Aprobación definitiva del reglamento del Comité de Seguridad de la Información
No habiéndose presentado reclamaciones contra los acuerdos adoptados por el Pleno de este Ayuntamiento en sesiones ordinarias de 30 de octubre y 27 de noviembre de 2023 de Aprobación Inicial de la modificación del Reglamento del Comité de Seguridad de la información del Ayuntamiento de Calahorra, publicado en el Boletín Oficial de La Rioja número 240 de 30 de noviembre de 2023, de conformidad con lo establecido en el artículo 49, de la Ley 7/1985, de 2 de abril reguladora de las Bases de Régimen Local, se eleva a definitivo dicho acuerdo, insertándose a continuación el texto íntegro del acuerdo y del Reglamento, en cumplimiento de lo preceptuado en el artículo 70.2 entrando en vigor una vez transcurrido el plazo previsto en el artículo 65.2 de la citada Ley 7/1985.
Contra dicho acuerdo podrá interponerse, de conformidad con los artículos 10 y 46 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, recurso contencioso-administrativo, ante el Tribunal Superior de Justicia de La Rioja, en el plazo de dos meses contados a partir del día siguiente al de la presente publicación en el Boletín Oficial de La Rioja, en la forma que establece la vigente Ley reguladora de dicha Jurisdicción.
Calahorra a 26 de enero de 2024.- La Alcaldesa-Presidenta, Mónica Mercedes Arceiz Martínez.
María Belén Revilla Grande, Secretaria General del Ayuntamiento de Calahorra (La Rioja), certifico que el Ayuntamiento Pleno, en sesión ordinaria celebrada en fecha 30 de octubre de 2023 (modificado con la corrección de errores del Pleno de 27 de noviembre de 2023) adoptó, entre otros, el siguiente acuerdo:
'2/2023/AY-OYR: Aprobación inicial de la modificación del artículo 6 del reglamento del comité de seguridad de la información del ayuntamiento de Calahorra
Visto el Real Decreto 311/2022 de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Visto que el Pleno del Ayuntamiento de Calahorra en sesión plenaria celebrada el 24 de mayo de 2023 aprobó la creación del Comité de Seguridad de la Información de Calahorra (CSIAC).
Visto que el Pleno del ayuntamiento de Calahorra en sesión plenaria celebrada el 24 de mayo de 2023 aprobó inicialmente el Reglamento del Comité de Seguridad de la Información de Calahorra (CSIAC). (Boletín Oficial de La Rioja número 111 de fecha 1 de junio de 2023), el cual en su punto 6.1 establece:
Artículo 6. Composición.
6.1 El CSIAC se compone de los siguientes miembros:
Presidente/a: Concejal delegado responsable de al área de Informatica o Tecnologías de la Información o Digitalización del Ayuntamiento de Calahorra.
Secretario/a: Funcionario del área de Informatica designado por la Alcaldía como responsable de Seguridad.
Vocales: Secretaria General, Técnico responsable de la Agenda Digital municipal y un funcionario del área de informática, distinto del que asume funciones de Secretario/a.
Considerando que en su composición se ha advertido una discrepancia entre la incluida en el acuerdo y la que figura en la Política de Seguridad de la información aprobada por la Alcaldía por Decreto el 17 de mayo de 2023, en cuyo apartado 7.1 se crean los roles o perfiles de seguridad, conforme se detalla:
Para garantizar el cumplimiento y la adaptación de las medidas exigidas reglamentariamente, se han creado roles o perfiles de seguridad y se han designado los cargos u órganos que los ocuparán, del siguiente modo:
Responsable de Información: Secretaria General.
Responsable de los Servicios: Concejal delegado responsable del área de Informática o Tecnologías de la Información o Digitalización del Ayuntamiento de Calahorra
Responsable de Seguridad: Técnico de Digitalización.
Responsable del Sistema: Coordinador de Informática.
Considerando que el Pleno, en sesión 25 de septiembre de 2023 acordó la modificación del punto 2 del Acuerdo de creación del Comité de Seguridad de la Información (CSIAC) de la siguiente forma:
2. Composición:
- Presidente/a: Responsable de los servicios
- Vocales: Responsable de Información, Responsable de Seguridad y Responsable del Sistema
- Secretario/a: Responsable de Seguridad
Considerando que se considera apropiado modificar el punto 6.1 del Reglamento del Comité de Seguridad de la Información de Calahorra (CSIAC), el cual detalla los miembros del Comité de Seguridad de la Información (CSIAC), para coordinarla con los roles o perfiles de seguridad creados en la Política de Seguridad, unificando las responsabilidades y garantizando el mejor funcionamiento, cumpliendo por tanto, las razones de eficiencia y eficacia que deben regir en la creación y funcionamiento de órganos municipales.
