Iragarkia

194. ALDIZKARIA - 2019ko urriaren 1a

1. NAFARROAKO FORU KOMUNITATEA

1.7. BESTELAKOAK

1816/2019 EBAZPENA, irailaren 10ekoa, Nafarroako Unibertsitate Publikoko errektoreak emana. Haren bidez agintzen da argitaratzeko “Erabakia, Nafarroako Unibertsitate Publikoaren Informazioaren Segurtasunerako Politika aldatzen duena”, 2019ko irailaren 10eko Gobernu Kontseiluak onetsia.

2003ko maiatzaren 12ko 110/2003 Foru Dekretuak onetsitako Unibertsitateko Estatutuetako 40. artikuluak ematen dizkidan eskumenak erabiliz, agintzen dut argitaratzeko 2019ko irailaren 10eko Gobernu Kontseiluak hartutako erabakia, zeinaren bidez onetsi baitzen “Erabakia, Nafarroako Unibertsitate Publikoaren Informazioaren Segurtasunerako Politika aldatzen duena”.

“Gobernu Kontseiluaren Erabakia, Informazioaren Segurtasunerako Politika aldatzen duena.

Nafarroako Unibertsitate Publikoaren Gobernu Kontseiluak, 2019ko urtarrilaren 31n egindako bileran, NUPen Informazioaren Segurtasunerako Politika onetsi zuen. Politika horretan, Informazioaren Segurtasunerako Batzordeko rolak zehazten dira.

Politika horren hasierako bertsioak Unibertsitateko kudeatzaileari esleitzen zion Zerbitzuaren arduradunaren rola. Hori hala izanik ere, Unibertsitateak badu orain garapen digitalaren sektorean berariazko eskumena duen errektoreordetza bat.

Horrenbestez, bidezkoa da Informazioaren Segurtasunerako Politika aldatzea Zerbitzuaren arduradunaren rola Garapen Digitaleko errektoreordeari edo gai horretan eskumena duen errektoreordetzako titularrari esleitzeko.

Beraz, hau da Gobernu Kontseiluak, 2019ko irailaren 10eko bileran hartu duen.

ERABAKIA:

Lehena.–NUPen Informazioaren Segurtasunerako Politika aldatzea, Zerbitzuaren arduradunaren rola Garapen Digitaleko errektoreordeari edo gai horretan eskumena duen errektoreordetzako titularrari esleitzeko.

Bigarrena.–Informazioaren Segurtasunerako Politikaren 6.2 puntuan agertzen den lehen rolaren idazketa ezartzea, honela: “Zerbitzuaren arduraduna: Garapen Digitaleko errektoreordea edo gai horretan eskumena duen errektoreordetzako titularra”.

Hirugarrena.–Eranskin gisa gehitzea Informazioaren Segurtasunerako Politikaren testu bateratua. Aurreko bertsioaren indar bera izango du, erabaki honetan onetsitako aldaketari dagokion horretan izan ezik.

Laugarrena.–Ebazpen hau eta bere eranskina Unibertsitatearen webgunean eta Nafarroako Aldizkari Ofizialean argitaratzeko agintzea.”

Iruñean, 2019ko irailaren 10ean.–Errektorea, Ramón Gonzalo García.

INFORMAZIOAREN SEGURTASUNAREN POLITIKA

1.–Sarrera.

Nafarroako Unibertsitate Publikoa, aurrerantzean NUP, goi-mailako hezkuntzako erakunde publiko bat da, kultura-ondasun bat, ezaugarri bereziak eta konpromiso sozial handia dituena, eta, irakaskuntzaren, ikerketaren, kulturaren transmisioaren eta jakintzaren transferentziaren hobekuntza jarraituaren bidez gizarteari aurrera egiten laguntzea eta bere ingurua modu jasangarrian garatzen laguntzea du xede.

Bere helburuak lortzeko, Informazioaren eta Komunikazioen Teknologien sistemen beharra du, aurrerantzean IKT, bere helburuak lortzeko. Sistema horiek arduraz administratu behar dira, eta neurri egokiak hartu sistemak tratatutako informazioaren erabilgarritasunean, integritatean, konfidentzialtasunean, benetakotasunean edo trazagarritasunean eragina izan dezaketen ezusteen edo nahita egindako kalteen aurrean babesteko.

Informazioaren segurtasunaren xedea informazioaren kalitatea eta zerbitzuen emate jarraitua bermatzea da prebentzio neurriak hartuz, eguneroko jarduna ikuskatuz eta gertatzen diren gorabeheren aurrean arin jokatuz.

