREN ERABAKIA, INFORMAZIOAREN SEGURTASUNERAKO POLITIKA ONESTEN DUENA

Datuak Babesteko Europar Batasuneko Erregelamendu Orokorra onetsi izanak informazioaren segurtasunerako neurriak hartzera behartzen ditu datuen tratamenduaren arduradunak, unibertsitate publikoak besteak beste.

Behar hori estatu kide bakoitzak hartutako Segurtasun Eskema Nazionalaren arabera arautu behar da, eta, Unibertsitate honetan, 2010eko urtarrilaren 8ko 3/2010 Errege Dekretua aplikatu behar da, Segurtasuneko Eskema Nazionala administrazio elektronikoaren esparruan arautzen duena.

Ondorioz, informazioaren segurtasunerako politika bat onestea proposatzen zaio Gobernu Kontseiluari, NUP Segurtasuneko Eskema Nazionalera egokitu dadin.

Errektoreak proposaturik, hona hemen Nafarroako Unibertsitate Publikoko Gobernu Kontseiluak 2019ko urtarrilaren 31ko bileran hartu duen

ERABAKIA:

Lehena.–NUPek informazioaren segurtasunerako duen politika onestea (eranskinean ageri da).

Bigarrena.–Ebazpen hau Unibertsitatearen webgunean eta Nafarroako Aldizkari Ofizialean argitaratzeko agintzea.

Hirugarrena.–Erabaki honen aurka, zilegi da administrazioarekiko auzi-errekurtsoa jartzea Nafarroako Administrazioarekiko Auzietako Epaitegietan, bi hilabeteko epean, Erabakia Nafarroako Aldizkari Ofizialean argitaratu eta biharamunetik kontatzen hasita, Administrazioarekiko Auzien Jurisdikzioari buruzko 1998ko uztailaren 13ko 29/1998 Legearen xedapenetan ezarritakoarekin bat.”

Iruñean, 2019ko urtarrilaren 31n.–Errektorea, Alfonso Carlosena.

ERANSKINA

Informazioaren segurtasunaren politika

1.–Sarrera.

Nafarroako Unibertsitate Publikoa, aurrerantzean NUP, goi-mailako hezkuntzako erakunde publiko bat da, kultura-ondasun bat, ezaugarri bereziak eta konpromiso sozial handia dituena, eta, irakaskuntzaren, ikerketaren, kulturaren transmisioaren eta jakintzaren transferentziaren hobekuntza jarraituaren bidez gizarteari aurrera egiten laguntzea eta bere ingurua modu jasangarrian garatzen laguntzea du xede.

Bere helburuak lortzeko, Informazioaren eta Komunikazioen Teknologien sistemen beharra du, aurrerantzean IKT, bere helburuak lortzeko. Sistema horiek arduraz administratu behar dira, neurri egokiak hartuz ustekabeko kalteen edo nahita egindako kalteen aurrean babestearren kalte horiek tratatutako informazioaren edo emandako zerbitzuen erabilgarritasunari, osotasunari, konfidentzialtasunari, benetakotasunari edo trazagarritasunari eragiten diotenean.

Informazioaren segurtasunaren xedea informazioaren kalitatea eta zerbitzuen emate jarraitua bermatzea da prebentzio neurriak hartuz, eguneroko jarduna ikuskatuz eta gertatzen diren gorabeheren aurrean arin jokatuz.

Informazioaren eta zerbitzuen erabilgarritasunean, osotasunean, konfidentzialtasunean, benetakotasunean, trazagarritasunean, aurreikusitako erabileran eta balioan eragin dezaketen bilakaera lasterreko mehatxuen aurka babestua egon behar dute IKT sistemek. Mehatxu horietatik babesteko, beharrezkoa da ingurunearen baldintzetan gertatzen diren aldaketetara egokituko den estrategia bat, zerbitzuak jarraituki ematen direla bermatzeko. Horrek esan nahi du Segurtasunerako Eskema Nazionalak, aurrerantzean SEN, Datuak Babesteko Lege Organiko indardunak, aurrerantzean DBLO, eskatutako segurtasun neurriak aplikatu behar direla, bai eta zerbitzu-ematearen mailen jarraipen etengabea egin ere, jakinarazitako ahultasunen jarraipena egin eta aztertzea, eta gertatzen diren gorabeheretarako erantzun eraginkor bat prestatzea emandako zerbitzuen jarraitutasuna bermatzeko.

