saltar ao contido

Actas do Comité de Seguridade

Acta do 16 de febreiro de 2024

  • Aprobación da acta do 17/01/2024
  • Infórmase sobre os resultados da auditoría de certificación e os seguintes pasos a realizar para a obtención do certificado de conformidade.
  • Aprobación da seguinte normativa:
    • Política de seguridade: inclusión de referencias aos artigos 5 e 11 do Real Decreto 311/2022. Logo da aprobación enviarase ao Presidente do Parlamento para a súa aprobación e publicarase no BOPG e na páxina web do Parlamento de Galicia.
    • Marco normativo: incorpóranse as referencias ás instrucións técnicas “Resolución de 27 de marzo de 2018, da Secretaría de Estado de Función Pública, pola que se aproba a Instrución Técnica de Seguridade de Auditoría de Seguridade dos Sistemas de Información" e “Resolución de 13 de abril de 2018, da Secretaría de Estado de Función Pública, pola que se aproba a Instrución Técnica de Seguridade de Notificación de Incidentes de Seguridade", que non figuraban dentro do marco normativo.
    • Declaración de aplicabilidade: actualízase a declaración de aplicabilidade con 3 medidas compensatorias referentes ás medidas [op.nub.1] productos en la nube, [mp.if.2] identificación de las personas e [mp.com.3] protección de la integridad y de la autenticidad.
    • Procedemento de contratación e ANS: aprobase este novo procedemento para cubrir a medida [op.pl.3] Adquisición de nuevos componentes.
  • Rogos e preguntas.​

Acta do 17 de xaneiro de 2024

  • Aprobación da acta do 09/11/2023
  • Aprobación do plan de adecuación e o plan de mellora para 2024. Infórmase da realización da auditoría de certificación no mes de febrero.
  • Rogos e preguntas.

Acta do 9 de novembro de 2023

  • Aprobación da acta do 26/09/2023
  • Actualización e aprobación de normativa:
    • Política de seguridade (extraer a normativa aplicable a un arquivo externo, para non ter que modificar a política por cambios normativos)
    • Funcións de seguridade (actualizacións de referencias a artigos do novo Real Decreto 311/2022)
    • Declaración de aplicabilidade (actualización anual de 2023)
    • Análise de riscos (actualización anual de 2023)
  • Rogos e preguntas.

Acta do 26 de setembro de 2023

  • Aprobación da acta do 13/06/2023
  • Actualización e aprobación de normativa:
    • Actualización de Funcións de seguridade da información: inclúese a referencia ao Anexo de funcións e responsabilidades de seguridade
    • Aprobación do Anexo de funcións e responsabilidades de seguridade
  • Rogos e preguntas.

Acta do 13 de xuño de 2023

  • Aprobación da acta do 09/05/2023
  • Actualización e aprobación de normativa:
    • Normativa de arquitectura de seguridade
    • Instrucción técnica de instalación e bastionado
      • ​Actualización dos valores requiridos para o bastionado de servidores
    • Instrucción técnica de desenvolvemento seguro de aplicacións
      • ​Actualización das directrices de seguranza do procedemento xeral
    • Instrución técnica de protección de servizos e aplicacións web
      • ​​​​Actualización das medidas de protección das aplicacións
  • Rogos e preguntas.​

Acta do 9 de maio de 2023

  • Aprobación da acta do 25/04/2023
  • Actualización e aprobación de normativa:
    • Normativa de clasificación de información
    • Procedemento de rexistro de E/S de equipamento
    • ​​Procedemento de autorización e xestión do cambio
    • Instrución técnica de antivirus
  • Rogos e preguntas.

Acta 25 de abril de 2023

  • Aprobación da acta do 13/02/2023
  • Aprobación da análise de riscos dos sistemas de información do Parlamento de Galicia, cun risco potencial de 4,5, un risco actual de 1,3 e un risco planificado de 0,97.
  • Aprobación do plan de adecuación e o plan de mellora, coas diferentes actuacións, a súa planificación e os recursos adicados para alcanzar o nivel de risco planificado.
  • Actualización e aprobación de normativa:
    • ​​​Procedemento de Xestión de soportes: actualización de directrices no procedemento xeral
    • Procedemento de Xestión de activos: actualización de directrices de seguranza
    • Procedemento de Xestión de vulnerabilidades: revisión e actualización de directrices de seguranza
  •  Composicion do Comité de seguridade e nomeamentos
    • Nomeamento de Marrosa Buceta López como xefa de servizo de SAP
  • ​ Rogos e preguntas.​