Informazioaren eta zerbitzuen erabilgarritasunean, osotasunean, konfidentzialtasunean, benetakotasunean, trazagarritasunean, aurreikusitako erabileran eta balioan eragin dezaketen bilakaera lasterreko mehatxuen aurka babestua egon behar dute IKT sistemek. Mehatxu horietatik babesteko, beharrezkoa da ingurunearen baldintzetan gertatzen diren aldaketetara egokituko den estrategia bat, zerbitzuak jarraituki ematen direla bermatzeko. Horrek esan nahi du Segurtasuneko Eskema Nazionalak, aurrerantzean SEN, eta indarrean dagoen Datuak Babesteko Lege Organikoak, aurrerantzean DBLO, eskatutako segurtasun neurriak aplikatu behar direla, bai eta zerbitzu ematearen mailen etengabeko jarraipena egin, jasotako ahulguneen jarraipena eta analisia egin, eta gertakariei erantzun eraginkorra eman ere.

NUPek ziurtatu behar du informazioaren segurtasuna sistemaren bizi-zikloaren aldi bakoitzaren parte integrala dela, hasi bere sorreratik eta zerbitzutik kendu arte, garatzeko edo eskuratzeko erabakiak eta ustiapen jarduerak barne. Segurtasun betekizunak eta finantzaketa beharrak plangintzan, eskaintzen eskaeran eta IKT proiektuetarako lizitazio pleguetan identifikatu eta sartu behar dira.

NUPek prest egon behar du gorabeherei aurrea hartzeko, detektatzeko, erreakzionatzeko eta lehengoratzeko, SENekin eta Datuak Babesteko Lege Organiko indardunarekin bat etorriz.

Segurtasun Politikak Inteligentziako Zentro Nazionalari atxikitako Zentro Kriptologiko Nazionalaren ZCCN-STIC-805 gidaren jarraibideei jarraitzen die (2011ko iraila).

1.1. Prebentzioa.

Segurtasun gorabeherek informazioari edo zerbitzuei kalte egitea eragotzi edo ahal duen neurrian prebenitu behar du NUPek. Horretarako SENek eta DBLOk zehaztutako gutxieneko segurtasun neurriak ezarriko ditu, bai eta mehatxu eta arriskuen ebaluazio baten bidez identifikatutako zeinahi kontrol gehigarri ere.

Kontrol horiek eta langile guztien segurtasuneko ardura eta rol guztiak argi eta garbi zehaztu eta dokumentatuko dira.

Politika betetzen dela bermatzeko, Unibertsitateko Zerbitzuek hau egin behar dute:

• Sistemak ezartzeko baimena eman funtzionamenduan sartu baino lehen.

• Segurtasuna erregulartasunez ebaluatu, ohiko moduan egindako konfigurazio-aldaketen ebaluazioak barne.

• Hirugarrenek aldian-aldian aztertzeko eskatzea ebaluazio independente bat lortzeko.

1.2. Detekzioa.

Gorabeherak direla-eta zerbitzuen mailak berehala egin baitezake okerrera –desazelerazio soil batetik erabat geratu arte–, operazioa etengabe monitorizatu behar da zerbitzu ematearen mailetan akatsak detektatzeko eta horren arabera jokatzeko SENeko 9. artikuluan ezarritakoari jarraikiz.

Monitorizazioa bereziki aipagarria da defentsa lerroak ezartzen direnean SENeko 9. artikuluaren arabera. Detektatzeko, aztertzeko eta datuak jakinarazteko mekanismoak ezarriko dira, arduradunengana iritsiko direnak, aurrez ezarritako parametro normalen desbideratze esanguratsu bat gertatzen denean.

1.3. Erantzuna.

NUP:

• Mekanismoak ezarriko ditu segurtasun gorabeherei eraginkortasunez erantzuteko.

• Lotura gune bat izendatuko du Unibertsitateko beste zerbitzu batzuetan edo beste organismo batzuetan detektatutako gorabeherei buruzko komunikazioak egiteko.

• Gorabeherarekin lotutako informazioa trukatzeko protokoloak ezarriko ditu. Larrialdiei Erantzuteko Ekipoekin elkarri egindako komunikazioak hartuko ditu barnean (Computer Emergency Response Team, CERT).

1.4. Lehengoratzea.

Zerbitzu kritikoen erabilgarritasuna bermatzeko, NUPeko Unibertsitate Zerbitzuek IKT sistemen kontingentzia planak garatuko dituzte zerbitzuen jarraitutasunerako eta lehengoratze jardueretarako plan orokorraren barnean.

2.–Helburua.