Visto que se ha solicitado informe previo preceptivo para la modificación del Reglamento del Comité de Seguridad de la Información de Calahorra (CSIAC) adscrito a la entidad local a la Secretaria de la Corporación, de conformidad con lo dispuesto en el art. 92 bis de la Ley 7/1985, de 2 de abril, de Bases del Régimen Local y de conformidad con lo dispuesto en el artículo 3.d.)1º del Real Decreto 128/2018, de 16 de marzo, por el que se regula el régimen jurídico de los funcionarios de administración local con habilitación de carácter nacional.
Visto el dictamen de la Comisión Informativa de Administración General, Participación Ciudadana, Transparencia y Administración Electrónica en sesión de fecha 24 de octubre de 2023.
El Pleno del Ayuntamiento por unanimidad de los veintiún miembros asistentes que de derecho y hecho integran la Corporación,
ACUERDA
Primero. Aprobar inicialmente la modificación del punto 6 del Reglamento del Comité de Seguridad de la Información de Calahorra (CSIAC) que quedará redactado como sigue:
'Artículo 6. Composición.
6.1 El CSIAC estará integrado por 4 miembros, un Presidente y tres vocales, uno de los cuales actuará como Vocal Secretario, cuyos perfiles y designaciones serán determinados por el Pleno de la Corporación o la Alcaldía, en el ámbito de sus respectivas competencias.'
Segundo. Someter el expediente a información pública, por un periodo de treinta días, mediante Edicto que ha de publicarse en el Tablón de Anuncios, en la Sección de Transparencia de la Web municipal y en el área de Secretaría, así como en el Boletín Oficial de La Rioja (con enlace a la publicación en la web municipal del texto del Reglamento), para que los vecinos e interesados legítimos puedan examinar el expediente y presentar observaciones, reclamaciones o reparos.
Tercero. Dar audiencia en el expediente por el mismo plazo, en el caso de que hubiera, a las asociaciones vecinales y de defensa de los consumidores y usuarios establecidos en el término municipal que estén inscritas en el registro correspondiente de asociaciones vecinales y cuyos fines guarden relación directa con el objeto de la disposición.
Cuarto. Si no se presentasen reclamaciones, se elevará sin más trámite a definitivo el acuerdo inicial, procediéndose a la publicación del texto íntegro del artículo modificado en el Boletín Oficial de La Rioja a efectos de su entrada en vigor, que tendrá lugar transcurridos 15 días desde la publicación del mismo.'
Reglamento del Comité de Seguridad de la Información
PREÁMBULO
Visto el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante, ENS) tenía por objeto determinar la política de seguridad en la utilización de medios electrónicos de las entidades de su ámbito de aplicación, estando constituido por los principios básicos y requisitos mínimos que han venido garantizando adecuadamente la seguridad de la información tratada y los servicios prestados por dichas entidades.
Visto que el ENS, cuyo ámbito de aplicación comprendía todas las entidades de las administraciones públicas, perseguía fundamentar la confianza en que los sistemas de información prestan sus servicios adecuadamente y custodian la información sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a personas no autorizadas, estableciendo medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, de forma que se facilite a los ciudadanos y a las administraciones públicas el ejercicio de sus derechos y el cumplimiento de sus obligaciones a través de medios electrónicos.
Visto que desde 2010 se han producido notables cambios en España y en la Unión Europea, incluidos la progresiva transformación digital de nuestra sociedad, el nuevo escenario de la ciberseguridad y el avance de las tecnologías de aplicación. Asimismo, se ha evidenciado que los sistemas de información están expuestos de forma cada vez más intensa a la materialización de amenazas del ciberespacio, advirtiéndose un notable incremento de los ciberataques, tanto en volumen y frecuencia como en sofisticación, con agentes y actores con mayores capacidades técnicas y operativas; amenazas que se producen en un contexto de alta dependencia de las tecnologías de la información y de las comunicaciones en nuestra sociedad y de gran interconexión de los sistemas de información. Todo ello afecta significativamente a un número cada vez mayor de entidades públicas y privadas, a sus cadenas de suministro, a los ciudadanos y, por ende, a la ciberseguridad nacional, lo que compromete el normal desenvolvimiento social y económico del país y el ejercicio de los derechos y libertades de los ciudadanos, como reconocen tanto la Estrategia de Ciberseguridad Nacional de 2013 como, particularmente, la Estrategia Nacional de Ciberseguridad 2019.
