Segurtasun politika orokorraPribatutasuna

Cerrar explora esta secciónHamburguesa explora esta secciónMENUA

HELBURUA:

Dokumentu honen helburua da Deustuko Unibertsitatearen Informazioaren Segurtasuneko Politika ezartzea, informazio-aktiboak behar bezala babestuko direla eta zerbitzuak etengabe emango direla bermatzeko, segurtasun-gorabeherak prebenitu, hauteman, erreakzionatu eta errekuperatzeko prest egon dadin. Horretarako, arrisku-maila onargarriari eusteko beharrezkoak diren segurtasun-neurriak izan beharko ditu, eta zerbitzuen prestazio-mailen etengabeko jarraipena egingo du, aurkitutako ahultasunak aztertu eta gertakariei erantzun eraginkorra prestatzeko ere.

Deustuko Unibertsitateko informazio zerbitzuek beren eginkizunak bete behar dituzte, eta informazioa beren zehaztapen funtzionalen arabera zaindu behar dute, kontrolatu gabeko etenik edo aldaketarik gabe, eta informazioa ezin zaie baimenik ez duten pertsonei jakinarazi. Horren arabera, Deustuko Unibertsitatearen sareen eta informazio-sistemen gaitasunak nahikoa erresistentea izan behar du, konfiantza-maila onez, biltegiratutako edo transmititutako datuen eta bitarteko elektronikoetan erabilitako zerbitzuen eskuragarritasuna, erabilgarritasuna, benetakotasuna, konfidentzialtasuna, trazabilitatea eta kontserbazioa arriskuan jartzen duten legez kontrako edo asmo txarreko istripuak edo ekintzak saihesteko.

Deustuko Unibertsitateak ziurtatu behar du IKTen segurtasuna informazio-sistemen bizi-zikloaren etapa bakoitzaren zati integrala dela, sortzen denetik zerbitzua kentzen den arte, garapen edo eskuratzeko erabakiak eta ustiapeneko jarduerak ahaztu gabe. Etapa bakoitzaren ondoriozko segurtasun-baldintzak eta finantzaketa-beharrak identifikatu, eta plangintzan, eskaintzen eskaeran eta IKT proiektuetarako lizitazio-pleguetan sartu behar dira.

Informazioaren Segurtasuneko Politika honetan aurreikusitakoa betetzeko eta Unibertsitateak eskatutako segurtasun-maila betetzeko, Informazioaren Segurtasuneko Batzordeak urtero txosten bat egingo du. Txosten horretan, Batzordeak arriskuen kudeaketaren printzipioaren arabera onartu dituen eta hurrengo ekitaldi ekonomikoan beharrezkoak izanik, ezarri behar diren segurtasun-neurriak zehaztuko dira, bai eta Batzordeak diseinatutako segurtasun-estrategia bultzatzeko sartu nahi liratekeen neurriak ere.

APLIKAZIO EREMUA

Informazioaren Segurtasuneko Politika honen eta hura garatzeko araudiaren arabera, segurtasun neurri batzuk zehaztuko dira eta, arau horietan ezarritakoaren arabera, Deustuko Unibertsitateko zerbitzu, sistema eta gainerako IKT baliabide guztiei aplikatuko zaizkie, haien prozesuei euskarria ematen dieten eta horietan oinarritutako informazio-aktiboei eragiten dieten neurrian.

Deustuko Unibertsitateko IKT baliabideen helburua da Unibertsitatearen funtzionamendurako beharrezkoak diren irakaskuntzari, ikerketari eta kudeaketa-lanei laguntzea.

Deustuko Unibertsitateko IKT baliabideak dira bere jabetzako sistema zentralak eta sailetakoak, lan-estazioak, lanpostuko ordenagailuak, inprimagailuak eta beste periferiko batzuk eta irteerako gailuak, lokalizazio-sistemak, barneko eta kanpoko sareak, erabiltzaile anitzeko sistemak eta komunikazio zerbitzuak (ahotsaren, irudiaren, datuen edo dokumentuen transmisio telematikoa) eta biltegiratze-sistemak.