NUPek ziurtatu behar du informazioaren segurtasuna sistemaren bizi-zikloaren aldi bakoitzaren parte integrala dela, hasi bere sorreratik eta zerbitzutik kendu arte, garatzeko edo eskuratzeko erabakiak eta ustiapen jarduerak barne. Segurtasun betekizunak eta finantzaketa beharrak plangintzan, eskaintzen eskaeran eta IKT proiektuetarako lizitazio pleguetan identifikatu eta sartu behar dira.

NUPek prest egon behar du gorabeherei aurrea hartzeko, detektatzeko, erreakzionatzeko eta lehengoratzeko, SENekin eta Datuak Babesteko Lege Organiko indardunarekin bat etorriz.

Segurtasun politika horrek Zentro Kriptologiko Nazionalaren CCN-STIC-805 gidako jarraibideei segitzen die (irailaren 11). Zentro hori Inteligentziako Zentro Nazionalari atxikita dago.

1.1.–Prebentzioa.

Segurtasun gorabeherek informazioari edo zerbitzuei kalte egitea eragotzi, edo gutxienez ahal duen heinean aurrea hartu behar die NUPek. Horretarako, SENek eta DBLOk erabakitako gutxieneko segurtasun neurriak ezarriko ditu, bai eta mehatxuen eta arriskuen ebaluazioaren bidez identifikatutako edozein kontrol gehigarri ere.

Kontrol horiek eta langile guztien segurtasuneko ardura eta rol guztiak argi eta garbi zehaztu eta dokumentatuko dira.

Politika betetzen dela bermatzeko, Unibertsitateko Zerbitzuek hau egin behar dute:

–Sistemak baimendu, funtzionamenduan hasi baino lehen.

–Segurtasuna erregulartasunez ebaluatu, ohiko moduan egindako konfigurazio-aldaketen ebaluazioak barne.

–Hirugarrenek aldian-aldian berrikusteko eskatu, ebaluazio independente bat lortzeko.

1.2.–Detekzioa.

Hasi moteltze soil batetik eta gelditze erabateko batera bitartekoak dira zerbitzuak, eta horiek arin degradatu ahal direnez, operazioa modu jarraituan ikuskatu behar da zerbitzuak ematearen mailetako akatsak detektatzeko eta SENen 9. artikuluak ezarritakoaren arabera jokatzeko.

Monitorizazioa bereziki aipagarria da defentsa lerroak ezartzen direnean SENen 8. artikuluaren arabera. Detektatzeko, aztertzeko eta datuak jakinarazteko mekanismoak ezarriko dira, arduradunengana iritsiko direnak, aurrez ezarritako parametro normalen desbideratze esanguratsu bat gertatzen denean.

1.3.–Erantzuna.

NUP:

Mekanismoak ezarriko ditu segurtasun gorabeherei eraginkortasunez erantzuteko.

Lotura gune bat izendatuko du Unibertsitateko beste zerbitzu batzuetan edo beste organismo batzuetan detektatutako gorabeherei buruzko komunikazioak egiteko.

Gorabeherarekin lotutako informazioa trukatzeko protokoloak ezarriko ditu. Larrialdiei Erantzuteko Ekipoekin elkarri egindako komunikazioak hartuko ditu barnean (Computer Emergency Response Team, CERT).

1.4.–Lehengoratzea.

Zerbitzu kritikoen erabilgarritasuna bermatzeko, NUPeko Unibertsitate Zerbitzuek IKT sistemen kontingentzia planak garatuko dituzte zerbitzuen jarraitutasunerako eta lehengoratze jardueretarako plan orokorraren barnean.

2.–Helburua.

NUPek Informazioaren Segurtasunerako Politika zehazten du. Unibertsitateko komunitatearentzat eta enpresa laguntzaileentzat nahitaezkoa da, eta bere helburu nagusia da informazioaren segurtasuna eta eskaintzen dituen zerbitzuak modu jarraituan ematen direla bermatzea. Jarduera ikuskatu nahi du Unibertsitateak, eta lastertasunez erreakzionatu du gertatzen diren gorabeheren aurrean.

Politika horrek oinarriak ezarri behar ditu NUPek bere eginkizunak garatzeko baliatzen dituen informazio aktiboetarako sarbidea, erabilera, zaintza eta babesa beren alderdi diferenteetan gauzatu daitezen, segurtasun bermeekin:

Erabilgarritasuna: aktiboen ezaugarria da baimendutako entitate edo prozesuek sarbidea izango dutela aktibo horietara, hala eskatzen badute.

Osotasuna: informazio-aktiboa ez da aldatuko baimenik gabe.

