Cos normatiu sobre la seguretat de la informació

 

Document de

Política de Seguretat

de la Informació

de la

Universitat de Lleida

 

 

Acord núm. 169/2025 del Consell de Govern de 26 de juny de 2025

pel qual s’aprova la Política de Seguretat de la Informació de la UdL

 

 Índex

  1. Preàmbul 1
  2. Entrada en vigor 1
  3. Marc normatiu. 1
  4. Declaració de la política de seguretat de la informació. 2

4.1.       Prevenció. 2

4.2.       Detecció. 3

4.3.       Resposta. 3

4.4.       Recuperació. 3

  1. Àmbit d’aplicació. 3
  2. Missió. 4
  3. Organització de la seguretat 4

7.1.       Composició del Comitè de Seguretat Informativa i Corporativa. 4

7.2.       Composició de la Subcomissió de Seguretat Corporativa. 5

7.3.       Funcions del Comitè de Seguretat Informativa i Corporativa. 5

7.4.       Rols: funcions i responsabilitats. 7

  1. Procediments de designació. 10
  2. Tractament de dades de caràcter personal 10
  3. Gestió de riscos. 10
  4. Desenvolupament de la política de seguretat de la informació. 10
  5. Obligacions del personal 11
  6. Terceres parts. 11
  7. Procés de revisió, reavaluació periòdica i aprovació. 11

  

1.     Preàmbul

Aquesta política està basada en la proposada a la guia CCN-STIC 881 - Annex I. Política de Seguretat Universitats, del Centre Criptogràfic Nacional (CCN). Aquesta guia, basant-se en el RD 311/2022, de 3 de maig de 2022, que regula l’Esquema Nacional de Seguretat (ENS), té com a objectiu permetre una protecció adequada de la informació de les entitats del sector públic, millorant la ciberseguretat de les infraestructures i els sistemes d’informació de totes les administracions públiques. Amb la finalitat de protegir i garantir la confidencialitat, autenticitat, integritat i disponibilitat de les dades.

L'Esquema Nacional de Seguretat (ENS) requereix que cada administració pública disposi d’una Política de Seguretat de la Informació, que contingui el conjunt de directrius que regeixen la forma en què es gestiona i es protegeix la informació que tracta, així com els serveis que presta.

Aquesta Política de Seguretat de la Informació complementa la Política de protecció de dades de la Universitat de Lleida, en els termes establerts al Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d'abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i a la Llei Orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels Drets digitals.

2.     Entrada en vigor       

Aquesta Política de Seguretat de la Informació de la UdL va ser aprovada pel Consell de Govern de la UdL en data 26/06/2025 i és vigent des de l'endemà de la publicació en el Butlletí Oficial de la Universitat. Aquesta Política de Seguretat de la Informació és una actualització i deroga la Política de Seguretat de la Informació aprovada per l’acord 28/2014 del Consell de Govern de 26 de febrer de 2014, modificada per l’acord 190/2018 del Consell de Govern de 24 de juliol de 2018 i modificada per acord 54/2021 del Consell de Govern de 22 d’abril de 2021. I deroga l’acord del Consell de Govern del 23 de juliol de 2024, Acord núm. 221/2024 de la composició del Comitè de Seguretat Informativa i Corporativa.

3.     Marc normatiu

La present Política de Seguretat de la Informació s’ubica dins el marc jurídic definit per les lleis, reials decrets i normatives explicitades en el document “Marc Normatiu Aplicable” revisat i amb la conformitat periòdica del Comitè de Seguretat Informativa i Corporativa.

4.     Declaració de la política de seguretat de la informació

La Universitat de Lleida (UdL) depèn dels sistemes TIC (Tecnologies d'Informació i Comunicacions) per assolir els seus objectius. Aquests sistemes han de ser administrats amb diligència, prenent les mesures adequades per protegir-los davant de danys accidentals o deliberats que puguin afectar la disponibilitat, integritat o confidencialitat de la informació tractada o els serveis prestats. L'objectiu de la seguretat de la informació és garantir la qualitat de la informació i la prestació continuada dels serveis, actuant preventivament, supervisant l'activitat diària i reaccionant amb prestesa als incidents.