NUPek Informazioaren Segurtasunerako Politika zehazten du. Unibertsitateko komunitatearentzat eta enpresa laguntzaileentzat nahitaezkoa da, eta bere helburu nagusia da informazioaren segurtasuna eta eskaintzen dituen zerbitzuak modu jarraituan ematen direla bermatzea. Jarduera ikuskatu nahi du Unibertsitateak, eta lastertasunez erreakzionatu du gertatzen diren gorabeheren aurrean.

Politika horrek oinarriak ezarri behar ditu NUPek bere eginkizunak garatzeko baliatzen dituen informazio aktiboetarako sarbidea, erabilera, zaintza eta babesa beren alderdi diferenteetan gauzatu daitezen, segurtasun bermeekin:

• Erabilgarritasuna: aktiboen ezaugarria da baimendutako entitate edo prozesuek sarbidea izango dutela aktibo horietara, hala eskatzen badute.

• Osotasuna: informazio-aktiboa ez da aldatuko baimenik gabe.

• Konfidentzialtasuna: informazioa ez zaie eskuratuko, ezta jakinarazi ere, baimendu gabeko gizabanako, entitate edo prozesuei.

• Benetakotasuna: erakunde bat dioena dela edo datuen iturria babesten duela.

• Trazagarritasuna: entitate baten jardunak soil-soilik entitate horri izango dira egozgarriak.

Premisa horien arabera, Segurtasunaren helburu espezifikoak hauek izango dira:

• Informazioaren segurtasuna zaintzea azaldutako alderdietan.

• Segurtasuna formalki kudeatzea, arrisku-analisien prozesuetan oinarrituta.

• NUPek eskainitako zerbitzuetarako zehaztutako kontingentzia planak eta jardueraren jarraitutasunerako planak prestatzea, mantentzea eta probatzea.

• Informazioaren segurtasunari eragiten dioten gorabeheren kudeaketa egokia egitea.

• Segurtasun betekizunei buruzko informazioa ematea langileei, eta informazioaren erabilera segururako jardunbide egokiak zabaltzea.

• Hirugarren aldeekin adostutako segurtasun mailak ematea informazio aktiboak partekatzen edo lagatzen direnean.

• Araudi indarduna betetzea, bereziki informazioaren segurtasunaren eta datuen babesaren arloan.

3.–Irismena.

Segurtasuneko Eskema Nazionaleko segurtasun integralaren printzipioari jarraikiz, Segurtasun Politika NUPekin lotutako sistema, zerbitzu, informazio, azpiegitura, instalazio eta gainerako IKT baliabide guztiei aplikatuko zaie. Kontratu, hitzarmen, agindu edo NUP aldeetako bat duen beste harreman formalki identifikagarri batetik eratorritako kudeaketa esparrua dutenak NUPekin lotutako IKT baliabidetzat hartuko dira. Bere erakundeko kideei aplikatuko zaie salbuespenik gabe, bai bere langileei, bai ikasleei, bai eta edozein modalitatetan kontratatutako erakunde eta profesionalei ere, beren eginkizunak betetzean sistemetarako eta informaziorako sarbidea baldin badute, ezarritako lege esparru batean lagatakoa barne.

Politika honetatik at geratuko dira nork bere izenean finantzatutako eta Unibertsitatearen izenean inbentariatu gabeko ordenagailu eta gailuak, bai eta haiekin egindako ekintzak edo elementu horien segurtasun-arriskuak ere. Nolanahi ere, ordenagailu horien bidez edo gailu pertsonalen bidez sarera sartu edo informazio korporatiboa eskuratzen bada, Informazioaren Segurtasunerako Politikan ezarritako betebeharrak eta garapeneko arauak eta jarraibideak bete beharko dituzte.

4.–Informazioaren Segurtasunerako Politikaren adierazpena.

NUPeko informazioa eta zerbitzuak babestea da Informazioaren Segurtasunerako Politika honen xedea.

• NUPen espresuki aitortuko da informazioaren garrantzia eta berau babestu beharra, ezinbesteko aktibo estrategikoa baita, erakundearen jarraipena arriskuan jartzeraino, halako eran non kalte larriak gerta bailitezke datu jakin batzuen erabateko galera atzeraezina gertatuko balitz.

• NUPek SEN ezarri, mantendu eta haren eta Datuak Babesteko Lege Organikoaren jarraipena egingo du, eta aplikatzekoak diren legezko betekizun guztiak beteko ditu. Horretarako, Informazioaren Segurtasunerako Batzordeak gai horretan eta Datuak Babesteko delegatuak esparru horretan emandako gomendioei jarraituko die Unibertsitateko komunitateak.

• Informazioa eta zerbitzuak babestuta egongo dira erabilgarritasun, osotasun, konfidentzialtasun, benetakotasun eta trazagarritasun galeren aurrean.

