Fent ús de les competències que li atribueix l’article 24.1 dels Estatuts d’aquesta universitat, el Consell de Govern, a la sessió del dia d’avui i a proposta del Consell de Direcció, ha aprovat la política de seguretat de la informació de les TIC de la Universitat de les Illes Balears, el text de la qual s’adjunta com a annex.

Disposició addicional

Única. Denominacions

Totes les denominacions d’òrgans de govern, representació, càrrecs, funcions i membres de la comunitat universitària, com qualssevol que en aquesta normativa apareguin en gènere masculí o femení, s’han d’entendre referides indistintament al gènere masculí o femení, segons el sexe del titular de qui es tracti.

Disposició derogatòria

Única. Derogació normativa

Queda derogat l’Acord normatiu 12098/2016, de 20 de desembre, pel qual s’aprova la política de seguretat de la informació, així com qualsevol altra disposició d’igual o inferior rang que s’oposi al que estableix la present disposició.

Disposició final

Única. Entrada en vigor

La present normativa entrarà en vigor l’endemà de publicar-se al Full Oficial de la Universitat de les Illes Balears.

Ho faig publicar perquè se’n prengui coneixement i tingui els efectes que corresponguin.

Palma, en la data de la signatura electrònica
El Rector,
Jaume Carot

Annex

Política de seguretat de la informació de les TIC de la Universitat de les Illes Balears

Taula de continguts

Títol I. Principis generals

• Article 1. Missió de la Universitat de les Illes Balears
• Article 2. Principis bàsics
• Article 3. Objectius de la seguretat de la informació
• Article 4. Abast
• Article 5. Obligacions del personal
  
• Article 6. Terceres parts

Títol II. Actuacions de seguretat

• Article 7. Prevenció
• Article 8. Detecció
• Article 9. Resposta
• Article 10. Recuperació
• Article 11. Gestió de riscs
• Article 12. Notificació d'incidents
• Article 13. Millora contínua

Títol III. Organització i funcions dels responsables de seguretat

• Article 14. Organització de la seguretat de la informació de les TIC
• Article 15. Rols: funcions i responsabilitats
  1. Responsable/s de la informació
  2. Responsable/s de serveis
  3. Responsable de la seguretat (RSEG)
  4. Responsable del sistema (RSIS)
• Article 16. Funcions i responsabilitats del Comitè de Seguretat TIC (COMSEGTIC)
• Article 17. Periodicitat de les reunions i adopció d'acords del Comitè de Seguretat TIC (COMSEGTIC)
• Article 18. Procediments de designació del Comitè de Seguretat TIC (COMSEGTIC)
• Article 19. Composició del Comitè de Seguretat TIC (COMSEGTIC)
• Article 20. Delegat de protecció de dades (DPO)
• Article 21. Equip de Resposta a Incidents de Seguretat (CERT-UIB)
• Article 22. Funcions de l’Equip de Resposta a Incidents de Seguretat (CERT-UIB)
• Article 23. Periodicitat de les reunions i adopció d'acords del CERT-UIB
• Article 24. Dades personals

Títol IV. Habilitació normativa

• Article 25. Desenvolupament de la política de seguretat de la informació de les TIC

La UIB depèn dels sistemes d’informació per assolir els seus objectius com a institució de servei públic. Aquests sistemes han de ser dissenyats, explotats i mantinguts integralment per garantir que la informació que tracten s'empri per complir els requeriments de l'organització. La informació que contenen ha de ser manipulada, començant pels usuaris i acabant pel maquinari, de tal manera que únicament pugui ser emprada per a la finalitat del sistema i així generar confiança en el ciutadà.

El tractament de la informació s’ha de basar en els principis de confidencialitat, integritat, disponibilitat, traçabilitat i autenticitat. Per aconseguir-ho és necessari que els sistemes d’informació segueixin les pautes adequades i apliquin les mesures de seguretat exigides per l'ENS que incideixen en l’organització, les operacions i la protecció, així com les indicades a la Llei orgànica de protecció de dades personals i garantia de drets digitals (LOPDGDD) pel que fa al tractament i l'ús d’aquesta informació.

D'aquesta manera, tot el personal de la Universitat ha de tenir present que la seguretat de la informació és part integral de cada component de l’organització i del cicle de vida del sistema, des de la seva concepció fins al final del servei, passant per les decisions de desenvolupament o adquisició i les activitats d’ús, tractament i explotació. Els requisits de seguretat s’han de preveure en les necessitats de finançament i han de ser identificats i inclosos en la planificació, en la sol·licitud d'ofertes i en els plecs de licitació.

Per tant, en l’àmbit de la seguretat de la informació, la Universitat de les Illes Balears ha de garantir la qualitat de la informació, la confidencialitat i la prestació continuada dels serveis i actuar preventivament, supervisar l'activitat diària per detectar qualsevol incident de seguretat i reaccionar-hi amb prestesa per recuperar els serveis al més aviat possible, segons el que estableix l'article 8 de l'ENS, amb l'aplicació de les mesures que es detallen a continuació.