Els sistemes TIC han d'estar protegits contra amenaces de ràpida evolució amb potencial per incidir en la confidencialitat, integritat, disponibilitat, ús previst i valor de la informació i els serveis. Per defensar-se d'aquestes amenaces, cal una estratègia que s'adapti als canvis a les condicions de l'entorn per garantir la prestació contínua dels serveis. Això implica que la UdL així com tot el seu personal, han d'aplicar les mesures mínimes de seguretat exigides per l'Esquema Nacional de Seguretat, han de realitzar un seguiment continu dels nivells de prestació de serveis, seguir i analitzar les vulnerabilitats reportades, i preparar una resposta efectiva als incidents per garantir la continuïtat dels serveis prestats.

Les diferents unitats han d'assegurar-se que la seguretat TIC és una part integral de cada etapa del cicle de vida del sistema, des de la concepció fins a la retirada de servei, passant per les decisions de desenvolupament o adquisició i les activitats d’explotació. Els requisits de seguretat i les necessitats de finançament, han de ser identificats i inclosos en la planificació, en la sol·licitud d'ofertes, i en plecs de licitació per a projectes de TIC.

La UdL, el seu personal, i les diferents unitats en què s’estructura han d'estar preparats per prevenir, detectar, reaccionar i recuperar-se d'incidents, d'acord amb el que s’especifica a l'Esquema Nacional de Seguretat.

4.1.  Prevenció

La UdL ha d'evitar, o com a mínim prevenir en la mesura en què sigui possible, que la informació o els serveis es vegin perjudicats per incidents de seguretat. Per això ha d'implementar les mesures mínimes de seguretat determinades per l’ENS, així com qualsevol control addicional identificat a través d'una avaluació d'amenaces i riscos. Aquests controls, i els rols i responsabilitats de seguretat de tot el personal, han d'estar clarament definits i documentats.

Per garantir el compliment de la política:

  • Cal autoritzar els sistemes abans que entrin en operació.
  • Cal avaluar-ne regularment la seguretat, incloent-hi avaluacions dels canvis de configuració realitzats de forma rutinària.
  • Cal sol·licitar-ne la revisió periòdica per part de tercers per tal d'obtenir-ne una avaluació independent.

4.2.  Detecció

Atès que els serveis es poden degradar ràpidament a causa d'incidents, amb conseqüències que van des d'una simple desacceleració fins a la seva aturada, cal monitorar l'operació dels serveis de manera continuada per detectar anomalies als nivells de prestació dels serveis i actuar en conseqüència segons el que estableix a l’Esquema Nacional de Seguretat.

El monitoratge és especialment rellevant quan s’estableixen línies de defensa d’acord amb l’ENS.

Cal establir mecanismes de detecció, anàlisi i informes que arribin als responsables regularment i quan es produeixi una desviació significativa dels paràmetres que s'hagin preestablert com a normals.

4.3.  Resposta

La Universitat de Lleida ha de:

  • Establir mecanismes per respondre eficaçment als incidents de seguretat.
  • Designar un punt de contacte per a les comunicacions pel que fa a incidents detectats en altres unitats de la universitat o en altres organismes.
  • Establir protocols per a l’intercanvi d’informació relacionada amb l’incident. Això inclou comunicacions, en ambdós sentits, amb els Equips de Resposta a Emergències (CERT, Computer Emergency Response Team).

4.4.  Recuperació

Per garantir la disponibilitat dels serveis crítics, la Universitat de Lleida ha de desenvolupar plans de continuïtat dels sistemes TIC com a part del seu pla general de continuïtat de negoci i activitats de recuperació.

5.     Àmbit d’aplicació

Aquesta Política s'aplicarà als sistemes d'informació de la Universitat de Lleida i a totes aquelles persones que els utilitzen de forma lícita, siguin o no personal de la universitat i amb independència de la naturalesa de la seva relació jurídica amb la universitat.