Esparru horretan, ez dira Deustuko Unibertsitateko IKT baliabidetzat hartzen pertsonek banaka finantzatutako ordenagailuak edo gailu pertsonalak, unibertsitatearen izenean inbentariatu ez direnak, nahiz eta batzuetan ikerketa-lanetarako erabil daitezkeen.
Beraz, eremu horretatik kanpo geratzen dira elementu horiek, bai eta elementu horien gaineko ekintzak edo segurtasuneko arriskuak ere. Hala ere, ordenagailu edo gailu pertsonal horien bidez sare korporatibora sartzen badira, Informazioaren Segurtasuneko Politika honetan ezarritako betebeharrak eta politika hori garatzen duten arauak eta jarraibideak bete beharko dituzte.

Politika hori aplikatzen zaie, halaber, Deustuko Unibertsitateko IKT baliabideak erabiltzen dituzten pertsona, erakunde, entitate edo unitate eta zerbitzu guztiei, barrukoak zein kanpokoak izan, bai baliabide horiekin zuzenean edo zeharka konektatuta, bai urruneko konexioaren bidez, bai kanpoko ekipoen bidez, Internet bidez ematen diren zerbitzuak berariaz barne jasota. Aurrerantzean, subjektu horiek “erabiltzailetzat” hartuko dira.

SEGURTASUNEKO OINARRIZKO PRINTZIPIOAK

Deustuko Unibertsitatearen Informazioaren Segurtasunerako Politika hau eta hura garatzen duen araudia, babesteko oinarrizko printzipioetan oinarritzen da, eta haren helburua da erakunde batek bere helburuak bete ahal izatea informazio-sistemak erabiliz.

Informazioaren segurtasunaren arloan erabakiak hartzen diren bakoitzean kontuan hartu beharko diren oinarrizko printzipioak hauek dira:

a) Segurtasun integrala.

Segurtasuna prozesu integral gisa ulertu behar da, sistemarekin lotutako giza elementu, elementu tekniko, material eta antolakuntzako elementu guzti-guztiak inplikatzen dituena.

Ondorioz, neurri egokiak hartu beharko dira prozesuan parte hartzen duten pertsona guztiek segurtasuneko politika horren berri izan dezaten eta haren arabera bete ditzaten beren eginkizunak. Segurtasuneko prozesuan inplikatutako guztiek modu koordinatuan jardungo dute segurtasuneko neurriak aplikatzen eta kontrolatzen. Koordinazio hori Deustuko ekimen eta jarduera guztietara hedatuko da.

b) Arriskuen kudeaketa.

Arriskuen analisia eta kudeaketa segurtasuneko prozesuaren funtsezko atal bat da. Arrisku-mailak gutxieneko maila onargarrien barruan mantendu behar dira, segurtasun-neurri egokiak eta etengabe eguneratuak hedatuz, datuen izaeraren eta egindako tratamenduen, arriskuen eta aplikatutako segurtasun-neurrien arteko oreka eta proportzionaltasuna ezartzeko.

c) Sistemen eta datuen hondamendi kasuetarako prebentzioa eta errekuperazioa.

Sistemaren segurtasunak prebentzio, hautemate eta errekuperazio alderdiak hartu behar ditu kontuan, informazio-sistemek edo ematen dituzten zerbitzuek erabiltzen dituzten datuetan mehatxuek eragin larririk izan ez dezaten.

  • Prebentzio-neurriek, besteak beste, disuasioa eta esposizioaren murrizketa jasoko dituzte.
  • Hautemateko neurriekin batera, erreakzioko neurriak hartuko dira, segurtasuneko intzidenteak garaiz eteten direla bermatzeko.
  • Errekuperazioko neurriek informazioa eta zerbitzuak leheneratzea ahalbidetu behar dute, segurtasuneko intzidenteren batek ohiko bitartekoak ezgaitzeko egoerarik gertatuz gero, aurre egin ahal izateko.

Sistemak datuak eta informazioak euskarri elektronikoan gordeko direla bermatuko du, eta zerbitzuak eskuragarri izango ditu informazio digitalaren bizi-ziklo osoan.

d) Defentsa-lerroak.

Sistemak hainbat segurtasun-geruzaz osatutako babeseko estrategia izan behar du. Geruza horietako batek saihestu ezin izan den gertakari baten ondorioz huts egiten badu, erreakzio egokirako denbora irabaziko da, sistema bere osotasunean konprometitzeko aukera murriztuko da eta azken eragina minimizatuko da.

Defentsa-lerroek antolamendu-neurriak, neurri fisikoak eta logikoak izan behar dituzte.

e) Aldian behin berriz ebaluatzea.