Títol I. Principis generals

Article 1. Missió de la Universitat de les Illes Balears

La UIB és una institució dedicada al servei públic de l’educació superior, la recerca, la transferència del coneixement i la innovació.

Article 2. Principis bàsics

Els principis bàsics són directrius fonamentals de seguretat que s'han de tenir sempre presents en qualsevol activitat relacionada amb l'ús dels actius d'informació. S'estableixen els següents:

1. Abast estratègic: la seguretat de la informació ha de comptar amb el compromís i suport de tots els nivells directius de la Universitat, de manera que pugui estar coordinada i integrada amb la resta d’iniciatives estratègiques de l'organització per conformar un tot coherent i eficaç.
2. Responsabilitat determinada: en els sistemes TIC es definirà el responsable de la informació, que determina els requisits de seguretat de la informació tractada; el responsable del servei, que determina els requisits de seguretat dels serveis prestats; el responsable del sistema, que té la responsabilitat sobre la prestació dels serveis, i el responsable de la seguretat, que determina les decisions per satisfer els requisits de seguretat.
3. Seguretat integral: la seguretat s'entendrà com un procés integral constituït per tots els elements tècnics, humans, materials i organitzatius relacionats amb els sistemes TIC, i es procurarà evitar qualsevol actuació puntual o tractament conjuntural. La seguretat de la informació s'ha de considerar com a part de l'operativa habitual i es pot fer present i aplicar des del disseny inicial dels sistemes TIC.
4. Gestió de riscs: l'anàlisi i la gestió de riscs és part essencial del procés de seguretat. La gestió de riscs permet de mantenir un entorn controlat i minimitzar els riscs fins a nivells acceptables. Aquests nivells de risc es redueixen mitjançant el desplegament de mesures de seguretat que estableixen un equilibri entre la naturalesa de les dades i els tractaments, l'impacte i la probabilitat dels riscs als quals estiguin exposades i l'eficàcia i el cost de les mesures de seguretat. En avaluar el risc en relació amb la seguretat de les dades, s'han de tenir en compte els riscs derivats del tractament de les dades personals.
5. Proporcionalitat: l'establiment de mesures de protecció, detecció i recuperació ha de ser proporcional als riscs potencials i a la criticitat i valor de la informació i dels serveis afectats.
6. Millora contínua: les mesures de seguretat es reavaluaran i s'actualitzaran periòdicament per adequar-ne l'eficàcia a la constant evolució dels riscs i sistemes de protecció. La seguretat de la informació serà atesa, revisada i auditada per personal qualificat, instruït i dedicat.
7. Seguretat per defecte: els sistemes s'han de dissenyar i configurar de manera que garanteixin un grau suficient de seguretat per defecte.

Article 3. Objectius de la seguretat de la informació

La Universitat de les Illes Balears estableix com a objectius de la seguretat de la informació els següents:

1. Garantir la qualitat i protecció de la informació.
2. Aconseguir la plena conscienciació dels usuaris respecte a la seguretat de la informació.
3. Gestionar els actius d’informació de la Universitat, que estaran inventariats i categoritzats i associats a un responsable.
4. Seguretat lligada a les persones: s'implantaran els mecanismes necessaris perquè qualsevol persona que accedeixi, o pugui accedir, als actius d’informació conegui les seves responsabilitats i d'aquesta manera es redueixi el risc derivat d'un ús indegut dels actius i s'aconsegueixi la plena conscienciació dels usuaris respecte a la seguretat de la informació.
5. Seguretat física: els actius d'informació seran emplaçats en àrees segures, protegides per controls d'accés físic adequats al nivell de criticitat. Els sistemes i els actius d'informació que contenen aquestes àrees estaran suficientment protegits d'amenaces físiques o ambientals.
6. Seguretat en la gestió de comunicacions i operacions: s'establiran els procediments necessaris per aconseguir una adequada gestió de la seguretat, operació i actualització de les TIC. La informació que es transmeti a través de xarxes de comunicacions ha de ser protegida adequadament, tenint en compte el seu nivell de sensibilitat i de criticitat, mitjançant mecanismes que en garanteixin la seguretat.
7. Control d'accés: es limitarà l'accés als actius d'informació a usuaris, processos i altres sistemes d'informació mitjançant la implantació dels mecanismes d’identificació, autenticació i autorització d'acord amb la criticitat de cada actiu. A més, quedarà registrada la utilització del sistema, per tal d'assegurar la traçabilitat de l'accés i auditar-ne l'ús adequat, conforme a l'activitat de l’organització.
8. Adquisició, desenvolupament i manteniment dels sistemes d'informació: s'inclouran els aspectes de seguretat de la informació en totes les fases del cicle de vida dels sistemes d'informació i se'n garantirà la seguretat per defecte.
9. Gestió dels incidents de seguretat: s'implantaran els mecanismes apropiats per a la correcta identificació, registre i resolució dels incidents de seguretat.
10. Garantir la prestació continuada dels serveis: s'implantaran els mecanismes apropiats per assegurar la disponibilitat dels sistemes d'informació i mantenir la continuïtat dels seus processos de negoci, d'acord amb les necessitats de nivell de servei dels usuaris.
11. Protecció de dades: s'adoptaran les mesures tècniques i organitzatives que correspongui implantar per atendre els riscs generats pel tractament per complir la legislació de seguretat i privacitat.
12. Compliment: s'adoptaran les mesures tècniques, organitzatives i procedimentals necessàries per complir la normativa legal vigent en matèria de seguretat de la informació.