Així mateix, és aplicable a tota altra persona que faci servir els sistemes d’informació de la Universitat, incloent-hi tot el personal dels tercers que tinguin un equip connectat a la xarxa o interaccioni amb els sistemes d’informació de la UdL, així com, tots els equips i serveis propietaris o arrendats que, d'alguna manera, hagin d'utilitzar localment.

Tots ells tenen l'obligació de conèixer i complir aquesta Política de Seguretat de la Informació i la seva Normativa de Seguretat derivada, sent responsabilitat del Comitè de Seguretat Informativa i Corporativa disposar els mitjans necessaris perquè la informació arribi al personal afectat.

6.     Missió

La Universitat de Lleida té per missió prestar el servei públic de l’educació superior universitària i contribuir a la creació, la conservació i la transmissió del coneixement. Aquesta missió es fa efectiva per mitjà de les seues activitats principals, que són la docència, la recerca i la transferència de coneixement.

7.     Organització de la seguretat

La Universitat de Lleida, ​​tenint en compte el que s'estableix en el Reial decret 311/2022, de 3 de maig, que regula l'Esquema Nacional de Seguretat (ENS), estableix un òrgan per la presa de decisions en matèria de Seguretat de la Informació. Aquest òrgan s’anomenarà Comitè de Seguretat Informativa i Corporativa de la UdL, i serà un òrgan col·legiat.

7.1.  Composició del Comitè de Seguretat Informativa i Corporativa

El Comitè de Seguretat Informativa i Corporativa tindrà la composició següent:

  • Presidència:
    • Vicerector/a amb competència en matèria de Ciberseguretat i/o TIC, per delegació del Rector.
  • Vocals:
    • Membres permanents:
      • Secretari/ària del Comitè de Seguretat Informativa i Corporativa: Secretari/ària general o delegat/da.
      • Vicerector/a amb competència en matèria d’Infraestructures i/o Campus.
      • Gerent/a
      • Responsable de Sistema (RSIS) – Cap de Sistemes d’Informació i Comunicacions.
      • Responsable de Seguretat de la Informació (RSEG), designat pel Rector/a o per l’equip de direcció.
      • Representants de la Informació i Serveis de la Universitat en funció dels temes a tractar (RINFO). Aquests seran convocats per la presidència i en representació dels diferents àmbits o àrees de Seguretat TIC de la Universitat. De manera general, seran caps o responsables d’unitats de la UdL. Cada àrea estarà representada per un vocal amb vot, sense perjudici del fet que puguin assistir més representants d’aquesta.
      • Assessors que es considerin oportuns o necessaris per als temes a tractar, que participaran amb veu, però sense vot.
      • El Delegat de Protecció de Dades participarà amb veu però sense vot a les reunions del Comitè de Seguretat Informativa i Corporativa quan s'hi abordin qüestions relacionades amb el tractament de dades de caràcter personal, així com sempre que es requereixi la seva participació. En tot cas, si un assumpte se sotmet a votació es farà constar sempre en acta el parer del Delegat de Protecció de Dades.
    • Membres no permanents:
      • Altres representants de la universitat o especialistes externs, dels sectors públic, privat i/o acadèmic, la presència dels quals, per raó de la seva experiència o vinculació amb els temes a tractar, sigui necessària o aconsellable.

7.2.  Composició de la Subcomissió de Seguretat Corporativa

La subcomissió de Seguretat Corporativa tindrà la composició següent:

  • Presidència:
    • Vicerector/a amb competència en matèria d’Infraestructures i/o campus.
  • Vocals:
    • Secretari/ària de la subcomissió: Secretari/ària general o delegat/da.
    • Direcció d’Àrea d’Infraestructures i Tecnologia.
    • Cap d’Infraestructures.
    • Tècnic/a de serveis comunitaris (RSF).
    • Delegat de Protecció de Dades

7.3.  Funcions del Comitè de Seguretat Informativa i Corporativa

Corresponen al Comitè de Seguretat Informativa i Corporativa, entre d'altres, les funcions i atribucions següents:

Funcions:

  1. Liderar, coordinar i vetllar pel correcte desenvolupament del Projecte d’Adequació a l'ENS, adoptant les mesures que corresponguin, d'acord amb els fins del Projecte.
  2. Encoratjar el procés de Certificació de la Conformitat amb l'ENS per als serveis transversals prestats per la universitat.
  3. Debatre en segona instància i decidir sobre la idoneïtat de les propostes fetes per l'Oficina Tècnica de Seguretat i traslladar-les al Consell de Govern que les aprovarà formalment.
  4. Proposar per a la seva anàlisi i, si escau, redactar i publicar Normes, Criteris o Bones Pràctiques en matèria de Seguretat i Adequació a l'ENS i Certificació de la Conformitat amb l'ENS.
  5. Assessorar el personal de la universitat dels procediments, eines i criteris en matèria de Certificació de la Conformitat amb l'ENS i, en general, amb la seva implantació, orientant la seva gestió al millor servei del sector públic i la major i millor col·laboració amb el sector privat, fabricants i subministradors de productes o serveis.
  6. Assessorar les parts implicades en la identificació d'altres esquemes, arranjaments o acords, on la defensa de la validesa i reconeixement mutu dels certificats emesos sigui d’interès per als sectors públic i privat.
  7. Informar les organitzacions públiques i privades que correspongui sobre la implantació de la Certificació de Conformitat amb l'ENS a la universitat.

Atribucions:

  1. Estar permanentment informat de la normativa que regula la Certificació de Conformitat amb l’ENS, incloent-hi les seves normes d'acreditació, certificació, guies, manuals, procediments i instruccions tècniques.
  2. Estar permanentment informat de la relació d'Entitats de Certificació acreditades i organitzacions, públiques i privades, certificades.
  3. Estar permanentment informat de la relació d'esquemes de certificació de la seguretat amb els quals l'Administració Pública té establerts arranjaments o acords de reconeixement mutu de certificats.
  4. Proposar directrius i recomanacions, que seran recollides en les corresponents actes de les reunions del Comitè de Seguretat Informativa i Corporativa.
  5. Coordinar els esforços de les diferents àrees en matèria de seguretat de la informació, per a assegurar que aquests siguin consistents, alineats amb l'estratègia decidida en la matèria, i evitar duplicitats.
  6. Atendre les inquietuds, en matèria de seguretat de la informació, de la Universitat i de les seves diferents unitats o òrgans administratius, informant regularment de l'estat de la seguretat de la informació a la Direcció.
  7. Resoldre els conflictes de responsabilitat que puguin aparèixer entre els diferents responsables i/o entre diferents unitats o òrgans administratius, elevant aquells casos en els quals no tingui suficient autoritat per a decidir.
  8. Assessorar en matèria de seguretat de la informació, sempre que li sigui requerit.
  9. Revisar la Política de Seguretat de la Informació prèvia aprovació per l'Òrgan Superior.
  10. Aprovar la Normativa d'Ús de Mitjans electrònics per a tots els membres de la comunitat universitària.
  11. Aprovar el Mapa de Normativa amb la llista de Normativa i Procediments de seguretat per a la implantació de l’ENS.

A més, per tots els aspectes relacionats amb els accessos i mesures de seguretat a infraestructures físiques, el Comitè de Seguretat Informativa i Corporativa sol·licitarà assessorament, així com els informes corresponents, a la Subcomissió de Seguretat Corporativa, essent l’enllaç el/la Vicerector/a amb competència en matèria d’Infraestructures i/o Campus.

7.4.  Rols: funcions i responsabilitats

7.4.1. Responsable del sistema (RSIS)

Responsable de la integració, modificació i manteniment dels sistemes d'informació. Aquest rol l'exerceix el cap o la cap de la unitat de Sistemes d’Informació i Comunicacions de la UdL.

Té les funcions següents:

  • Desenvolupar, fer funcionar i mantenir el sistema durant tot el seu cicle de vida,

incloent-ne la instal·lació i la verificació del funcionament correcte i el seguiment de les especificacions.