Visto que el Real Decreto 3/2010, de 8 de enero, establecía que el ENS debía desarrollarse y perfeccionarse manteniéndose actualizado de forma permanente conforme al progreso de los servicios de la administración electrónica, de la evolución de la tecnología, de los nuevos estándares internacionales sobre seguridad y auditoría, y la consolidación de las infraestructuras que le sirven de apoyo, llevando a cabo dicho desarrollo a través del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Visto que La Política de seguridad es un documento de alto nivel, mediante el cual la Entidad Local define su compromiso respecto a la seguridad de los servicios (trámites electrónicos) proporcionados a la ciudadanía y la información que estos gestionan.
Visto que el 17 de mayo de 2023 el Pleno del Ayuntamiento de Calahorra aprobó la creación del Comité de Seguridad de la Información de Calahorra (CSIAC), que para regular sus funciones, composición, y funcionamiento, se dota del siguiente reglamento, por el que se ha regir.
Visto que este Reglamento se ajusta a los principios de buena regulación recogidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas:
- En virtud de los principios de necesidad y eficacia, se justifica por su razón de interés general y basarse en una identificación clara de los fines perseguidos, dado que el Reglamento persigue regular la estructura organizativa para la gestión de la seguridad de la información, detallando las funciones y responsabilidades de los responsables de la Información, la Seguridad, el Servicio y los Sistemas, así como el Comité de Seguridad constituido al efecto, siendo el instrumento más adecuado para garantizar su consecución.
- Según el principio de proporcionalidad, contiene la regulación imprescindible para atender la necesidad a cubrir, regular el funcionamiento del Comité de Seguridad de la Información de Calahorra.
- Adecuación al principio de seguridad jurídica. Se cumple en tanto su materia, objetivos y contenido se encuadran en las competencias municipales.
- Conforme al principio de transparencia, la constitución del órgano será publicada en el Boletín Oficial de La Rioja y en el Portal de Transparencia del Ayuntamiento de Calahorra.
- Atendiendo al principio de eficiencia, esta normativa no implica cargas administrativas innecesarias, ni un mayor gasto de recursos públicos.
CAPÍTULO I
Naturaleza, objeto y régimen jurídico
Artículo 1. Naturaleza.
1.1 El Comité de Seguridad de la Información del Ayuntamiento de Calahorra (CSIAC) es un órgano colegiado con capacidad decisoria en la seguridad de la información de la entidad, sin personalidad jurídica propia.
1.2 Se integra en el ámbito de la Concejalía que asuma las funciones relativas al área de Informatica o Tecnologías de la Información o Digitalización del Ayuntamiento de Calahorra, integrándose en el organigrama de dicha concejalía bajo la dependencia administrativa del personal técnico adscrito al área.
Artículo 2. Objeto.
2.1 El CSIAC es un órgano asesor, de carácter consultivo sin facultades resolutorias, de forma que las propuestas que se deriven de sus intervenciones, tendrán carácter no vinculante y serán resueltas por los órganos municipales con respeto al principio de competencia.
2.2 Para ello, se establecen los siguientes objetivos generales en materia de seguridad de la información:
- Contribuir desde la gestión de la seguridad al cumplimiento de la misión y objetivos establecidos por el Ayuntamiento de Calahorra.
- Disponer de las medidas de control necesarias para garantizar el cumplimiento de los requisitos legales que sean de aplicación como consecuencia de la actividad desarrollada, especialmente en lo relativo a la protección de datos de carácter personal y a la prestación de servicios a través de medios electrónicos o telemáticos.
- Asegurar la accesibilidad, confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información.
- Asegurar la prestación continuada de los servicios, tanto de forma preventiva como de forma reactiva ante los incidentes de seguridad.
- Proteger los activos de información del Ayuntamiento de Calahorra y la tecnología que los soporta frente a cualquier amenaza, intencionada o accidental, interna o externa, con el fin de asegurar la confidencialidad, integridad y disponibilidad de los mismos.
Artículo 3. Régimen jurídico.
El CSIAC se regirá en su funcionamiento y actuación por el presente Reglamento de acuerdo, en todo caso, con lo dispuesto en la regulación complementaria perteneciente al ámbito municipal y al Real Decreto 311/2022 de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
CAPÍTULO II
Ámbito de actuación y funciones
Artículo 4. Ámbito de actuación.
El CSIAC conocerá cuantas cuestiones afecten a los Sistemas de Información y Seguridad de la Información y a sus variables relacionadas en el Ayuntamiento de Calahorra, así como a las necesidades generadas por éstas relacionadas con el ejercicio de derechos por medios electrónicos, con el cumplimiento de deberes por medios electrónicos o con el acceso a la información o al procedimiento administrativo y que se encuentran dentro del ámbito de aplicación del Esquema Nacional de Seguridad (ENS).
Artículo 5. Funciones y Competencias.
5.1 Al CSIAC le corresponden funciones de asesoramiento, consultoría y propuesta en materia de seguridad de la información.
5.2 En particular le corresponde:
a) Informar regularmente del estado de la seguridad de la información al Ayuntamiento de Calahorra.
b) Promover la mejora continua del sistema de gestión de la seguridad de la información.
c) Coordinar los esfuerzos de las diferentes áreas en materia de seguridad de la información, evitando duplicidades.
d) Elaborar y revisar regularmente la Política y Organización de la Seguridad de la Información, para que sea aprobada por el Ayuntamiento de Calahorra.
e) Proponer la aprobación de la normativa de seguridad de la información.
f) Promover la realización de las auditorías periódicas, que permitan verificar el cumplimiento de las obligaciones del organismo en materia de seguridad.
g) Proponer planes de mejora de la seguridad de la información de la organización.
h) Velar porque la seguridad de la información se tenga en cuenta en todos los proyectos de tecnologías de la información, desde su especificación inicial hasta su puesta en operación y posterior mantenimiento, así como en la preservación de la información, que sea requerida tras el cese en la utilización del mismo.
i) Divulgar la Política de Seguridad de la Información y normativas e instrucciones de seguridad de la información aprobadas.
5.3 El Ayuntamiento de Calahorra facilitará al CSIAC necesaria para garantizar el cumplimiento de las funciones encomendadas.
5.4 Todas las funciones encomendadas se atribuyen sin menoscabo de las que correspondan a otros órganos legalmente establecidos.
5.5 El CSIAC, ajustará su funcionamiento a las previsiones relativas a los órganos colegiados contenidas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
CAPÍTULO III
Composición
Artículo 6. Composición.
6.1 El CSIAC estará integrado por 4 miembros, un Presidente y tres vocales, uno de los cuales actuará como Vocal Secretario, cuyos perfiles y designaciones serán determinados por el Pleno de la Corporación o la Alcaldía, en el ámbito de sus respectivas competencias.
6.2 La participación en este órgano y las asistencias no serán remuneradas en ningún caso.
CAPÍTULO IV
Funcionamiento
Artículo 7. Funcionamiento.
Su funcionamiento será coincidente con las normas de funcionamiento de los órganos colegiados de las Administraciones públicas según se establece en los artículo 15 a 18 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Artículo 8. Periodicidad de las sesiones.
8.1 El CSIAC reunirá, con carácter ordinario, una vez al semestre y podrá reunirse con carácter extraordinario en alguno de los siguientes supuestos:
a) A instancia del Presidente.
b) Cuando aparezcan incidencias de seguridad graves o surjan nuevas necesidades de seguridad, que requieran la participación de los componentes del Comité.
Disposición final.
Las personas integrantes del Consejo deberán apoyar y participar del cumplimiento de lo dispuesto en este reglamento, facilitando su funcionamiento y realizando el seguimiento y estudio de los asuntos y propuestas objeto de trabajo.
El presente Reglamento entrará en vigor cuando se haya publicado íntegramente su texto en el Boletín Oficial de La Rioja y haya transcurrido el plazo expresado en el artículo 70.2 de la Ley 7/1985 del 2 de abril, Reguladora de Bases del Régimen Local.