• Informazioaren segurtasunaren eta datuen babesaren gaietan arau-hausteen prebentziorako lan proaktiboa egitea dakar Segurtasun Politikak. Nolanahi ere, halakorik gertatuko balitz, berehala detektatu, zuzen kalifikatu, urratutako legaltasuna berrezarri eta lehengo egoerara itzuli beharko llitzateke ahal den neurrian.

• SENen arabera beteko dira zerbitzuaren betekizunak informazioaren segurtasunari eta informazio sistemei dagokienez.

• Segurtasun neurriak babestu beharreko aktiboen kritikotasunaren eta haien sailkapenaren proportzionalak izango dira.

• SENen irismenean sartzen diren zerbitzu elektronikoak ematean erabiltzen den informazioaren segurtasunaren ardura informazioaren eta zerbitzuaren arduradunena izango da, eta egokiak diren baliabideak jarriko dituzte bazter utzi gabe unibertsitateko komunitateko kide bakoitzak bere gain hartzea erabiltzen dituen baliabideekiko erantzukizunaren partea, arau hauetan eta prozedura osagarrietan ezarritakoaren arabera.

• Informazioa osatzen duten datuak babestera zuzendutako kontrol eta neurrien ezarpena sustatu beharko du Informazioaren arduradunak, bereziki datu pertsonalak edo datu garrantzitsuak.

• Informazioa sailkatzeko sistema bat ezarriko da NUPeko Informazioaren Segurtasun Araudiaren barnean, eta sistema horrek maila diferenteak izango ditu.

• Pertsonak, datuak, programak, ekipoak, instalazioak, dokumentazioa eta informazioa duten beste euskarri batzuk, eta, oro har, NUPeko edozein aktibo babesteko beharrezkoak diren baliabideak ezarriko dira.

• Kontratu publikoen legediaren arabera araututako kontratuetan, segurtasunaren eta datuen babesaren gaietan klausulak eduki beharko dituzte pleguek.

• Arriskuen ebaluazioak egin beharko dira aldian-aldian, eta, ahultasunen arabera, zehaztu beharrezkoa den kontrolak ezartzeko edo sendotzeko planak egitea.

• Unibertsitateko komunitateko kideen eta laguntzaileen artean segurtasunaren arlokorik informazioa eta prestakuntza zabaltzea bultzatuko da akatsik, hutsegiterik, iruzurrik eta deliturik gerta ez dadin, eta haiek lehenbailehen detektatzeko, halakorik badago, eta ikerketen zabalpen oso mugatu bat egingo da.

• Beren lanpostuarekin lotutako arauak, erregelak, estandarrak eta prozedurak ezagutu beharko dituzte NUPeko langileek, bai eta beren eginkizunak eta betebeharrak ere, eginkizunen bereizketaz eta erregistroen azterketa independenteaz gainera, beharrezkoa bada, nork zer egin duen noiz eta nondik.

• Segurtasun gorabeherak behar bezala jakinarazi eta tratatuko dira, NUPeko Informazioaren Segurtasunerako Araudiak ezarritakoaren arabera.

5.–Arau-esparrua.

Informazioaren Segurtasunerako Politika legezko eskakizun hauek betez egingo da:

• 2010eko urtarrilaren 8ko 3/2010 Errege Dekretua, administrazio elektronikoaren esparruan SEN arautzen duena. 2010eko urtarrilaren 29ko BOE, 2015eko urriaren 23ko 951/2015 Errege Dekretuak aldatua.

• 2015eko urriaren 1eko 39/2015 Legea, Administrazio Publikoen Administrazio Prozedura Erkideari buruzkoa.

• 40/2015 Legea, 2007ko azaroaren 16koa, sektore publikoaren informazioa berriz erabiltzeari buruzkoa.

• 2018ko abenduaren 5eko 3/2018 Lege Organikoa, Datu Pertsonalak Babesteari eta Eskubide Digitalak Bermatzeari buruzkoa, eta 2007ko abenduaren 21eko 1720/2007 Errege Dekretua, Norberaren Datuak Babesteko 1999ko abenduaren 13ko 15/1999 Lege Organiko indargabetua garatzen zuena, bai eta aipatutakoak ordeztuko dituzten lege eta erregelamenduak ere.

• Europako Parlamentuaren eta Kontseiluaren 2016/679 (EB) Erregelamendua 2016ko apirilaren 27koa, datu pertsonalen tratamenduaren eta datu horien zirkulazio askearen gaietan pertsona fisikoak babesteari buruzkoa eta 95/46/CE Zuzentaraua indargabetzen duena (Datuak Babesteko Erregelamendu Orokorra).