  • Definir la topologia i els procediments de gestió del sistema, i establir-ne els criteris d’ús i els serveis disponibles.
  • Decidir la suspensió de l’ús d’una certa informació o la prestació d’un cert servei si es té coneixement de l’existència de deficiències greus de seguretat que puguin afectar la satisfacció dels requisits establerts. Aquesta decisió ha de ser consultada amb els responsables de la informació (RINFO) afectada i del servei afectat, i amb el suport del responsable de Seguretat (RSEG) abans d’executar-la.
  • Aprovar tota modificació substancial de la configuració de qualsevol element del sistema.
  • Definir la política de connexió o desconnexió d’equips i usuaris nous en el sistema.
  • Aprovar els canvis que afecten la seguretat del mode d’operació del sistema.
  • Decidir les mesures de seguretat que hauran d’aplicar els subministradors de components del sistema durant les etapes de desenvolupament, instal·lació i prova.
  • Implantar i controlar les mesures específiques de seguretat del sistema i assegurar-se que aquestes s’integrin adequadament dins del marc general de seguretat.
  • Determinar les configuracions autoritzades del maquinari i el programari que s’han d’utilitzar en el sistema.
  • Portar a terme el procés preceptiu d’anàlisi i de gestió de riscos en el sistema.
  • Proporcionar assessorament per a la determinació de la Categoria del Sistema, en col·laboració amb el Responsable de Seguretat i el Comitè de Seguretat Informativa i Corporativa.
  • Elaborar la documentació de seguretat del sistema.
  • Delimitar les responsabilitats de cada entitat involucrada en el manteniment, explotació, implantació i supervisió del sistema.
  • Investigar els incidents de seguretat que afectin el sistema i, si s’escauen, comunicar-los al responsable de Seguretat o a qui s’hagi determinat.
  • Establir plans de contingència i emergència, i dur a terme de manera freqüent exercicis per al personal perquè s’hi familiaritzi.
  • Elaborar els procediments de seguretat necessaris per a l’operativa del sistema.

En aquells sistemes en què, per la seva complexitat tècnica, distribució geogràfica, separació física dels seus components o volum d’usuaris, sigui necessari disposar de personal addicional per garantir l’execució efectiva de les funcions del Responsable del Sistema (RSIS), es podran designar Responsables del Sistema Delegats (RSIS-D).

Aquests RSIS-D s’integraran sota la coordinació directa del RSIS principal, que continua essent responsable últim de la seguretat i el funcionament correcte del sistema. Els RSIS-D exerciran les funcions delegades pel RSIS principal, principalment relacionades amb el disseny, l’operació, manteniment, instal·lació i verificació dels sistemes dins del seu àmbit d’actuació.

7.4.2. Responsable de la seguretat (RSEG)

Responsable màxim quant a la seguretat de la informació. En cas que el Responsable de Seguretat depengui jeràrquicament del Responsable de Sistema es garantirà la independència de les seves decisions.

Les seves funcions són:

  • Mantenir la seguretat de la informació que tracten i els serveis que presten els sistemes.
  • Realitzar o promoure les auditories periòdiques que permetin verificar el compliment de les obligacions de l’organisme en matèria de seguretat.
  • Promoure la formació i conscienciació del personal en matèria de seguretat de la informació.
  • Verificar que les mesures de seguretat establertes són adequades per a la protecció de la informació que es tracta i els serveis que es presten.
  • Analitzar, completar i aprovar tota la documentació relacionada amb la seguretat dels Sistemes.
  • Monitorar l’estat de seguretat dels sistemes proporcionat per les eines de gestió d’esdeveniments de seguretat i els mecanismes d’auditoria implementats en els sistemes.
  • Donar suport a la investigació dels incidents de seguretat, des que es notifiquen fins que es resolen, i supervisar-la.
  • Elaborar l’informe periòdic de seguretat per al responsable del Sistema, que ha d’incloure els incidents més rellevants del període.
  • Elevar al Comitè de Seguretat Informativa i Corporativa l'aprovació de canvis i altres requisits del sistema.
  • Aprovar els procediments de seguretat que no són competència del Comitè i posar-los en coneixement al Comitè així com de les modificacions que se n'hagin realitzat al llarg del període en curs.
  • Proporcionar assessorament per a la determinació de la Categoria del Sistema, en col·laboració amb el Responsable de Sistema i el Comitè de Seguretat Informativa i Corporativa.
  • Dissenyar els plans de resposta a incidents de seguretat.
  • Gestionar les revisions externes o internes del sistema.
  • Gestionar els processos de certificació.