Article 4. Abast

1. La política de seguretat s’aplica a tota la comunitat universitària i als seus actius d’informació, i específicament a tots aquells sistemes que estiguin relacionats amb l’exercici de drets i el compliment de deures per mitjans electrònics o amb l’accés a la informació o al procediment administratiu.

2. De manera concreta, la política de seguretat és aplicable a:

1. Rectorat, Gerència, centres, departaments, instituts i serveis del campus, tant als directius com als funcionaris i personal laboral, i també a entitats i professionals contractats sota altres modalitats quan als seus contractes així s’especifiqui.
2. Bases de dades, fitxers electrònics, tractaments, equips, suports, programes i sistemes.
3. Informació generada, processada i emmagatzemada, independentment del suport i format, utilitzada en tasques operatives o administratives.
4. Informació cedida en un marc legal establert, que serà considerada com a pròpia a efectes exclusius de protegir-la.
5. Tots els sistemes utilitzats per administrar i gestionar la informació, siguin propis de la UIB o llogats o llicències.

Article 5. Obligacions del personal

1. Tots els membres de la UIB tenen l’obligació de conèixer i complir aquesta política de seguretat de la informació de les TIC, i és responsabilitat del Comitè de Seguretat de disposar dels mitjans necessaris perquè la informació arribi als afectats.
2. El personal amb responsabilitat en l’ús, operació o administració de sistemes TIC rebrà formació per al maneig segur dels sistemes en la mesura que la necessiti per a la feina. Amb aquesta finalitat es promourà la conscienciació en matèria de seguretat mitjançant programes de formació entre tots els membres de la UIB i es posarà especial atenció en els de nova incorporació, tant si és la primera assignació com si es tracta d’un canvi de lloc de treball o de responsabilitats.
3. L’incompliment de la present política pot comportar l’inici de les mesures disciplinàries que escaiguin, sens perjudici de les responsabilitats legals corresponents.

Article 6. Terceres parts

1. Quan la UIB presti serveis a altres organismes o empri informació d’altres organismes, hom els farà partícips d’aquesta política de seguretat de la informació de les TIC. Per això, s’establiran canals per a informe i coordinació dels respectius comitès de seguretat de l’ENS i s’establiran procediments d’actuació per a la reacció davant incidents de seguretat.
2. Quan la UIB empri serveis de tercers o cedeixi informació a tercers, hom els farà partícips d’aquesta política de seguretat i de la normativa de seguretat que els pertoqui. Aquesta tercera part quedarà subjecta a les obligacions establertes en aquesta normativa i podrà desenvolupar els seus propis procediments operatius per satisfer-la. S’establiran procediments específics per informar de les incidències i resoldre-les. Es garantirà que el personal de tercers està adequadament conscienciat en matèria de seguretat, almenys al mateix nivell que el que s’estableix en aquesta política.
3. Quan algun aspecte de la política de seguretat no pugui ser satisfet per una tercera part segons els requisits dels apartats anteriors, es requerirà un informe del responsable de la seguretat que indiqui els riscs en què s’incorre i la manera de tractar-los. Es requerirà que els responsables de la informació i els serveis afectats aprovin aquest informe abans de seguir endavant.

Títol II. Actuacions de seguretat

Article 7. Prevenció

1. La UIB ha d’evitar, o almenys prevenir en la mesura que sigui possible, que la informació o els serveis es vegin perjudicats per incidents de seguretat. Per això implementarà les mesures mínimes de seguretat determinades per l’ENS i la LOPDGDD, així com qualsevol control addicional identificat mitjançant una avaluació d’amenaces i riscs.
2. Els controls indicats a l’apartat anterior i els rols i responsabilitats de seguretat de tot el personal han de quedar clarament definits i documentats.
3. Per garantir el compliment de la política de seguretat, la UIB ha de prendre les mesures de prevenció següents:
   
   1. Autoritzar els sistemes abans d’entrar en operació per garantir que compleixen els requeriments de seguretat.
   2. Avaluar regularment la seguretat dels sistemes, incloses avaluacions dels canvis de configuració realitzats de forma rutinària.
   3. Sol·licitar la revisió periòdica dels sistemes per part de tercers amb la finalitat d’obtenir-ne una avaluació independent.