• 1996ko apirilaren 12ko 1/1996 Legegintzako Errege Dekretua, Jabetza Intelektualari buruzko Legearen Testu Bategina onesten duena.

• Europako Parlamentuaren eta Kontseiluaren araudi indarduna, pribatutasunari eta komunikazio elektronikoei buruzkoa.

• NUPek Datuak Babesteko duen Politika.

Araudiari buruzko aipamenak Informazioaren Segurtasunerako Politika hau onesterakoan dagoenarekin bat datoz.

6.–Produkzioaren antolaketa.

6.1. Batzordea: eginkizunak eta ardurak.

Informazioaren Segurtasunerako Batzordeak NUPeko informazioaren segurtasuna koordinatzen du.

Informazioaren Segurtasunerako Batzordeak errektoreari emango dio bere lanaren berri, eta hauek osatuko dute:

• Zerbitzuaren arduraduna.

• Informazioaren arduraduna.

• Segurtasunaren arduraduna.

• Sistemaren arduraduna.

• Datuak Babesteko arduraduna.

Bere eginkizunak betetzeko beharrezkoa den informazio teknikoa jasoko du Informazioaren Segurtasunerako Batzordeak.

Informazioaren Segurtasunerako Batzordearen idazkaria izango da Segurtasunaren arduraduna, eta eginkizun hauek izango ditu:

1.–Informazioaren Segurtasunerako Batzordearen bilerak deitzea.

2.–Batzordearen bileretan aztertuko diren gaiak prestatzea, eta unean uneko informazioa ematea erabakiak hartzeko.

3.–Bileren akta prestatzea.

4.–Batzordearen erabakien zuzeneko betearazpenaren edo betearazpen eskuordetuaren arduraduna izatea.

5.–Batzordeak bere eginkizunak garatzeko egoki jotzen duen edozein pertsona bileretara gonbidatzea kontsultak egiteko.

Informazioaren Segurtasunerako Batzordeak eginkizun hauek edukiko ditu:

1.–Informazioaren Segurtasuna Kudeatzeko Sistemaren hobekuntza jarraitua sustatzea.

2.–NUPen bilakaera-estrategia prestatzea informazioaren segurtasunari dagokionez.

3.–Arloek informazioaren segurtasunaren arloan egindako ahaleginak koordinatzea, ahalegin sendoak, gaian erabakitako estrategiarekin lerrokatuak izango direla bermatzeko, eta bikoiztasunak saihesteko.

4.–Informazioaren segurtasunerako politikak eta araudiak prestatzea eta erregularki aztertzea Gobernu Kontseiluak onets dezan.

5.–Administratzaile, operadore eta erabiltzaileen prestakuntza eta kalifikazio betekizunak prestatzea eta onestea informazioaren segurtasunaren ikuspegitik.

6.–NUPek bere gain hartutako hondakin-arrisku nagusiak zaintzea eta haiei buruz egin daitezkeen jardunak aholkatzea.

7.–Segurtasuneko gorabeherak kudeatzeko prozesuak nola betetzen diren ikuskatzea, eta horri buruz egin daitezkeen jardunak aholkatzea. Bereziki, segurtasun arlo diferenteen koordinazioaz arduratzea informazioaren segurtasun gertakarien kudeaketan.

8.–Aldian aldiko ikuskaritzak sustatzea, organismoak segurtasun arloan dituen betebeharrak betetzen direla egiaztatzeko aukera emango dutenak.

9.–NUPeko informazioaren segurtasuna hobetzeko planak onestea. Bereziki, arlo diferenteetan egin daitezkeen planen koordinazioaz arduratzea.

10.–Segurtasun arloko jarduerei lehentasuna ematea baliabideak mugatuak direnean.

11.–Informazioaren segurtasuna proiektu guztietan kontuan har dadila zaintzen du bere hasierako espezifikaziotik funtzionamenduan jarri arte. Bereziki, zerbitzu horizontalak eta erabiltzen direla zainduko du, bikoiztasunak murriztu eta sistema guztien funtzionamendu homogeneoa lagunduko dutenak.

12.–Arduradunen artean sor daitezkeen ardura-gatazkak konpontzea, eta erabakitzeko nahikoa aginpide ez duen kasuetan, kasua bere goikoei bidaltzea.

13.–NUPeko errektoreari informazioaren segurtasunaren egoeraren berri ematea erregularki.

14.–Sistemaren segurtasunari buruzko prozedurak eta dokumentazioa prestatzea eta onestea.

15.–Sistemaren segurtasunerako neurri espezifikoak onestea.