Konfidentzialtasuna: informazioa ez zaie eskuratuko, ezta jakinarazi ere, baimendu gabeko gizabanako, entitate edo prozesuei.

Benetakotasuna: halakoa dela dioen entitateak halako entitatea izan behar du benetan, edo datuen iturria bermatu behar du.

Trazagarritasuna: entitate baten jardunak soil-soilik entitate horri izango dira egozgarriak.

Premisa horien arabera, Segurtasunaren helburu espezifikoak hauek izango dira:

–Informazioaren segurtasuna zaintzea azaldutako alderdietan.

–Segurtasuna formalki kudeatzea, arrisku-analisien prozesuetan oinarrituta.

–NUPek eskainitako zerbitzuetarako zehaztutako kontingentzia planak eta jardueraren jarraitutasunerako planak prestatzea, mantentzea eta probatzea.

–Informazioaren segurtasunari eragiten dioten gorabeheren kudeaketa egokia egitea.

–Segurtasun betekizunei buruzko informazioa ematea langileei, eta informazioaren erabilera segururako jardunbide egokiak zabaltzea.

–Hirugarren aldeekin adostutako segurtasun mailak ematea informazio aktiboak partekatzen edo lagatzen direnean.

–Araudi indarduna betetzea, bereziki informazioaren segurtasunaren eta datuen babesaren arloan.

3.–Irismena.

Segurtasunerako Eskema Nazionalean jasotako segurtasun integralaren printzipioari jarraikiz, sistema, zerbitzu, informazio, azpiegitura eta instalazio guztiei eta NUPekin lotutako gainerako IKT baliabideei eta IKT baliabide berekiei aplikatuko zaie Segurtasun Politika. NUPekin lotutako IKT baliabideak dira kontratu, hitzarmen edo agindu batetik edo beste edozein harreman formalki identifikagarritatik eratorritako kudeaketa esparrua dutenak eta NUP alderdietako bat dutenak. Halaber, bere antolakundeko kideei aplikatzekoa izango da, salbuespenik gabe, bai bere langileei, bai bere ikasleei, bai eta edozein modalitateren arabera kontratatutako entitate eta profesionalei ere, beren eginkizunak betetzen ari direla sistemetarako eta informaziorako sarbidea dutenean, legezko esparru baten barnean lagatakoa barne.

Politika honetatik at geratuko dira nork bere izenean finantzatutako eta Unibertsitatearen izenean inbentariatu gabeko ordenagailu eta gailuak, bai eta haiekin egindako ekintzak edo elementu horien segurtasun-arriskuak ere. Nolanahi ere, ordenagailu edo gailu pertsonal horien bidez badute sarbidea sarera edo informazio korporatiborako sarbidea baldin badute, Informazioaren Segurtasunerako Politika honetan ezarritako betebeharrak eta garatzeko arau eta jarraibideak bete beharko dituzte.

4.–Informazioaren Segurtasunerako Politikaren adierazpena.

NUPeko informazioa eta zerbitzuak babestea da Informazioaren Segurtasunerako Politika honen xedea.

–NUPen berariaz aitortuko da informazioak duen garrantzia eta informazioa babesteko premia. Izan ere, aktibo estrategiko garrantzitsua da, halako eran non arriskuan jar baitezake erakundearen iraupena, edo kalte larriak eragin, zenbait datu erabat eta atzerakorik gabe galduko balira.

–NUPek SEN ezarri, mantendu eta haren eta Datuak Babesteko Lege Organikoaren jarraipena egingo du, eta aplikatzekoak diren legezko betekizun guztiak beteko ditu. Horretarako, Informazioaren Segurtasunerako Batzordeak eta Datuak Babesteko gaietarako ordezkariak gai horretan egiten dizkioten gomendioak beteko ditu Unibertsitateko Komunitateak.

–Informazioa eta zerbitzuak babestuta egongo dira erabilgarritasun, osotasun, konfidentzialtasun, benetakotasun eta trazagarritasun galeren aurrean.

–Informazioaren segurtasunaren eta datuen babesaren gaietan arau-hausteen prebentziorako lan proaktiboa egitea dakar Segurtasun Politikak. Nolanahi ere, halakorik gertatuko balitz, berehala detektatu, zuzen kalifikatu, urratutako legaltasuna berrezarri eta lehengo egoerara itzuli beharko llitzateke ahal den neurrian.

–SENen arabera beteko dira zerbitzuaren betekizunak informazioaren segurtasunari eta informazio sistemei dagokienez.