Article 8. Detecció

1. Atès que els sistemes es poden degradar ràpidament a causa d’incidents, que van des d’una simple desacceleració fins a la detenció, els serveis han de monitorar l’operació de manera contínua per detectar anomalies en els nivells de prestació corresponents i actuar en conseqüència, segons el que estableix l’article 10 de l’ENS (vigilància contínua i reavaluació periòdica). El monitoratge és especialment rellevant quan s’estableixen línies de defensa d’acord amb l’article 9 de l’ENS.
2. S’establiran mecanismes de detecció, anàlisi i informe, que arribaran als responsables regularment quan es produeixi una desviació significativa dels paràmetres que s’hagin preestablert com a normals.

Article 9. Resposta

La UIB ha de dur a terme una sèrie d’accions de resposta. Són les següents:

1. Establir mecanismes per respondre eficaçment als incidents de seguretat.
2. Designar un punt de contacte per a les comunicacions respecte a incidents detectats en altres àrees de l’organització (departaments, unitats, serveis) o en altres organismes.
3. Establir protocols per a l’intercanvi d’informació relacionada amb l’incident. Això inclou comunicacions, en ambdós sentits, amb els equips de resposta a emergències (CERT) reconeguts en l’àmbit nacional: IRIS-CERT, CCN-CERT, etc.

Article 10. Recuperació

Per garantir la disponibilitat dels serveis crítics, la UIB ha de desenvolupar plans de contingència dels sistemes TIC com a part del seu pla general de continuïtat del servei i activitats de recuperació.

Article 11. Gestió de riscs

1. Tots els sistemes afectats per la present política de seguretat de les TIC estan subjectes a una anàlisi de riscs amb l'objectiu d'avaluar les amenaces i els riscs als quals estan exposats. Aquesta anàlisi es repetirà:
   
   1. Almenys una vegada a l'any.
   2. Quan canviïn la informació o els serveis manejats de manera significativa.
   3. Quan s'esdevingui un incident greu de seguretat o es detectin vulnerabilitats greus.
2. El responsable de la seguretat serà l'encarregat que es faci l'anàlisi de riscs, així com d'identificar mancances i debilitats i comunicar-les al Comitè de Seguretat TIC.
3. El Comitè de Seguretat TIC dinamitzarà la disponibilitat de recursos per atendre les necessitats de seguretat dels diferents sistemes i promourà inversions de caràcter horitzontal.
4. El procés de gestió de riscs comprèn les fases següents:
   
   1. Categorització dels sistemes.
   2. Anàlisi de riscs.
   3. El Comitè de Seguretat TIC seleccionarà mesures de seguretat a aplicar, que han de ser proporcionals als riscs i estar justificades.
5. Les fases d'aquest procés es realitzaran segons el que disposen els annexos I i II del Reial decret 311/2022, de 3 de maig, i seguint les normes, instruccions, guies CCN-STIC i recomanacions elaborades pel Centre Criptològic Nacional.

En particular, per dur a terme l'anàlisi de riscs, com a norma general s'utilitzarà una metodologia reconeguda d'anàlisi i gestió de riscs.

Article 12. Notificació d'incidents

De conformitat amb el que disposa l'article 33 de l’RD 311/2022, de 3 de maig, la Universitat de les Illes Balears notificarà al Centre Criptològic Nacional els incidents que tinguin un impacte significatiu en la seguretat de la informació manejada i dels serveis prestats en relació amb la categorització de sistemes recollida a l'annex I del dit cos legal.

Article 13. Millora contínua

La gestió de la seguretat de la informació és un procés subjecte a actualització permanent. Els canvis en l'organització, les amenaces, les tecnologies i/o la legislació són un exemple en què és necessària una millora contínua dels sistemes.

Per això, cal implantar un procés permanent, que comportarà, entre altres accions:

1. Revisió de la política de seguretat de la informació de les TIC.
2. Revisió dels serveis i informació i la seva categorització.
3. Execució amb periodicitat anual de l’anàlisi de riscs.
4. Auditories internes o, quan escaigui, externes.
5. Revisió de les mesures de seguretat.
6. Revisió i actualització de les normes i procediments.

Títol III. Organització i funcions dels responsables de seguretat

Article 14. Organització de la seguretat de la informació de les TIC

La Universitat de les Illes Balears, tenint en compte el que estableix el Reial decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat (ENS), i les pautes establertes a la guia CCN-STIC-801, «Responsabilitats i funcions a l'ENS», per organitzar la seguretat de la informació emprendrà les accions següents:

1. Designarà els responsables dels rols de seguretat següents: responsables de la informació, responsables de serveis, responsable de la seguretat, responsable del sistema i delegat de protecció de dades.
2. Constituirà un òrgan consultiu i estratègic per a la presa de decisions en matèria de seguretat de la informació. Aquest òrgan es constituirà com un òrgan col·legiat i es denominarà Comitè de Seguretat TIC. Serà presidit per una persona física, que serà la que assumirà la responsabilitat formal dels seus actes.