Deustuko Unibertsitateak hartutako segurtasun-neurriak aldian-aldian berriz ebaluatu eta eguneratuko dira, haien eraginkortasuna arriskuen eta babes-sistemen etengabeko bilakaerara egokitzeko.

Printzipio horiek aplikatzearen ondoriozko segurtasunaren ikuspegia bat dator, halaber, Datuak Babesteko Erregelamendu Orokorraren 32.1.b) artikuluak planteatzen dituen eskakizunekin. Artikulu horren arabera, segurtasunaren helburua da datuak tratatzeko sistemen eta zerbitzuen konfidentzialtasuna, osotasuna, erabilgarritasuna eta erresilientzia iraunkorra izateko gaitasuna bermatzea.

LIDERGOA ETA KONPROMISOA

Deustuko Unibertsitateko zuzendaritzak informazioaren segurtasunaren oinarrizko printzipioekiko lidergoa eta konpromisoa erakusten du, Informazioaren Segurtasuna Kudeatzeko Sistema (ISKS) ezarrita:

  • Deustuko Unibertsitatearen Informazioaren Segurtasuna Kudeatzeko Politika, Segurtasun Politika eta Informazioaren Segurtasunari buruzko Araudia ezarri direla eta konpainiaren zuzendaritza estrategikoarekin bateragarriak direla bermatuko du;
  • ISKSrako behar diren baliabideak eskuragarri daudela zainduko du;
  • Sistemaren kudeaketa eraginkorraren eta sistemaren eskakizunak betetzearen garrantzia jakinaraziko du;
  • ISKSk aurreikusitako emaitzak lortzen dituela ziurtatuko du;
  • Pertsonak ISKSren eraginkortasunean laguntzera zuzenduko ditu eta horretan lagunduko dute;
  • Etengabeko hobekuntza sustatuko du, eta
  • Bere erantzukizunaren barruko arloetan aplika daitekeen lidergoa erakusteko beharrezkoak diren beste kudeaketa-funtzio batzuk babestuko ditu.

KUDEAKETA POLITIKA

Deustuko Unibertsitateko Zuzendaritzak erabaki du konpainiaren jarduerak garatzeko eta helburu estrategikoak lortzeko, une oro bermatu behar dela ezarritako konfidentzialtasun-, erabilgarritasun-, osotasun-, autentifikazio- eta trazabilitate-mailak betetzea bere informazio-aktiboetarako. Era berean, soluzioak eta zerbitzu propioak era koherentean emateko gaitasuna ere erakutsi behar du, baita bezeroei eskaintzen dizkien informazioaren segurtasuneko eta zibersegurtasuneko zerbitzuak eraginkortasunez kudeatzeko gaitasuna ere.

Helburu horrekin, ISKS garatu eta ezarri da, konpainiaren aktiboak modu seguruan tratatzeko erreferentzia-esparrua ezartzen duena, eta bezeroen konfiantza eta gogobetetasuna bermatzen duena, zerbitzuak emateko metodologia eraginkor batean integratuta.

Deustuko Unibertsitateak honako konpromiso hau hartu du informazioaren segurtasunaren kudeaketari dagokionez:

  • Agerian uztea Zuzendaritzak ISKSrekin duen konpromisoa, informazioaren segurtasunaren kudeaketarekin, bai berearekin, bai bezeroenarekin.
  • ISKSren eskakizunak konpainiaren negozio-prozesuetan txertatzen direla bermatzea.
  • Informazioaren segurtasunaren helburuak ezartzen direla eta helburu horiek konpainiaren testuinguruarekin eta zuzendaritza estrategikoarekin bateragarriak direla ziurtatzea.
  • Beharrezkoak diren kontrolak zehaztu, garatu eta martxan jartzea, prozesuetara begirako ikuspegia erabiliz eta arriskuetan oinarritutako pentsamendua sustatuz, konpainiak onartutako arrisku-mailak une oro betetzen direla bermatzeko.
  • Indarrean dagoen legeria betetzea une oro, konpainiak ematen dituen eta bezeroa gogobetetzen duten zerbitzuei aplika dakizkiekeen arau eta zehaztapen bereziez gain.
  • Informazio-sistemen kudeaketa integratuaren kultura sortzea, bai barruan, langile guztientzat, bai kanpoan, bezero eta hornitzaileentzat.
  • Langileak konprometitzea, zuzentzea eta babestea, ISKSren eraginkortasuna lortzen laguntzeko, horretarako behar diren baliabideak eskuragarri daudela ziurtatzeko, eta zuzendaritzaren beste rol batzuk babestea, kudeaketa-sistema haren erantzukizun-arloetan aplikatzeko.
  • Informazioaren segurtasunaren kudeaketa etengabeko hobekuntza-prozesu gisa tratatzea.
  • Deustuko Unibertsitateko interesdunen konfiantza eta gogobetetzea mantentzea, batez ere ikasleena.