7.4.3. Responsable de la seguretat física (RSF)

Responsable de coordinar les activitats de la Universitat de Lleida relacionades amb els aspectes de seguretat de les instal·lacions i els plans de contingència associats. Aquest rol l'exerceix el tècnic o tècnica de Serveis Comunitaris.

7.4.4. Responsables de la Informació (RINFO)

Responsables de vetllar per les implicacions de seguretat associades a la informació i als serveis que presta la Universitat de Lleida. Aquesta responsabilitat recau sobre els responsables funcionals dels serveis TIC designats pel Consell de Direcció, així com sobre els propietaris dels serveis, habitualment membres del mateix Consell.

Tenen les funcions següents:

  • Establir i elevar per a la seva aprovació al Comitè de Seguretat Informativa i Corporativa els requisits de seguretat aplicables a la Informació (nivells de seguretat de la Informació) i als Serveis (nivells de seguretat dels serveis), dins del marc establert en l'Annex I del RD ENS, podent recaptar una proposta del Responsable de Seguretat i tenint en compte l'opinió del Responsable del Sistema.
  • Dictaminar respecte als drets d'accés a la informació i als serveis.
  • Acceptar els nivells de risc residual que afecten la informació i els serveis.
  • Posar en comunicació del Responsable de Seguretat qualsevol variació respecte a la Informació i els Serveis dels quals és responsable, especialment la incorporació de nous Serveis o Informació a càrrec seu. El qual donarà trasllat d'aquests canvis, al Comitè de Seguretat Informativa i Corporativa, en la seva pròxima reunió.
  • Comunicar al delegat de protecció de dades quan els incidents de seguretat puguin afectar a dades de caràcter personal.

8.     Procediments de designació

En la designació dels membres del Comitè de Seguretat Informativa i Corporativa s'han de diferenciar dos grups. D’una banda, els membres que responen a càrrecs universitaris i que, per tant, seran designats respectant els procediments d’elecció i nomenament ja establerts. D’altra banda, els membres que responen a llocs de treball i que, per tant, seran ocupats pels empleats públics en actiu en aquest lloc de treball en cada moment. En el cas que un lloc de treball estigués temporalment vacant, serà el gerent l'encarregat de designar el lloc de treball més afí que pugui satisfer temporalment aquest buit al Comitè de Seguretat Informativa i Corporativa.

Quant als diferents rols, el Comitè de Seguretat Informativa i Corporativa és l'encarregat de proposar-ne al rector o rectora de la Universitat de Lleida el nomenament. Aquest nomenament s'ha de publicar en el Butlletí Oficial de la Universitat de Lleida a fi de fer-lo conèixer a tota la comunitat universitària.

9.     Tractament de dades de caràcter personal

La Universitat de Lleida establirà els mecanismes necessaris perquè la política de seguretat en matèria d'informació estigui degudament coordinada amb la política de seguretat que dimana de la legislació en matèria de protecció de dades de caràcter personal.

10. Gestió de riscos

Tots els sistemes subjectes a aquesta Política hauran de fer una anàlisi de riscos, avaluant les amenaces i els riscos a què estan exposats. Aquesta anàlisi es repetirà:

  • Quan canviïn la informació i/o els serveis de manera significativa.
  • Quan hi hagi un incident greu de seguretat o es detectin vulnerabilitats greus.

Per a l'harmonització de les anàlisis de riscos, el Comitè de Seguretat Informativa i Corporativa n'establirà una valoració de referència per als diferents tipus d'informació manejats i els diferents serveis prestats.

El Responsable de la Seguretat serà l'encarregat que es duguin a terme els anàlisi de riscos, així com d'identificar mancances i febleses i posar-les en coneixement del Comitè de Seguretat Informativa i Corporativa.