Article 15. Rols: funcions i responsabilitats

1. Responsable/s de la informació

El responsable de la informació és la persona que té la potestat d’establir els requisits de la informació en matèria de seguretat.

Són funcions del responsable de la informació:

1. Establir i elevar, per aprovar-los, al Comitè de Seguretat TIC els requisits de seguretat aplicables a la informació (nivells de seguretat de la informació), en el marc establert per l'annex I de l'RD ENS. Pot demanar una proposta al responsable de la seguretat i ha de tenir en compte l'opinió del responsable del sistema.
2. Dictaminar respecte als drets d'accés a la informació.
3. Acceptar els nivells de risc residual que afecten la informació.
4. Comunicar al responsable de la seguretat qualsevol variació respecte a la informació de la qual és responsable, especialment la incorporació de nova informació al seu càrrec, el qual comunicarà aquests canvis al Comitè de Seguretat TIC en la propera reunió.

2. Responsable/s de serveis

El responsable de serveis és la persona que té la potestat d’establir els requisits dels serveis en matèria de seguretat.

Són funcions del responsable de serveis:

1. Establir i elevar, per aprovar-los, al Comitè de Seguretat TIC els requisits de seguretat aplicables als serveis (nivells de seguretat dels serveis), en el marc establert per l'annex I de l'RD ENS. Pot demanar una proposta al responsable de la seguretat i ha de tenir en compte l'opinió del responsable del sistema.
2. Dictaminar respecte als drets d'accés als serveis.
3. Acceptar els nivells de risc residual que afecten els serveis.
4. Comunicar al responsable de la seguretat qualsevol variació respecte als serveis dels quals és responsable, especialment la incorporació de nous serveis al seu càrrec, el qual comunicarà aquests canvis al Comitè de Seguretat TIC en la propera reunió.

3. Responsable de la seguretat (RSEG)

El responsable de la seguretat és la persona que determinarà les decisions per satisfer els requisits de seguretat de la informació i dels serveis.

Són funcions del responsable de la seguretat:

1. Promoure la formació i conscienciació en matèria de seguretat de la informació.
2. Designar responsables de l'execució de l'anàlisi de riscs, de la declaració d'aplicabilitat, identificar mesures de seguretat, determinar configuracions necessàries, elaborar la documentació del sistema.
3. Proporcionar assessorament per determinar la categoria del sistema, en col·laboració amb el responsable del sistema i/o el Comitè de Seguretat TIC.
4. Participar en l'elaboració i la implantació dels plans de millora de la seguretat i, si arriba el cas, en els plans de continuïtat, i validar-los.
5. Aprovar els procediments de seguretat que formen part del mapa normatiu i les instruccions tècniques de seguretat i comunicar al Comitè les modificacions que s'hagin fet al llarg del període en curs.
6. Mantenir i verificar el nivell adequat de seguretat de la informació manejada i dels serveis electrònics prestats pels sistemes d’informació.
7. Gestionar les revisions externes o internes del sistema. Gestionar els processos de certificació.
8. Elevar al Comitè de Seguretat TIC l’aprovació de canvis i altres requisits del sistema.

El responsable de la seguretat pot delegar les funcions identificades a les lletres f), g) i h) en el responsable del sistema si ho considera convenient.

4. Responsable del sistema (RSIS)

El responsable del sistema és la persona que s’encarrega de l’explotació del sistema d’informació.

Són funcions del responsable del sistema:

1. Desenvolupar, operar i mantenir el sistema d’informació durant tot el seu cicle de vida elaborant els procediments operatius necessaris.
2. Definir la topologia i la gestió del sistema d’informació i establir els criteris d'ús i els serveis que hi estan disponibles.
3. Aturar l'accés a informació o prestació de servei si sap que aquests presenten deficiències greus de seguretat.
4. Cerciorar-se que les mesures específiques de seguretat s'integrin adequadament en el marc general de seguretat.
5. Proporcionar assessorament per a la determinació de la categoria del sistema, en col·laboració amb el responsable de la seguretat i/o el Comitè de Seguretat TIC.
6. Participar en l'elaboració i la implantació dels plans de millora de la seguretat i, si arriba el cas, en els plans de continuïtat.
7. Elaborar els procediments de seguretat i les instruccions tècniques de seguretat necessàries per a la correcta operativa dels sistemes.
8. Dur a terme, si escau, les funcions d’administrador de la seguretat del sistema:
   
   1. La gestió, configuració i actualització, si escau, del maquinari i programari en els quals es basen els mecanismes i serveis de seguretat.
   2. La gestió de les autoritzacions concedides als usuaris del sistema, en particular els privilegis concedits, incloent-hi el monitoratge de l’activitat desenvolupada en el sistema i la seva correspondència amb l’autoritzada.
   3. Aprovar els canvis en la configuració vigent del sistema d’informació.
   4. Assegurar que els controls de seguretat establerts són complits estrictament.
   5. Assegurar que s’apliquen els procediments aprovats per manejar el sistema d’informació.
   6. Supervisar les instal·lacions de maquinari i programari i les seves modificacions i millores per assegurar que la seguretat no està compromesa i que en tot moment s’ajusten a les autoritzacions pertinents.
   7. Monitorar l’estat de seguretat proporcionat per les eines de gestió d’esdeveniments de seguretat i mecanismes d’auditoria tècnica.
   8. Informar el responsable de la seguretat de qualsevol anomalia, compromís o vulnerabilitat relacionats amb la seguretat.
   9. Col·laborar en la investigació i resolució d’incidents de seguretat, des de la detecció fins a la resolució.