Acta 13 de febreiro de 2023

  • Aprobación da acta do 22 de novembro de 2022
  • ​Actualización da política de seguridade (Pto 4 novo marco normativo: Real Decreto 311/2022, de 3 de maio, polo que se regula o Esquema Nacional de Seguridade.)
  •  Cambio no Procedemento de política de backup (Pto 41. ... O sistema utilizado é o software Veeam Backup, unha libraría de cintas de backup e unha solución de almacenamento na nube (Wasabi).)
  • Cambio no procedemento de limpeza de documentos (Pto 45. Non  en tanto, ao realizar un envío por correo electrónico realízase a limpeza de metadatos dos arquivos adxuntos a través da ferramenta Metaclean, implantada no Parlamento de Galicia. Esta ferramenta tamén permite realizar unha limpeza manual de metadatos mediante a selección dun arquivo, facendo clic co botón dereito sobre devandito arquivo e seleccionando a opción “Limpar Metadatos". Esta limpeza manual permite crear un novo arquivo limpo de metadatos ou sobrescribir o ficheiro existente.)
  • Procedemento de borrado e destrución (Novo procedemento de borrado de dispositivos ca ferramenta Olvido do CCN-CERT)
  • ​Actualización da normativa NOR.STI.0006.INT-1.2_Normativa_ Acceso_remoto-gl (actualizado o punto 2.5 Accesos remotos de terceiros.
    • No acceso a terceiros por parte da empresa estará obrigada á sinatura das cláusulas de protección de datos como anexo do contrato, no caso de ter acceso a datos de carácter persoal. Así mesmo, de ser necesario asinará autorización de acceso con compromiso explícito de cumprimento da normativa de ENS do PG segundo o modelo de acceso de terceiros PLT.STI.0005-04_Registro_Aceptación_Normas.)

Acta 21 de novembro de 2022

  • Aprobación da acta do 6/2/2020
  • Actualización e aprobación de normativa:
    • ​Aprobación de modificacións do Procedemento de xestión de incidentes de seguridade
    • ​Aprobación do análise de impacto de negocio (BIA)
    • ​Aprobación de modificacións do Procedemento de desenvolvemento software
  • ​​Información respecto ao curso de ciberseguridade dispoñible a través da plataforma de formación do Parlamento de Galicia.

Acta 6 de febreiro de 2020

  • ​Aprobación da acta do 14/11/2019
  • Presentación de análise GAP do sistema de información de Páxina web e sede electrónica.
  • Actualización e aprobación de normativa:
    • Aprobación de modificacións do Procedemento de acceso ao CPD
    • Anexo de Entrega de Contrasinal
    • Aprobación de Procedemento de retirada de equipos e software
    • Aprobación de Procedemento de desenvolvemento software
    • Aprobación de modificacións de Procedemento de control de accesos (en concreto, novo anexo Relación de administradores)
    • Exemplo de categorización de sistema (Páxina web e sede electrónica)
  • Instarase ao departamento de Persoal e Réxime Interior para realizar a contratación de servizos de seguridade.

Acta 14 de novembro de 2019

  • Aprobación da acta do 28/02/2019.
  • Actualización e aprobación de normativa:
    • Normativa de acceso remoto
  • Aprobación da seguinte normativa:
    • PPRD.STI.0011.INT-1.0_Procedimiento control acceso CPD
  • Infórmase sobre a realización de análise GAP de cara á obtención de certificación ENS do sistema de información da páxina web e a sede electrónica.
  • Infórmase sobre a próxima licitación de concurso público para realizar auditoría de seguridade.

Acta 28 de febreiro de 2019

  • Aprobación da acta do 10/12/2018
  • Debátese sobre o rexistro de actividades de tratamento e a elaboración de nota informativa para distribuír entre o persoal que realiza actividades de tratamento.
  • Actualización e aprobación de normativa:
    • Política de seguridade do Parlamento de Galicia
    • Normas de creación e uso de contrasinais
  • Aprobación da seguinte normativa:
    • PRD.STI.0008.INT-1.1 Procedemento de Rexistro de E/S de equipamento
    • PRD.STI.0009.INT-1.1 Procedemento de Limpeza de Documentos
    • PRD.STI.00010.INT-1.1_Procedemento de mantemento de xestión de vulnerabilidades
    • ITC.STI.0003.INT-1.0 Protección de servizos e aplicacións web
    • ITC.STI.0004.INT-1.1 Antivirus
  • Infórmase sobre a próxima licitación de concurso público para realizar auditoría de seguridade.