–Segurtasun neurriak babestu beharreko aktiboen kritikotasunaren eta haien sailkapenaren proportzionalak izango dira.

–SENen irismenean sartzen diren zerbitzu elektronikoak ematean erabiltzen den informazioaren segurtasunaren ardura informazioaren eta zerbitzuaren arduradunena izango da, eta egokiak diren baliabideak jarriko dituzte bazter utzi gabe unibertsitateko komunitateko kide bakoitzak bere gain hartzea erabiltzen dituen baliabideekiko erantzukizunaren partea, arau hauetan eta prozedura osagarrietan ezarritakoaren arabera.

–Informazioa osatzen duten datuak babestera zuzendutako kontrol eta neurrien ezarpena sustatu beharko du Informazioaren arduradunak, bereziki datu pertsonalak edo datu garrantzitsuak.

–Informazioa sailkatzeko sistema bat ezarriko da NUPeko Informazioaren Segurtasun Araudiaren barnean, eta sistema horrek maila diferenteak izango ditu.

–Pertsonak, datuak, programak, ekipoak, instalazioak, dokumentazioa eta informazioa duten beste euskarri batzuk, eta, oro har, NUPeko edozein aktibo babesteko beharrezkoak diren baliabideak ezarriko dira.

–Kontratu publikoen legediaren arabera araututako kontratuetan, segurtasunaren eta datuen babesaren gaietan klausulak eduki beharko dituzte pleguek.

–Arriskuen ebaluazioak egin beharko dira aldian-aldian, eta, ahultasunen arabera, zehaztu beharrezkoa den kontrolak ezartzeko edo sendotzeko planak egitea.

–Unibertsitateko komunitateko kideen eta laguntzaileen artean segurtasunaren arlokorik informazioa eta prestakuntza zabaltzea bultzatuko da akatsik, hutsegiterik, iruzurrik eta deliturik gerta ez dadin, eta haiek lehenbailehen detektatzeko, halakorik badago, eta ikerketen zabalpen oso mugatu bat egingo da.

–Beren lanpostuarekin lotutako arauak, erregelak, estandarrak eta prozedurak ezagutu beharko dituzte NUPeko langileek, bai eta beren eginkizunak eta betebeharrak ere, eginkizunen bereizketaz eta erregistroen azterketa independenteaz gainera, beharrezkoa bada, nork zer egin duen noiz eta nondik.

–Segurtasun gorabeherak behar bezala jakinarazi eta tratatuko dira, NUPeko Informazioaren Segurtasunerako Araudiak ezarritakoaren arabera.

5.–Arau-esparrua.

Informazioaren Segurtasunerako Politika legezko eskakizun hauek betez egingo da:

–2010eko urtarrilaren 8ko 3/2010 Errege Dekretua, administrazio elektronikoaren esparruan SEN arautzen duena. 2010eko urtarrilaren 29ko BOE, 2015eko urriaren 23ko 951/2015 Errege Dekretuak aldatua.

–2015eko urriaren 1eko 39/2015 Legea, Administrazio Publikoen Administrazio Prozedura Erkideari buruzkoa.

–40/2015 Legea, 2007ko azaroaren 16koa, sektore publikoaren informazioa berriz erabiltzeari buruzkoa.

–2018ko abenduaren 5eko 3/2018 Lege Organikoa, Datu Pertsonalak Babesteari eta Eskubide Digitalak Bermatzeari buruzkoa, eta 2007ko abenduaren 21eko 1720/2007 Errege Dekretua, Norberaren Datuak Babesteko 1999ko abenduaren 13ko 15/1999 Lege Organiko indargabetua garatzen zuena, bai eta aipatutakoak ordeztuko dituzten lege eta erregelamenduak ere.

–2016ko apirilaren 27ko Kontseiluaren eta Europako Parlamentuaren (EB) 2016/679 Erregelamendua, Europako Parlamentuaren eta datu pertsonalen tratamenduaren eta datu horien zirkulazio askearen gaietan pertsona fisikoak babesteari buruzkoa, eta 95/46/CE Zuzentaraua indargabetzen duena (Datuak Babesteko Erregelamendu Orokorra).

–1996ko apirilaren 12ko 1/1996 Legegintzako Errege Dekretua, Jabetza Intelektualari buruzko Legearen Testu Bategina onesten duena.

–Europako Parlamentuaren eta Kontseiluaren araudi indarduna, pribatutasunari eta komunikazio elektronikoei buruzkoa.

–NUPek Datuak Babesteko duen Politika.

Araudiari buruzko aipamenak Informazioaren Segurtasunerako Politika hau onesterakoan dagoenarekin bat datoz.

6.–Produkzioaren antolaketa.

6.1.–Batzordea: eginkizunak eta ardurak.

Informazioaren Segurtasunerako Batzordeak NUPeko informazioaren segurtasuna koordinatzen du.

Informazioaren Segurtasunerako Batzordeak errektoreari emango dio bere lanaren berri, eta hauek osatuko dute:

–Zerbitzuaren arduraduna.

–Informazioaren arduraduna.

–Segurtasunaren arduraduna.

–Sistemaren arduraduna.

–Datuak Babesteko arduraduna.

Bere eginkizunak betetzeko beharrezkoa den informazio teknikoa jasoko du Informazioaren Segurtasunerako Batzordeak.

Informazioaren Segurtasunerako Batzordearen idazkaria izango da Segurtasunaren arduraduna, eta eginkizun hauek izango ditu:

1. Informazioaren Segurtasunerako Batzordearen bilerak deitzea.

2. Batzordearen bileretan aztertuko diren gaiak prestatzea, eta unean uneko informazioa ematea erabakiak hartzeko.

3. Bileren akta prestatzea.

4. Batzordearen erabakien zuzeneko betearazpenaren edo betearazpen eskuordetuaren arduraduna izatea.

5. Batzordeak bere eginkizunak garatzeko egoki jotzen duen edozein pertsona bileretara gonbidatzea kontsultak egiteko.

Informazioaren Segurtasunerako Batzordeak eginkizun hauek edukiko ditu:

1. Informazioaren Segurtasuna Kudeatzeko Sistemaren hobekuntza jarraitua sustatzea.

2. NUPen bilakaera-estrategia prestatzea informazioaren segurtasunari dagokionez.

3. Arloen ahaleginak koordinatzea informazioaren segurtasunaren gaian, ahalegin trinkoak egiteko, gaian erabakitako estrategiarekin lerrokatuak, eta bikoiztasunak saihesteko.

4. Informazioaren segurtasunerako politikak eta araudiak prestatzea eta erregularki aztertzea Gobernu Kontseiluak onets dezan.

5. Administratzaile, operadore eta erabiltzaileen prestakuntza eta kalifikazio betekizunak prestatzea eta onestea informazioaren segurtasunaren ikuspegitik.

6. NUPek bere gain hartutako hondakin-arrisku nagusiak zaintzea eta haiei buruz egin daitezkeen jardunak aholkatzea.

7. Segurtasun gorabeherak kudeatzeko prozesuak nola betetzen diren ikuskatzea, eta horri buruz egin daitezkeen jardunak aholkatzea. Bereziki, segurtasuneko arloen koordinazioaz arduratzea informazioaren segurtasun gorabeheren kudeaketan.

8. Aldian aldiko ikuskaritzak sustatzea, organismoak segurtasun arloan dituen betebeharrak betetzen direla egiaztatzeko aukera emango dutenak.

9. NUPeko informazioaren segurtasuna hobetzeko planak onestea. Bereziki, arlo diferenteetan egin daitezkeen planen koordinazioaz arduratzea.

10. Segurtasun arloko jarduerei lehentasuna ematea baliabideak mugatuak direnean.

11. Informazioaren segurtasuna proiektu guztietan kontuan har dadila zaintzen du bere hasierako espezifikaziotik funtzionamenduan jarri arte. Bereziki, zerbitzu horizontalak eta erabiltzen direla zainduko du, bikoiztasunak murriztu eta sistema guztien funtzionamendu homogeneoa lagunduko dutenak.

12. Arduradunen artean sor daitezkeen ardura-gatazkak konpontzea, eta erabakitzeko nahikoa aginpide ez duen kasuetan, kasua bere goikoei bidaltzea.

13. NUPeko errektoreari informazioaren segurtasunaren egoeraren berri ematea erregularki.

14. Sistemaren segurtasunari buruzko prozedurak eta dokumentazioa prestatzea eta onestea.

15. Sistemaren segurtasunerako neurri espezifikoak onestea.

6.2.–Rolak: eginkizunak eta ardurak.

NUPen informazioaren segurtasuna zaintzeko, hiru figura hauek zehazten dira:

–Zerbitzuaren arduraduna: kudeatzailea.

–Informazioaren arduraduna: idazkari nagusia.

–Segurtasunaren arduraduna: errektorea edo hark eskuordetua.

–Sistemaren arduraduna: Informatika Zerbitzuaren zuzendaria.

–Sistemaren Segurtasunaren administratzaileak: Informazioaren Segurtasun Batzordeak izendatuak.

–Datuak Babesteko gaietan delegatua: NUPeko lanpostu-zerrendan dagokion lekua betetzen duen pertsona.

Ardurak egozten zaizkien karguak edo destinoak nola betetzen diren, horrek zehaztuko ditu aurreko ardurak. Karguak edo destinoak estatutuetan ezarritakoak edo ezarri gabekoak izan daitezke. Arduradunik ez badago, postua hutsik badago edo eragozpenen bat badago, zeregin hori beteko duen pertsona behin-behinean izendatuko du errektoreak.

Eginkizunak eta ardurak jarraian zehazten dira:

–Zerbitzuaren arduraduna:

1. Zerbitzuaren betekizunak ezartzea segurtasun arloan, interoperagarritasunaren, eskuragarritasunaren eta erabilgarritasunaren betekizunak barne.

2. Zerbitzuen segurtasun-mailak zehaztea.

3. Zerbitzuaren segurtasun-maila formalki onestea.

–Informazioaren arduraduna:

1. Informazioa behar bezala erabiltzen dela zaintzea, eta, horrenbestez, informazioaren edukia babestea.

2. Konfidentzialtasun edo osotasun gorabeheraren bat eragiten duen zeinahi akats edo axolagabekeriaren arduraduna da. Haren ardura da informazio bat nola erabiltzen den jakitea, eta, horrenbestez, informazioaren edukia babestea.

3. Informazioaren betekizunak ezartzea segurtasun arloan.

4. Informazioaren segurtasun-maila ezartzea.

5. Informazioaren segurtasun-maila formalki onestea.

Segurtasunaren arduraduna:

1. Erabilitako informazioaren eta sistemek emandako zerbitzuen segurtasunaren maila egokiari eustea.

2. Sistemaren arriskuen analisia eta kudeaketa egitea.

3. SENek behartuta, haren betekizunak betetzen direla egiaztatzeko, aldian-aldiko ikuskaritzak egitea edo sustatzea.

4. Informazioaren segurtasunaren arloko prestakuntza eta kontzientziazioa sustatzea eta kudeatzea.

5. Dauden segurtasun-neurriak entitatearen beharretarako egokiak direla egiaztatzea.

6. Batzordeak onetsitako sistemaren segurtasuneko neurri espezifikoen egoera ikuskatzea.

7. Sistemaren segurtasunarekin lotutako dokumentazioa aztertzea, osatzea eta onestea.

8. Segurtasun-gertakariak kudeatzeko tresnek eta sisteman ezarritako ikuskaritza mekanismoek emandako sistemaren segurtasun-egoera ikuskatzea.

9. segurtasun gorabeheren ikerketan laguntzea eta ikuskatzea hasi jakinarazpenetik eta konpondu bitartean, eta Batzordeari gorabehera aipagarrienei buruz aldian-aldian txostenak egitea.

Sistemaren arduraduna:

1. Informazio Sistemaren segurtasuna kudeatzea bere bizi-ziklo osoan, espezifikaziotik eta instalaziotik hasi eta bere funtzionamenduaren jarraipenera.

2. Sistemaren segurtasunerako neurri espezifikoak ezartzea.

3. Kontingentzia eta larrialdi planak ezartzea, eta ariketak egitea langileak haietara ohitzeko.

4. Dagokien arduradunek informazio jakin bat erabiltzeko edo zerbitzu jakin bat emateko duten ardura kentzeko eskatzea, ezarritako betekizunen betearazpenari eragin diezaioketen segurtasuneko akats larriak detektatzen dituztenean.

Sistemaren Segurtasunaren Administraileak:

1. Informazio-sistemari aplikatzekoak zaizkion segurtasun-neurriak ezartzea, kudeatzea eta mantentzea.

2. Informazio Sistemaren segurtasun mekanismo eta zerbitzuen oinarri diren hardwarea eta softwarea kudeatzea, konfiguratzea eta eguneratzea.

3. Sistemaren erabiltzaileei emandako baimenak kudeatzea, bereziki emandako pribilegioak, jarduera baimendutakoaren arabera garatzea barne.

4. Informazio-sistema erabiltzeko onetsitako segurtasuneko prozedura eta neurrien aplikazioa ziurtatzea.

5. Hardwareko eta softwareko instalazioak, beren aldaketak eta hobekuntzak ikuskatzea segurtasuna arriskuan ez dagoela, eta, une oro, beharrezkoak diren baimenetara egokitzen direla ziurtatzeko.