Quan la complexitat del sistema ho justifiqui, el responsable del sistema pot designar els responsables de sistema delegats que consideri necessaris, que tindran dependència funcional directa d’aquell i seran responsables en el seu àmbit de totes aquelles accions que els delegui. De la mateixa manera, també pot delegar en un altre / en altres funcions concretes de les responsabilitats que té atribuïdes.

Article 16. Funcions i responsabilitats del Comitè de Seguretat TIC (COMSEGTIC)

Seran funcions i responsabilitats del Comitè de Seguretat TIC:

1. Estar permanentment informat de la normativa que regula la certificació de conformitat amb l'ENS, incloent-hi les normes d'acreditació, certificació, guies, manuals, procediments i instruccions tècniques.
2. Estar permanentment informat de la relació d'entitats de certificació acreditades i organitzacions, públiques i privades, certificades.
3. Estar permanentment informat de la relació d'esquemes de certificació de la seguretat amb els quals l'Administració pública té establerts arranjaments o acords de reconeixement mutu de certificats.
4. Proposar directrius i recomanacions, que seran recollides en les corresponents actes de les reunions del Comitè, a les quals el president ha de donar complerta resposta.
5. Coordinar els esforços de les diferents àrees en matèria de seguretat de la informació, per assegurar que aquests siguin consistents i alineats amb l'estratègia decidida en la matèria i evitar duplicitats.
6. Atendre les inquietuds en matèria de seguretat de la informació de l'Administració i de les diferents àrees i informar regularment la direcció de l'estat de la seguretat de la informació.
7. Resoldre els conflictes de responsabilitat que puguin aparèixer entre els diferents responsables o entre diferents departaments i elevar els casos en què no tingui prou autoritat per decidir.
8. Assessorar en matèria de seguretat de la informació sempre que li ho requereixin.
9. Revisar la política de seguretat de les TIC, prèvia aprovació de l'òrgan superior.
10. Aprovar la normativa requerida per a la implantació de l'ENS.

Article 17. Periodicitat de les reunions i adopció d'acords del Comitè de Seguretat TIC (COMSEGTIC)

1. Durant el desenvolupament del projecte d'adequació a l'ENS, per avaluar-ne el desenvolupament i possibilitar-ne el seguiment adequat, el Comitè de Seguretat TIC es reunirà, almenys, una vegada al trimestre.
2. Una vegada assolida la certificació de conformitat amb l'ENS dels serveis prestats per la Universitat, el Comitè de Seguretat TIC es reunirà, almenys, dues vegades a l'any amb caràcter semestral, sense perjudici que, en atenció a les necessitats derivades del compliment dels seus fins i atribucions, requereixi una freqüència més elevada de reunions.
3. En qualsevol cas, les reunions les convocarà el president, a través del secretari, per iniciativa pròpia o per la de la majoria dels membres permanents.
4. Les decisions s'adoptaran per consens dels membres permanents.

Article 18. Procediments de designació dels membres del Comitè de Seguretat TIC (COMSEGTIC)

1. Els responsables de la informació, de serveis i de la seguretat i els integrants del Comitè de Seguretat TIC (COMSEGTIC) seran nomenats pel Rector de la Universitat de les Illes Balears.
2. El nomenament es revisarà cada quatre anys o quan el lloc quedi vacant.

Article 19. Composició del Comitè de Seguretat TIC (COMSEGTIC)

1. El Comitè de Seguretat TIC és format per:
   1. El president: el Rector o persona en qui delegui.
   2. Els vocals permanents:
      • Secretària del COMSEGTIC: la Secretària General o persona en qui delegui, que aixecarà actes de les reunions del Comitè de Seguretat TIC.
      • Responsable de la informació, que determina els requisits de la informació tractada. En aquest cas concret, la Secretària General.
      • Responsable de serveis, que determina els requisits dels serveis prestats. En aquest cas concret, la Gerenta o persona en qui delegui.
      • Responsable de la seguretat de la informació (RSEG), que determina les decisions per satisfer els requisits de seguretat. En aquest cas concret, la vicerectora amb competències sobre les infraestructures i els serveis TIC.
      • Responsable del sistema (RSIS), que s'encarrega de l'explotació del sistema d'informació. En aquest cas concret, el director del Servei d'Infraestructures TIC.
      • La delegada de protecció de dades.
   3. Vocals no permanents: el Comitè de Seguretat TIC pot invocar la presència a les reunions tant d'altres representants de la Universitat com d'especialistes externs, dels sectors públic, privat o acadèmic, la presència dels quals, per raó de la seva experiència o vinculació amb els assumptes tractats, sigui necessària o aconsellable.
2. A les sessions del Comitè de Seguretat TIC hi poden assistir en qualitat d’assessors les persones que en cada cas estimi pertinents el president.