El Comitè de Seguretat Informativa i Corporativa dinamitzarà la disponibilitat de recursos per atendre les necessitats de seguretat dels diferents sistemes, promovent inversions de caràcter horitzontal.

11. Desenvolupament de la política de seguretat de la informació

Aquesta Política de Seguretat de la Informació complementa les polítiques de seguretat de la UdL en diferents matèries, especialment en protecció de dades de caràcter personal.

Aquesta Política es desenvoluparà per mitjà de normes, procediments i instruccions de seguretat que afrontin aspectes específics. El cos normatiu de seguretat estarà a disposició de tots els membres de la UdL que necessitin conèixer-lo, en particular per a aquells que utilitzin, operin o administrin els sistemes d’informació i comunicacions de la institució.

Tota la normativa de seguretat estarà disponible a la intranet a: https://cv.udl.cat/portal/site/segu_inf_corp

12. Obligacions del personal

Tots els membres de la Universitat de Lleida tenen l’obligació de conèixer i complir aquesta Política de Seguretat de la Informació i les normatives de seguretat que se'n deriven, i és responsabilitat del Comitè de Seguretat Informativa i Corporativa disposar dels mitjans necessaris perquè la informació arribi als afectats.

Tots els membres de la UdL hauran de poder atendre sessions de formació i conscienciació en matèria de seguretat de la informació. S'establirà un programa continu de conscienciació i formació que puguin atendre tots els membres de la UdL, en particular els de nova incorporació.

Les persones amb responsabilitat en l'ús, operació o administració de sistemes TIC rebran formació per al maneig segur dels sistemes en la mesura que la necessitin per fer la feina. La formació serà obligatòria abans d'assumir una responsabilitat, tant si és la primera assignació o si es tracta d'un canvi de lloc de treball o de responsabilitats en aquest.

13. Terceres parts

Quan la Universitat de Lleida presti serveis a altres organismes o manegi informació d'altres organismes, se'ls farà partícips d'aquesta Política de Seguretat de la Informació, s'establiran canals per a informació i coordinació dels respectius Comitès de Seguretat de la Informació i s'establiran procediments d'actuació per a la reacció davant d'incidents de seguretat.

Quan la UdL utilitzi serveis de tercers o cedeixi informació a tercers, se'ls farà partícips d'aquesta Política de Seguretat i de la Normativa de Seguretat que afecta aquests serveis o informació. Aquesta tercera part queda subjecta a les obligacions establertes en aquesta normativa, podent desenvolupar els seus propis procediments operatius per satisfer-la. S'establiran procediments específics per reportar i resoldre incidències. S’haurà de garantir que el personal de tercers està adequadament conscienciat en matèria de seguretat, almenys al mateix nivell que el que estableix aquesta Política.

Quan algun aspecte de la Política no pugui ser satisfet per una tercera part segons es requereix en els paràgrafs anteriors, es requerirà un informe del Responsable de Seguretat que especifiqui els riscos en què s'incorre i la manera de tractar-los. Es requerirà l'aprovació d’aquest informe pels responsables de la informació i els serveis afectats abans de seguir endavant.

14. Procés de revisió, reavaluació periòdica i aprovació

El Comitè de Seguretat Informativa i Corporativa ha de dur a terme un seguiment permanent de l'estat d'execució d'aquesta política de seguretat de la informació. Les mesures de seguretat s'hauran de reavaluar i actualitzar periòdicament, per adequar la seua eficàcia a la constant evolució dels riscos i sistemes de protecció, i es podrà arribar fins i tot a un replantejament de la seguretat, si fos necessari. Anualment, haurà d'elevar al Consell de Govern un informe sobre l'estat de la qüestió.

Sense perjudici de la labor de posada en marxa, desenvolupament i seguiment anual confiada al Comitè de Seguretat Informativa i Corporativa, aquest durà a terme una revisió d'aquesta política cada tres anys amb l'objectiu d'adaptar-la a les millors pràctiques i a l'evolució de l'estat de la qüestió.

   Darrera modificació: