Las tecnologías de la información y las comunicaciones constituyen un elemento fundamental para las Administraciones Públicas las cuáles han desarrollado una labor esencial fomentando su utilización en las relaciones con los ciudadanos. El empleo de las nuevas tecnologías implica la necesidad de adoptar medidas concretas que permitan garantizar la seguridad en el tratamiento de la información reduciendo los riesgos inherentes a dicho tratamiento al nivel máximo posible.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece que los órganos de las administraciones responsables de los ficheros que contienen datos de carácter personal, y si procede, las personas físicas o jurídicas, las autoridades públicas o los órganos encargados de su tratamiento deben adoptar las medidas de carácter técnico y organizativo necesarias que garanticen la seguridad de los datos de carácter personal y eviten la alteración, pérdida, tratamiento o acceso no autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a qué están expuestos, tanto si provienen de la acción humana como del medio físico o natural.
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de dicha Ley Orgánica comparte con ella la finalidad de hacer frente a los riesgos que para los derechos de la personalidad puede suponer el tratamiento de datos personales y establece las medidas de seguridad que se han de cumplir, sea cual sea la forma en que se traten (automatizada o no automatizada).
Por su parte la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos consagra el derecho de los ciudadanos a comunicarse electrónicamente con las Administraciones Públicas, lo que implica la necesidad de adoptar medidas que garanticen una adecuada protección de los sistemas, los datos, las comunicaciones y los servicios electrónicos. El Esquema Nacional de Seguridad, regulado por el Real Decreto 3/2010, de 8 de enero, pretende dar respuesta a esta necesidad.
En dicho Real Decreto se establece que todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente. Uno de los elementos que deben precisarse en dicha política de seguridad es la estructura de un comité de seguridad.
Por todo lo expuesto en la presente Orden se crea el Comité de Seguridad de la Información del Gobierno de La Rioja como órgano colegiado de los previstos en la Ley 3/2003, de 3 de marzo, de organización del Sector Público de la Comunidad Autónoma de La Rioja.
En el ámbito de la Comunidad Autónoma de La Rioja son los Decretos de estructura de cada Consejería los que atribuyen a las Secretarías Generales Técnicas la coordinación de las actuaciones de los órganos y unidades y de los organismos públicos en materia de protección de datos. Por su parte es la Secretaría General Técnica de la Consejería de Administración Pública y Hacienda la encargada de coordinar las actuaciones en materia de protección de datos de carácter personal; correspondiéndole a la Dirección General de las Tecnologías de la Información y la Comunicación la dirección, diseño, desarrollo, implantación, mantenimiento y gestión de los programas y políticas de seguridad en materia de sistemas de información para todos los ámbitos del Sector Público.
Por todo ello, en virtud de las competencias que me han sido conferidas conforme al artículo 42.1.e. de la Ley 8/2003, de 28 de octubre, de Gobierno e Incompatibilidades de sus miembros y de acuerdo con lo dispuesto en el Decreto 46/2011, de 6 de julio, por el que se establece la estructura orgánica de la Consejería de Administración Pública y Hacienda y sus funciones en desarrollo de la Ley 3/2003, de 3 de marzo, de Organización del Sector Público de la Comunidad Autónoma de La Rioja y resto de la normativa vigente aplicable, dispongo:
Artículo 1.- Objeto.
La presente norma tiene por objeto la creación y regulación del Comité de Seguridad de la Información del Gobierno de La Rioja como órgano colegiado de los previstos en la Ley 3/2003, de 3 de marzo, de organización del Sector Público de la Comunidad Autónoma de La Rioja, adscrito a la Consejería competente en materia de tecnologías de la información, que le facilitará los medios precisos para el cumplimiento de sus funciones
Artículo 2.- Funciones.
1. Al Comité de Seguridad de la Información del Gobierno de La Rioja le corresponden funciones de asesoramiento, consultoría y propuesta en materia de seguridad de la información.
2. En particular le corresponde:
a) Informar regularmente del estado de la seguridad de la información al Gobierno de La Rioja.
b) Promover la mejora continua del sistema de gestión de la seguridad de la información.
c) Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información evitando duplicidades.
d) Elaborar y revisar regularmente la Política y Organización de la Seguridad de la Información para que sea aprobada por el Gobierno de La Rioja.
e) Proponer la aprobación de la normativa de seguridad de la información.
f) Promover la realización de las auditorías periódicas que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
g) Proponer planes de mejora de la seguridad de la información de la organización.
h) Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos de tecnologías de la información desde su especificación inicial hasta su puesta en operación y posterior mantenimiento, así como en la preservación de la información que sea requerida tras el cese en la utilización del mismo.
i) Divulgar la Política de Seguridad de la Información y normativas e instrucciones de seguridad de la información aprobadas.
Artículo 3.- Composición.
1. El Comité de Seguridad de la Información del Gobierno de La Rioja se compone de los siguientes miembros:
a) Presidente: El titular de la Dirección General competente en materia de tecnologías de la información y las comunicaciones.
b) Vocales: Un representante de cada una de las Consejerías y Organismos Públicos del Sector Público de la Comunidad Autónoma de La Rioja. Serán nombrados y cesados por los titulares de cada una de las Secretarías Generales Técnicas u órganos asimilables en los Organismos Públicos.
c) El Secretario será nombrado por el titular de la Dirección General competente en materia de tecnologías de la información y la comunicación entre personal de la misma Dirección General. En caso de vacante, ausencia o enfermedad, su suplente será designado del mismo modo por el mismo órgano.
2. A las sesiones del Comité podrán asistir en calidad de asesores, con voz pero sin voto, las personas que en cada caso proponga el Presidente.
Artículo 4.- Estructura y funcionamiento.
1. El Comité de Seguridad de la Información del Gobierno de La Rioja funcionará en Pleno que estará integrado por todos los miembros, asistidos por el Secretario.
2. El Comité se reunirá con carácter ordinario una vez al semestre y podrá reunirse con carácter extraordinario en alguno de los siguientes supuestos:
a) A instancia del Presidente.
b) Cuando aparezcan incidencias de seguridad graves o surjan nuevas necesidades de seguridad que requieran la participación de los componentes del Comité.
3. Para la válida constitución del Pleno del Comité a efectos de la celebración de sesiones, deliberaciones y toma de acuerdos, se requerirá, en primera convocatoria la presencia del secretario o, en su caso, de quien le sustituya, y de la mitad más uno de sus miembros, debiendo estar entre ellos el Presidente.
4. El Pleno adoptará sus acuerdos por mayoría de los miembros presentes con derecho a voto.
Artículo 5.- Normativa aplicable.
En lo no previsto en la presente Orden, el Comité de Seguridad de la Información del Gobierno de La Rioja se regirá en su funcionamiento por lo dispuesto en el Capítulo IV del Título I de la Ley 3/2003, de 3 de marzo, de Organización del Sector Público.
Disposición Final Única.- Entrada en vigor.
La presente Orden entrará en vigor el día siguiente de su publicación en el Boletín Oficial de La Rioja.
Logroño, a 9 de enero de 2014
Mª Concepción Arruga Segura, Consejera