6.2. Rolak: Eginkizunak eta ardurak.

NUPen informazioaren segurtasuna zaintzeko, hiru figura hauek zehazten dira:

• Zerbitzuaren arduraduna: Garapen Digitaleko errektoreordea edo gai horretan eskumena duen errektoreordetzako titularra.

• Informazioaren arduraduna: idazkari nagusia.

• Segurtasunaren arduraduna: errektorea edo hark eskuordetua.

• Sistemaren arduraduna: Informatika Zerbitzuaren zuzendaria.

• Sistemaren Segurtasunaren administratzaileak: Informazioaren Segurtasun Batzordeak izendatuak.

• Datuak Babesteko gaietan delegatua: NUPeko lanpostu-zerrendan dagokion lekua betetzen duen pertsona.

Ardurak egozten zaizkien karguak edo destinoak nola betetzen diren, horrek zehaztuko ditu aurreko ardurak. Karguak edo destinoak estatutuetan ezarritakoak edo ezarri gabekoak izan daitezke. Arduradunik ez badago, postua hutsik badago edo eragozpenen bat badago, zeregin hori beteko duen pertsona behin-behinean izendatuko du errektoreak.

Eginkizunak eta ardurak jarraian zehazten dira:

Zerbitzuaren arduraduna.

1.–Zerbitzuaren betekizunak ezartzea segurtasun arloan, interoperagarritasunaren, eskuragarritasunaren eta erabilgarritasunaren betekizunak barne.

2.–Zerbitzuen segurtasun-mailak zehaztea.

3.–Zerbitzuaren segurtasun-maila formalki onestea.

Informazioaren arduraduna.

1.–Informazioa behar bezala erabiltzen dela zaintzea, eta, horrenbestez, informazioaren edukia babestea.

2.–Konfidentzialtasun edo osotasun gorabeheraren bat eragiten duen zeinahi akats edo axolagabekeriaren arduraduna da. Haren ardura da informazio bat nola erabiltzen den jakitea, eta, horrenbestez, informazioaren edukia babestea.

3.–Informazioaren betekizunak ezartzea segurtasun arloan.

4.–Informazioaren segurtasun-maila ezartzea.

5.–Informazioaren segurtasun-maila formalki onestea.

Segurtasunaren arduraduna.

1.–Erabilitako informazioaren eta sistemek emandako zerbitzuen segurtasunaren maila egokiari eustea.

2.–Sistemaren arriskuen analisia eta kudeaketa egitea.

3.–SENek behartuta, haren betekizunak betetzen direla egiaztatzeko, aldian-aldiko ikuskaritzak egitea edo sustatzea.

4.–Informazioaren segurtasunaren arloko prestakuntza eta kontzientziazioa sustatzea eta kudeatzea.

5.–Dauden segurtasun-neurriak entitatearen beharretarako egokiak direla egiaztatzea.

6.–Batzordeak onetsitako sistemaren segurtasuneko neurri espezifikoen egoera ikuskatzea.

7.–Sistemaren segurtasunarekin lotutako dokumentazioa aztertzea, osatzea eta onestea.

8.–Segurtasun-gertakariak kudeatzeko tresnek eta sisteman ezarritako ikuskaritza mekanismoek emandako sistemaren segurtasun-egoera ikuskatzea.

9.–Segurtasuneko gorabeherak babestea eta ikuskatzea jakinarazten direnetik ebatzi arte, eta aldian-aldian gorabehera aipagarrienei buruzko txostenak egitea Batzordeari.

Sistemaren arduraduna.

1.–Informazio Sistemaren segurtasuna kudeatzea bere bizi-ziklo osoan, espezifikaziotik eta instalaziotik hasi eta bere funtzionamenduaren jarraipenera.

2.–Sistemaren segurtasunerako neurri espezifikoak ezartzea.

3.–Kontingentzia eta larrialdi planak ezartzea, eta ariketak egitea langileak haietara ohitzeko.

4.–Dagokien arduradunek informazio jakin bat erabiltzeko edo zerbitzu jakin bat emateko duten ardura kentzeko eskatzea, ezarritako betekizunen betearazpenari eragin diezaioketen segurtasuneko akats larriak detektatzen dituztenean.

Sistemaren Segurtasunaren Administratzaileak.

1.–Informazio-sistemari aplikatzekoak zaizkion segurtasun-neurriak ezartzea, kudeatzea eta mantentzea.

2.–Informazio Sistemaren segurtasun mekanismo eta zerbitzuen oinarri diren hardwarea eta softwarea kudeatzea, konfiguratzea eta eguneratzea.

3.–Sistemaren erabiltzaileei emandako baimenak kudeatzea, bereziki emandako pribilegioak, jarduera baimendutakoaren arabera garatzea barne.