Article 20. Delegat de protecció de dades (DPO)

Són funcions del delegat de protecció de dades:

1. Informar i assessorar la Universitat de les Illes Balears, i els usuaris que s’ocupin del tractament, de les obligacions que els incumbeixen en virtut de la normativa vigent en matèria de protecció de dades.
2. Supervisar el compliment del que disposa la normativa de seguretat i de les polítiques internes de la Universitat de les Illes Balears en matèria de protecció de dades, inclosa l’assignació de responsabilitats, la conscienciació i formació del personal que participa en les operacions de tractament, i les auditories corresponents.
3. Oferir l’assessorament que li demanin sobre l’avaluació d’impacte relativa a la protecció de dades i supervisar-ne l'aplicació.
4. Cooperar amb l’Agència Espanyola de Protecció de Dades quan aquesta ho requereixi, i actuar com a punt de contacte amb aquesta per a qüestions relatives al tractament de dades.
5. El delegat de protecció de dades exercirà les seves funcions prestant atenció als riscs associats a les operacions de tractament. Per a això ha de ser capaç de:
   
   1. Aconseguir informació per determinar les activitats de tractament.
   2. Analitzar les activitats de tractament i comprovar que són conformes.
   3. Informar, assessorar i emetre recomanacions al responsable o l’encarregat del tractament.
   4. Aconseguir informació per supervisar el registre de les operacions de tractament.
   5. Assessorar en el principi de la protecció de dades des del disseny i per defecte.
   6. Assessorar sobre si es duen a terme o no les avaluacions d’impacte, metodologia, salvaguardes a aplicar, etc.
   7. Prioritzar activitats segons els riscs.
   8. Assessorar el responsable del tractament sobre àrees que s'han de sotmetre a auditories, activitats de formació a realitzar i operacions de tractament a les quals cal dedicar més temps i recursos.

Article 21. Equip de Resposta a Incidents de Seguretat (CERT-UIB)

1. El Servei d’Infraestructures TIC (SITIC) disposa d’un Equip de Resposta a Incidents de Seguretat, a partir d’ara anomenat CERT-UIB, que duen a terme un seguiment de la gestió dels incidents de seguretat i recomanen possibles actuacions respecte d'aquests incidents.
2. El CERT-UIB presta serveis de ciberseguretat i desenvolupa la capacitat de vigilància i detecció d’amenaces en l’operació diària dels sistemes TIC, alhora que millora la capacitat de resposta del sistema davant de qualsevol atac.
3. Les competències d’aquest grup estan relacionades amb les àrees de treball següents: adequació a l’ENS, normativa i gestió de riscs, anàlisi i millora contínua, seguretat en les interconnexions i connectivitat i altres funcions connexes o concordants.

Article 22. Funcions de l’Equip de Resposta a Incidents de Seguretat (CERT-UIB)

Les funcions d’aquest grup són, entre d’altres que els puguin ser encomanades pel Comitè de Seguretat TIC:

1. Gestió i operativa de la seguretat del projecte d’adequació, implantació i gestió de la conformitat en l'ENS, anàlisi i gestió de riscs, explotació, normativa i manteniment.
2. Redacció i presentació de propostes al Comitè de Seguretat TIC. Elaborarà els aspectes relacionats amb la ciberseguretat i els debatrà en primera instància, per ser traslladats al Comitè.
3. Promoure la millora contínua del sistema de gestió de la seguretat de la informació. Per a això s'encarregarà de:
   
   1. Elaborar (i revisar regularment) la política de seguretat de les TIC per traslladar-la al Comitè de Seguretat TIC perquè l'òrgan superior la revisi i posteriorment l’aprovi.
   2. Elaborar la normativa de seguretat de la informació perquè el responsable de la seguretat l'aprovi, amb coneixement del Comitè.
   3. Verificar els procediments de seguretat de la informació i la resta de documentació perquè siguin aprovats.
   4. Elaborar programes de formació destinats a formar i sensibilitzar el personal en matèria de seguretat de la informació i protecció de dades.
   5. Elaborar i proposar les millores en formació i qualificació d'administradors, operadors i usuaris des del punt de vista de seguretat de la informació.
   6. Proposar plans de millora de la seguretat de la informació, amb la dotació pressupostària corresponent, prioritzant les actuacions en matèria de seguretat quan els recursos siguin limitats.
   7.  Fer un seguiment dels principals riscs residuals assumits i recomanar possibles actuacions respecte d’aquests riscs.
   8. Promoure la realització d’auditories periòdiques ENS i RGPD que permetin verificar el compliment de les obligacions de la Universitat en matèria de seguretat de la informació i protecció de dades.