SEGURTASUNA ANTOLATZEA

Informazioa babesteko bizi-zikloaren etapa guztiak modu egokian egingo direla eta hura gauzatzeko erantzukizunak behar bezala esleituko direla bermatzeko, Deustuko Unibertsitateak egitura bat ezarri du, politika honen
aplikazio sendoa sustatzeko eta teknologia eta antolaketa arloko aldaketa ugariak benetan egokitzeko.

Horretarako, batzorde eta rol orokor hauek definitzen dira, informazioaren segurtasunaren kudeaketan eta gainbegiratzean duten parte-hartzearekin lotuta:

  • Informazioaren Segurtasuneko Batzordea.
  • Informazioaren Segurtasuneko arduraduna.

DATU PERTSONALAK

Deustuko Unibertsitateak tratamenduak egiten ditu eta horretan datu pertsonalak erabiltzen ditu.
Deustuko Tratamendu Jardueren Erregistroak egindako tratamenduak eta haien arduradunak jasotzen ditu.

Deustuko Unibertsitateko informazio-sistema guztiak bat etorriko dira araudiak datu pertsonalen izaerari eta helburuari buruz eskatzen dituen
segurtasun-mailekin, eta, adierazi den bezala, segurtasun-politika hori aplikatzeko hartzen diren neurriak eta Datuak Babesteko Erregelamendu Orokorretik eratorritako betebeharrak betetzeko egiten diren arriskuen azterketak eta eraginaren ebaluazioak segurtasun-arduradunarekin eta batzordearekin koordinatuta egingo dira.

ERABILTZAILEEN BETEBEHARRAK

Deustuko Unibertsitateko kide guztiek ezagutu eta bete behar dituzte Informazioaren Segurtasuneko Politika eta politika horretatik sortzen den Segurtasuneko Araudia, eta Informazioaren Segurtasuneko Batzordearen ardura da informazioa jaso behar dutenengana iristeko beharrezko baliabideak jartzea.

Unibertsitateko langile guztiek jabetu behar dute informazio-sistemen segurtasuna bermatu behar dela, eta haiek funtsezkoak direla segurtasuna mantentzeko eta hobetzeko.

Etengabeko kontzientziazio-programa bat ezarriko da Deustuko kide guztiei arreta eskaintzeko, batez ere sartu berriei. IKT sistemak erabiltzeko, operatzeko edo administratzeko erantzukizuna duten pertsonek prestakuntza jasoko dute sistemak segurtasunez erabiltzeko, beren lana egiteko behar duten neurrian. Prestakuntza nahitaezkoa izango da erantzukizun bat beren gain hartu aurretik, bai lehen esleipena bada, bai lanpostu-aldaketa bat bada edo lanpostuko erantzukizunak aldatzen badira.

ERABILTZAILEEN ERANTZUKIZUNAK INFORMAZIOAREN SEGURTASUNEKO POLITIKA BETETZEN EZ BADA

Informazioaren Segurtasuneko Batzordeak hauteman ahal izango du
Deustuko Unibertsitateko erabiltzaileek
Informazioaren Segurtasuneko Politika edo hura garatzeko araudia eta jarraibideetan aurreikusitako betebeharrak betetzen dituzten ala ez.

Ez-betetzeren bat gertatuz gero, informazio-sareak eta sistemak
babestu eta zaintzeko prebentzio- eta zuzenketa-neurriak aurreikusiko dira, dagokion diziplina-erantzukizunaren eskakizunari kalterik egin gabe.

Deustuko Informazioaren Segurtasun Politika ez dela bete egiaztatzen bada, Segurtasun Batzordeak, ezarritako bideak erabiliz, dagozkion diziplina-erantzukizunak argitzeko eskatuko du.