4.–Informazio-sistema erabiltzeko onetsitako segurtasuneko prozedura eta neurrien aplikazioa ziurtatzea.

5.–Hardwareko eta softwareko instalazioak, beren aldaketak eta hobekuntzak ikuskatzea segurtasuna arriskuan ez dagoela, eta, une oro, beharrezkoak diren baimenetara egokitzen direla ziurtatzeko.

6.–Segurtasun-gertakariak kudeatzeko tresnek eta sisteman ezarritako ikuskaritza teknikoko mekanismoek emandako sistemaren segurtasun-egoera monitorizatzea.

7.–Segurtasunaren eta Sistemaren arduradunei segurtasunarekin lotutako edozein anomalia, disfuntzio, konpromiso edo zaurgarritasunen berri ematea.

8.–Segurtasun gorabeheren ikerketan eta konponbidean laguntzea hasi detekziotik eta konpondu bitartean.

Datuen babeserako delegatua.

NUPeko Datuak Babesteko Politikak ezarritakoak izango dira delegatuaren eginkizunak eta ardurak.

6.3. Gatazken Konponbidea.

Espainiako administrazio publikoak arautzen dituen hierarkia printzipioaren arabera, arduradun diferenteen eta/edo entitatearen zerbitzu diferenteen artean gatazkarik balego, haien nagusi hierarkikoak ebatziko luke gatazka. Aurrekoaren ezean, Informazioaren Segurtasunerako Batzordearen erabakia lehenetsiko da, eta erabakitzeko nahikoa aginpide ez duenean, kasua beste organo bati aurkeztuko dio.

6.4. Arau-esparrua informazioaren segurtasunaren arloan.

NUPek arau-esparru bat ezartzen du informazioaren segurtasunaren arloan. Zenbait mailatan egituratuta dago dokumentu honetan ezarritako helburuek garapen espezifiko bat izan dezaten:

• Lehen maila: Informazioaren Segurtasun Politika eta araudi orokorrak.

• Bigarren maila: informazioaren segurtasuneko jarraibideak eta ildoak. Inguruabar jakin bat prozedura esplizitu batean jasota ez badago, nola jokatu behar den azaltzen duten dokumentuen multzoa.

• Hirugarren maila: informazioaren segurtasun prozedurak. Jarduera jakin bat nola egin esplizituki eta urratsez urrats azaltzen duten dokumentuen multzoa.

• Laugarren maila: jardunbide egoki, gomendio, gida, prestakuntza-ikastaro, aurkezpen eta abarri buruzko dokumentazioa.

NUPeko Gobernu Kontseiluak onetsiko ditu Informazioaren Segurtasun Politikak eta araudi orokorrak. Informazioaren Segurtasunerako Batzordeak onetsiko ditu bigarren, hirugarren eta laugarren mailek osatutako informazioaren segurtasunerako jarraibide eta ildo teknikoak.

Errektoreak, kudeatzaileak, idazkari nagusiak edo errektoreorde eskudunak emandako ebazpenaren bidez onetsi beharko dira Informazioaren Segurtasuneko jarraibideak, Informazioaren Segurtasunerako Batzordeak onetsitakoak. Jarraibideak betetzen ez badira, dagokin diziplina erantzukizuna sortuko da.

6.5. Informazioaren Segurtasunerako Politika.

Informazioaren Segurtasunerako Batzordearen egitekoa hauxe izango da: Informazioaren Segurtasunerako Politika aldian-aldian aztertzea eta politika hori aldatzeko edo bere horretan eusteko proposatzea. Gobernu Kontseiluak onetsiko du politika, eta zabalpen handia emango zaio.

6.5.1. Datu pertsonalak.

Datuak babestearen gaietako lege indarduna pertsona fisikoen askatasun publikoak eta oinarrizko eskubideak bermatzen eta babesten saiatzen da datu pertsonalen tratamenduari dagokionez, eta bereziki pertsona fisikoen ohore, intimitate eta pribatutasun pertsonala eta familiarra, eta bai informatikoki bai paperean erregistratutako datu pertsonalei aplikatzekoa da.

Araudiak Segurtasun Agirian jasotako datu pertsonalen izaerarako eta xederako eskatutako segurtasun neurrietara egokituko dira NUPeko informazio-sistema guztiak.

Babes hori bermatzeko, erregelamendu indardunek eskatutako segurtasun neurriak hartuko dira.

Unibertsitate Komunitateak eta NUPekin harremanak dituen edozein entitatek edo pertsonak sekretu, konfidentzialtasun eginbeharrak eta datuen babeserako araudian ezarritako beste batzuk bete beharko ditu. Betetzen ez badira, NUPek neurri zuzentzaileak, diziplina arlokoak eta legezko beste batzuk ezartzeko aukera izango du.

6.5.2. Arriskuen kudeaketa.

Politika honen araberako sistema guztiek arriskuen analisi bat egin beharko dute, eta dituzten mehatxu eta arrisku guztiak ebaluatu beharko dituzte. Analisi hori errepikatuko da:

• Erregularki, urtean behin gutxienez.

• Erabilitako informazioa aldatzen denean.

• Emandako zerbitzuak aldatzen direnean.

• Segurtasuneko gorabehera larriren bat gertatzen denean.

• Zaurgarritasun larrien berri ematen denean.

Arriskuen analisiak harmonizatzeko, Informazioaren Segurtasunerako Batzordeak erreferentziako balorazio bat ezarriko du erabilitako informazio mota diferenteetarako eta emandako zerbitzu diferenteetarako. Informazioaren Segurtasunerako Batzordeak baliabideen erabilgarritasuna dinamizatuko du sistemen segurtasun-beharrak betetzeko, eta inbertsio horizontalak sustatuko ditu.

6.5.3. Informazioaren Segurtasunerako Politikaren adierazpena.

Politika hau NUPeko Informazioaren Segurtasunerako Araudian garatuko da. Besteak beste, alderdi hauek arautu behar ditu araudi horrek: erabilera onargarriak, segurtasun fisikoa eta ingurunearena, sarbideen kontrola, baita langileen eta hirugarrenen betebeharrak ere.

7.–Langileen betebeharrak.

NUPeko kide guztiek Informazioaren Segurtasunerako Politika ezagutzeko eta betetzeko betebeharra dute, eta Informazioaren Segurtasunerako Batzordearen ardura da informazioa ukituengana iristeko beharrezkoak diren baliabideak edukitzea.

Informazioaren segurtasuneko prestakuntza jasoko dute NUPeko kide guztiek. Kontzientziazio jarraituko programa bat ezarriko da unibertsitateko komunitateko kide guztiei arreta emateko, bereziki sartu berriak direnei.

IKT sistemen erabilera, operazio edo administrazioan ardura dutenek prestakuntza jasoko dute sistemaren erabilera segururako beren lana egiteko behar duten neurrian.

8.–Hirugarren aldeak.

NUPek beste organismo batzuei zerbitzu ematen dienean edo beste organismo batzuen informazioa erabiltzen dutenean, Informazioaren Segurtasunerako Politika honen partaide izango dira, dagozkion Segurtasun Batzordeei berri emateko eta koordinatzeko kanalak ezarriko dira eta jarduteko prozedurak ezarriko dira segurtasun gorabeheren aurrean erreakzionatzeko.

NUPek hirugarrenen zerbitzuak erabili edo hirugarrenei informazioa lagatzen dienean, Segurtasuna Politika honen eta zerbitzu edo informazio horiei dagokien Segurtasun Araudiaren partaide egingo ditu. Hirugarren alde horrek araudian ezarritako betebeharrak izango ditu, eta bere prozedura operatiboak garatzeko aukera izango du araudiak ezarritakoa betetzeko. Gorabeheren berri emateko eta konpontzeko prozedura espezifikoak ezarriko dira. Hirugarrenenen langileak segurtasun arloan egoki kontzientziatuta daudela bermatuko da, Politika honek ezarritakoaren maila berean gutxienez.

Hirugarren alde batek ezin badu Politikaren alderdiren bat bete aurreko paragrafoetan ezarritako moduan, Segurtasuneko arduradunak txosten bat egingo du, dauden arriskuak eta horiek tratatzeko modua zehaztuko dituena. Informazioaren arduradunek eta ukitutako zerbitzuek txostena onetsi beharko dute aurrera jarraitu baino lehen.

Kontratu publikoen unitate kudeatzaileen, hitzarmenak proposatzen dituzten unitateen edo informazioaren segurtasunari eragiten dioten beste edozein elkarlan sustatzen duten unitateen arduradunena da hirugarren aldeei segurtasun politikaren berri emateko betebeharra.

9.–Onespena eta indarrean sartzea.

Gobernu Kontseiluak 2019ko urtarrilaren 31ko bileran onetsitako testua.

Informazioaren Segurtasunerako Politikak Nafarroako Aldizkari Ofizialean argitaratzen denetik Politika berri batek ordezten duen arte izanen du indarra.

10.–Aipamenak generoaren arabera.

Dokumentu honetako aipamenak generoa bereizi gabe egin direla ulertuko da.

Iragarkiaren kodea: F1911893