6. Segurtasun-gertakariak kudeatzeko tresnek eta sisteman ezarritako ikuskaritza teknikoko mekanismoek emandako sistemaren segurtasun-egoera monitorizatzea.

7. Segurtasunaren eta Sistemaren arduradunei segurtasunarekin lotutako edozein anomalia, disfuntzio, konpromiso edo zaurgarritasunen berri ematea.

8. Segurtasun gorabeheren ikerketan eta konponbidean laguntzea hasi detekziotik eta konpondu bitartean.

Datuen babeserako delegatua:

NUPeko Datuak Babesteko Politikak ezarritakoak izango dira delegatuaren eginkizunak eta ardurak.

6.3.–Gatazken Konponbidea.

Espainiako administrazio publikoak arautzen dituen hierarkia printzipioaren arabera, arduradun diferenteen eta/edo entitatearen zerbitzu diferenteen artean gatazkarik balego, haien nagusi hierarkikoak ebatziko luke gatazka. Nagusi hierarkikoaren ebazpenik ez balego, Informazioaren Segurtasunerako Batzordearen erabakia nagusituko llitzateke, eta kasuak bere gainetik daudenei bidaliko lizkieke erabakitzeko nahikoa aginpiderik ez duenean.

6.4.–Arau-esparrua informazioaren segurtasunaren arloan.

NUPek arau-esparru bat ezartzen du informazioaren segurtasunaren arloan. Zenbait mailatan egituratuta dago dokumentu honetan ezarritako helburuek garapen espezifiko bat izan dezaten:

–Lehen maila: Informazioaren Segurtasun Politika eta araudi orokorrak.

–Bigarren maila: informazioaren segurtasuneko jarraibideak eta ildoak. Inguruabar jakin bat prozedura esplizitu batean jasota ez badago, nola jokatu behar den azaltzen duten dokumentuen multzoa.

–Hirugarren maila: informazioaren segurtasun prozedurak. Jarduera jakin bat nola egin esplizituki eta urratsez urrats azaltzen duten dokumentuen multzoa.

–Laugarren maila: jardunbide egoki, gomendio, gida, prestakuntza-ikastaro, aurkezpen eta abarri buruzko dokumentazioa.

NUPeko Gobernu Kontseiluak onetsiko ditu Informazioaren Segurtasun Politikak eta araudi orokorrak. Informazioaren Segurtasunerako Batzordeak onetsiko ditu bigarren, hirugarren eta laugarren mailek osatutako informazioaren segurtasunerako jarraibide eta ildo teknikoak.

Informazioaren segurtasunera jarraibideak eta ildoak, Informazioaren Segurtasunerako Batzordeak onetsiak, errektoreak, kudeatzaileak, idazkari nagusiak edo errektoreorde eskudunak emandako ebazpenaren bidez onetsiko dira, eta, ebazpena betetzen ez bada, dagokion diziplina-espedientea irekiko da.

6.5.–Informazioaren Segurtasunerako Politika.

Informazioaren Segurtasunerako Batzordearen egitekoa hauxe izango da: Informazioaren Segurtasunerako Politika aldian-aldian aztertzea eta politika hori aldatzeko edo bere horretan eusteko proposatzea. Gobernu Kontseiluak onetsiko du politika, eta zabalpen handia emango zaio.

6.5.1.–Datu pertsonalak.

Datuak babestearen gaietako lege indarduna pertsona fisikoen askatasun publikoak eta oinarrizko eskubideak bermatzen eta babesten saiatzen da datu pertsonalen tratamenduari dagokionez, eta bereziki pertsona fisikoen ohore, intimitate eta pribatutasun pertsonala eta familiarra, eta bai informatikoki bai paperean erregistratutako datu pertsonalei aplikatzekoa da.

Araudiak Segurtasun Agirian jasotako datu pertsonalen izaerarako eta xederako eskatutako segurtasun neurrietara egokituko dira NUPeko informazio-sistema guztiak.

Babes hori bermatzeko, erregelamendu indardunek eskatutako segurtasun neurriak hartuko dira.

Unibertsitate Komunitateak eta NUPekin harremanak dituen edozein entitatek edo pertsonak sekretu, konfidentzialtasun eginbeharrak eta datuen babeserako araudian ezarritako beste batzuk bete beharko ditu. Betetzen ez badira, NUPek neurri zuzentzaileak, diziplina arlokoak eta legezko beste batzuk ezartzeko aukera izango du.