Altres funcions del CERT-UIB són:

1. Vigilar i monitoritzar la seguretat dels sistemes i dels dispositius de defensa, ja sigui mitjançant interfícies previstes o instal·lant les sondes corresponents.
2. Anàlisi i correlació d'esdeveniments de seguretat i registres d'activitat dels sistemes.
3. Operacions de seguretat sobre els dispositius de defensa.
4. Servei d'alerta primerenca (SAP) d'alertes de seguretat a les xarxes corporatives i a les connexions a Internet dels sistemes.
5. Gestió de vulnerabilitats (anàlisi i determinació de les accions d'esmena/apedaçament) d'aplicacions i serveis.
6. Anàlisi forense digital i de seguretat.
7. Servei de cibervigilància que possibiliti la prospectiva sobre ciberamenaces.

Article 23. Periodicitat de les reunions i adopció d'acords del CERT-UIB

1. El director del Servei d’Infraestructures TIC (SITIC) convocarà les reunions de treball dels membres del CERT-UIB i recollirà els acords assolits, dels quals donarà compte al Comitè de Seguretat TIC, per a la seva aprovació, si escau. Aquest equip es reunirà, almenys, una vegada al mes i sempre abans de les reunions del Comitè de Seguretat TIC.
2. Les propostes plantejades pel CERT-UIB poden ser sotmeses a anàlisi, debat i aprovació, si escau, per part del Comitè de Seguretat TIC.

Article 24. Dades personals

1. La Universitat de les Illes Balears només recollirà i tractarà dades personals quan siguin adients, pertinents i no excessives i es trobin en relació amb l'àmbit i les finalitats per a les quals s'hagin obtingut. De la mateixa manera, adoptarà les mesures d’índole tècnica i organitzatives necessàries per al compliment de la normativa de protecció de dades.
2. La Universitat de les Illes Balears publicarà a la seu electrònica la seva política de privacitat.
3. Així mateix, la UIB és la responsable del tractament de les dades i com a tal garantirà els drets d'accés, rectificació, oposició, supressió, portabilitat, limitació del tractament i de no ser objecte de decisions individuals automatitzades pel que fa a les dades facilitades i tractades. Per exercir els drets indicats s'habiliten les adreces següents: Universitat de les Illes Balears, Secretaria General, a l'atenció de la delegada de protecció de dades, cra. de Valldemossa, km 7.5, 07122 Palma (Illes Balears), o l'adreça electrònica <dpo@uib.es>. També es té el dret a reclamar davant l'autoritat de control a: <https://www.aepd.es>. De la mateixa manera, la UIB es compromet a respectar la confidencialitat de les dades personals i a utilitzar-les d'acord amb la finalitat per a la qual varen ser recollides.

Títol IV. Habilitació normativa

Article 25. Desenvolupament de la política de seguretat de la informació de les TIC

1. La present política de seguretat de la informació de les TIC serà complementada per mitjà de diversa normativa i recomanacions de seguretat (normatives i procediments de seguretat, procediments tècnics de seguretat, informes, registres i evidències electròniques). Correspon al Comitè de Seguretat TIC fer-ne la revisió anual i el manteniment i proposar-hi millores, si cal.
2. El cos normatiu sobre seguretat de la informació es desenvoluparà en tres nivells per àmbit d’aplicació, nivell de detall tècnic i obligatorietat de compliment, de manera que cada norma d'un determinat nivell de desenvolupament es fonamenti en les normes de nivell superior. Aquests nivells de desenvolupament normatiu són els següents:
   
   1. Primer nivell normatiu: constituït per la present política de seguretat de la informació, la normativa general de l’ús dels mitjans electrònics i les directrius generals de seguretat aplicables als organismes o unitats de la Universitat als quals siguin d’aplicació els documents esmentats.
   2. Segon nivell normatiu: constituït per les normes de seguretat derivades de les anteriors.
   3. Tercer nivell normatiu: constituït per procediments, guies i instruccions tècniques. Són documents que compleixen el que s’ha exposat a la política de seguretat de la informació i determinen les accions o tasques a realitzar en l’acompliment d’un procés.
3. Correspon a l'òrgan superior de la Universitat de les Illes Balears, el Consell de Govern, d'aprovar la política de seguretat de la informació de les TIC i la normativa general de l’ús dels mitjans electrònics de la Universitat. El Comitè de Seguretat TIC és l'òrgan responsable d'aprovar els restants reglaments o normatives i de difondre’ls perquè els coneguin les parts afectades.
4. De la mateixa manera, la present política de seguretat de la informació de les TIC complementa la política de privacitat de la Universitat de les Illes Balears en matèria de protecció de dades.
5. La normativa de seguretat i, molt especialment, la política de seguretat de la informació de les TIC i la normativa general d'ús dels mitjans electrònics seran conegudes per tots els membres de la Universitat i estaran a la seva disposició, en particular pel que fa a aquelles persones que utilitzin, operin o administrin els sistemes d'informació i comunicacions.