Aplikatu beharreko prozedura eta zehapenak unibertsitatearen beraren zerbitzupeko langileen diziplina-araubideari buruzko legerian ezarritakoak izango dira.

HIRUGARREN ALDERDIEKIKO HARREMANA

Deustuko Unibertsitateak beste erakunde batzuei zerbitzuak ematen badizkie edo horiei buruzko informazioa erabiltzen badu, harreman horren arduradunak segurtasun-politikaren eta horren ondoriozko arau eta jarraibideen berri emango die. Informazioaren Segurtasuneko Batzordeen artean komunikatzeko eta koordinatzeko bideak ezarriko dira, eta segurtasunari eragiten dioten gertakarietan erantzuteko jardun-prozedurak ezarriko dira.

Era berean, Deustuk hirugarrenen zerbitzuak erabiltzen baditu edo hirugarrenei informazioa lagatzen badie, harreman horren
arduradunak segurtasun-politika horren eta zerbitzu edo informazio horiei dagokien segurtasuneko araudiaren eta jarraibideen berri emango die. Hirugarren horrek araudi eta jarraibide horietan ezarritako betebehar eta segurtasun-neurriak bete beharko ditu, eta hori betetzeko prozedura operatibo propioak garatu ahal izango ditu.

Gorabeherak prebenitzeko, hautemateko, jakinarazteko eta konpontzeko berariazko prozedurak ezarriko dira. Hirugarrenen langileak
segurtasunaren arloan behar bezala kontzientziatuta daudela bermatuko da, gutxienez segurtasun-politika honetan ezarritako maila berean.

Zehazki, hirugarrenek ikuska daitezkeen estandarretan oinarritutako segurtasun-politikak betetzen dituztela bermatu beharko dute, eta hirugarrenen kontrolak eta berrikuspenak egin beharko dituzte, politika horiek betetzen direla ziurtatzeko. Era berean, auditoria edo suntsiketa eta ezabatze ziurtagirien bidez bermatuko da, hirugarrenak kontratua amaitzean Deusturi dagozkion datuak ezeztatu eta ezabatu dituela.

Segurtasun-politika horren alderdiren baten heren bat bete ezin bada, Informazioaren Segurtasuneko arduradunaren txostena beharko da, zein arrisku dauden eta horiek tratatzeko zer egin azaltzeko. Aurrera egin aurretik, Informazioaren Segurtasunerako Batzordeak txosten hori onartu beharko du.

ARAU ESPARRUA

Informazioaren segurtasuneko politika hau
lege eta errege-dekretu hauetan xedatutakoaren arabera ematen da:

  • Europako Parlamentuaren eta Kontseiluaren 2016ko apirilaren 27ko 2016/679 Erregelamenduak datu pertsonalen tratamenduari dagokionez pertsona fisikoen babesari eta datu horien zirkulazio askeari buruzko arauak ezartzen dituenak eta 95/46/CE Zuzentaraua (Datuak Babesteko Erregelamendu Orokorra) indargabetzen duenak ezarritako xedapenak eta eskakizunak bete beharko ditu.
  • 3/2018 Lege Organikoa, abenduaren 5ekoa, Datu Pertsonalak Babesteari eta Eskubide Digitalak Bermatzeari buruzkoa.
  • 1/1996 Legegintzako Errege Dekretua, apirilaren 12koa, Jabetza Intelektualaren Legearen testu bategina onartzen duena, arlo horretan indarrean dauden xedapenak erregularizatu, argitu eta harmonizatzen dituena.
  • 34/2002 Legea, uztailaren 11koa, Informazioaren Gizartearen eta Merkataritza Elektronikoaren Zerbitzuei buruzkoa.
  • Segurtasun Politika honen esparruan Unibertsitateari aplikatzekoak zaizkion arau orokor edo barruko guztiak.
  • Langileen Estatutua.

ONARTZEA ETA INDARREAN SARTZEA

Segurtasuneko Batzordeak onartutako testua, Bilbon, 2023ko maiatzaren 4an.
Informazioaren Segurtasuneko Politika hau indarrean egongo da data horretatik politika berri batek
ordezten duen arte.

Indargabetuta geratzen dira Informazioaren Segurtasuneko Politika honetan xedatutakoaren aurka doazen maila bereko edo beheragoko xedapenak.