6.5.2.–Arriskuen kudeaketa.

Politika honen araberako sistema guztiek arriskuen analisi bat egin beharko dute, eta dituzten mehatxu eta arrisku guztiak ebaluatu beharko dituzte. Analisi hori errepikatuko da:

–Erregularki, urtean behin gutxienez.

–Erabilitako informazioa aldatzen denean.

–Emandako zerbitzuak aldatzen direnean.

–Segurtasuneko gorabehera larriren bat gertatzen denean.

–Zaurgarritasun larrien berri ematen denean.

Arriskuen analisiak harmonizatzeko, Informazioaren Segurtasunerako Batzordeak erreferentziako balorazio bat ezarriko du erabilitako informazio mota diferenteetarako eta emandako zerbitzu diferenteetarako. Informazioaren Segurtasunerako Batzordeak baliabideen erabilgarritasuna dinamizatuko du sistemen segurtasun-beharrak betetzeko, eta inbertsio horizontalak sustatuko ditu.

6.5.3.–Informazioaren Segurtasunerako Politikaren adierazpena.

Politika hau NUPeko Informazioaren Segurtasunerako Araudian garatuko da. Besteak beste, alderdi hauek arautu behar ditu araudi horrek: erabilera onargarriak, segurtasun fisikoa eta ingurunearena, sarbideen kontrola, baita langileen eta hirugarrenen betebeharrak ere.

7.–Langileen betebeharrak.

NUPeko kide guztiek Informazioaren Segurtasunerako Politika ezagutzeko eta betetzeko betebeharra dute, eta Informazioaren Segurtasunerako Batzordearen ardura da informazioa ukituengana iristeko beharrezkoak diren baliabideak edukitzea.

Informazioaren segurtasuneko prestakuntza jasoko dute NUPeko kide guztiek. Kontzientziazio jarraituko programa bat ezarriko da unibertsitateko komunitateko kide guztiei arreta emateko, bereziki sartu berriak direnei.

IKT sistemen erabilera, operazio edo administrazioan ardura dutenek prestakuntza jasoko dute sistemaren erabilera segururako beren lana egiteko behar duten neurrian.

8.–Hirugarren aldeak.

NUPek beste organismo batzuei zerbitzu ematen dienean edo beste organismo batzuen informazioa erabiltzen dutenean, Informazioaren Segurtasunerako Politika honen partaide izango dira, dagozkion Segurtasun Batzordeei berri emateko eta koordinatzeko kanalak ezarriko dira eta jarduteko prozedurak ezarriko dira segurtasun gorabeheren aurrean erreakzionatzeko.

NUPek hirugarrenen zerbitzuak erabili edo hirugarrenei informazioa lagatzen dienean, Segurtasuna Politika honen eta zerbitzu edo informazio horiei dagokien Segurtasun Araudiaren partaide egingo ditu. Hirugarren alde horrek araudian ezarritako betebeharrak izango ditu, eta bere prozedura operatiboak garatzeko aukera izango du araudiak ezarritakoa betetzeko. Gorabeheren berri emateko eta konpontzeko prozedura espezifikoak ezarriko dira. Hirugarrenenen langileak segurtasun arloan egoki kontzientziatuta daudela bermatuko da, Politika honek ezarritakoaren maila berean gutxienez.

Hirugarren alde batek ezin badu Politikaren alderdiren bat bete aurreko paragrafoetan ezarritako moduan, Segurtasuneko arduradunak txosten bat egingo du, dauden arriskuak eta horiek tratatzeko modua zehaztuko dituena. Informazioaren arduradunek eta ukitutako zerbitzuek txostena onetsi beharko dute aurrera jarraitu baino lehen.

Kontratu publikoen unitate kudeatzaileen, hitzarmenak proposatzen dituzten unitateen edo informazioaren segurtasunari eragiten dioten beste edozein elkarlan sustatzen duten unitateen arduradunena da hirugarren aldeei segurtasun politikaren berri emateko betebeharra.

9.–Onespena eta indarrean sartzea.

Gobernu Kontseiluak 2019ko urtarrilaren 31ko bileran onetsitako testua.

Informazioaren Segurtasunerako Politikak Nafarroako Aldizkari Ofizialean argitaratzen denetik Politika berri batek ordezten duen arte izanen du indarra.

10.–Aipamenak generoaren arabera.

Dokumentu honetako aipamenak generoa bereizi gabe egin direla ulertuko da.

Iragarkiaren kodea: F1902165