Acta 10 de decembro de 2018

  • Aprobación da acta do 20/09/2018
  • Aprobación da seguinte normativa:
    • PRD.STI.0005.INT-1.1 Procedemento de Xestión de Soportes
    • PRD.STI.0006.INT-1.1 Procedemento de Xestión de Activos
    • PRD.STI.0007.INT-1.1_Procedemento Xestión Incidencias de Seguridade
    • ITC.STI.0001.INT-1.1 Desenvolvemento Seguro de aplicacións
    • ITC.STI.0002.INT-1.1 Instruccion Tecnica de Instalacion e Bastionado
  • Infórmase sobre a participación do persoal na xornada de formación presencial realizada o 15 de outubro por un experto en ciberseguridade.
  • Achegarase para revisión e futura aprobación:
    • PRD.STI.0008.INT-1.1 Procedemento de Rexistro de E-S de equipamento
    • PRD.STI.0009.INT-1.1 Procedemento de Limpeza de Documentos
    • PRD.STI.0010.INT-1.1 Procedemento de Mantemento e Xestión de Vulnerabilidades

Acta 20 de setembro de 2018

  • Aprobación da acta do 22/03/2018
  • Aprobación da seguinte normativa:
    • PRD.STI.0002.INT-1.4_Procedimiento Copias de Respaldo (Procedemento de realización e recuperación de copias de seguridade)
    • PRD.STI.0003.INT-1.2 Proc. de Autorizacion y Gestion del Cambio (Procedemento de autorización e xestión do cambio)
    • PRD.STI.0004.INT-1.2 Procedimiento de Control de Accesos (Procedemento de identificación, autenticación e xestión de dereitos dos usuarios)
  • Avaliaranse solucións para arquivado definitivo de información
  • Determínase a necesidade de firmar dixitalmente o BOPG e o DSPG
  • Retómase a estimación económica para contratar formación para os usuarios co obxecto de chegar a explicar medidas concretas asociadas coas normas e os procedementos. Preséntase o índice de unidades didácticas. Infórmase da posiblidade de realizar unha formación básica gratuíta dunha duración de 2 horas para todos os usuarios
  • Achegarase para revisión e futura aprobación:
    • PRD.STI.0005.INT-1.1 Procedimiento de Gestión de Soportes
    • PRD.STI.0006.INT-1.1 Procedimiento de Gestion de Activos
    • PRD.STI.0007.INT-1.1_Procedimiento Gestion Incidencias de Seguridad
    • ITC.STI.0001.INT-1.1 Desarrollo Seguro de aplicaciones
    • ITC.STI.0002.INT-1.1 Instruccion Tecnica de Instalacion y Bastionado

Acta 22 de marzo de 2018

  • Aprobación da acta do 23/02/2018
  • Aprobación da seguinte normativa:
    • NOR.SAP.0001.INT-1.3_Norma_gestion_documentacion (Norma para a xestión da documentación)
    • Aprobación de actualización dos puntos 6.4 Normas para o uso de portátiles e 18 Posto de traballo desatendido da norma NOR.STI.0001.INT.1.2_Norma_Utilizacion_Recursos_SI (Norma de utilización dos sistemas de información)
    • NOR.STI.0006-1.1_Normativa_ Acceso_remoto (Norma de acceso remoto) e a plantilla que debe encher un terceiro para o acceso remoto ao Parlamento (PLT.STI.000x-04_Registro_Aceptación_Normas)
    • PRD.STI.0001.INT-1.1_Funciones de Seguridad de la Informacion (procedemento de funcións de seguridade) que desenvolve o definido na Política de Seguridade
  • Preséntase a estimación económica para contratar formación para os usuarios co obxecto de chegar a explicar medidas concretas asociadas coas normas e os procedementos. Acórdase elaborar un índice de unidades didácticas e en base a estas seguir avaliando o modo de implementar a mesma (presencial ou teleformación)
  • Achegarase para revisión e futura aprobación:
    • PRD.STI.0002.INT-1.3_Procedimiento Copias de Respaldo
    • PRD.STI.0003.INT-1.2 Proc. de Autorizacion y Gestion del Cambio
    • PRD.STI.0004.INT-1.1 Procedimiento de Control de Accesos

Acta 23 de febreiro de 2018

  • Aprobación da acta do 27/11/2017
  • Apróbase o Documento de Declaración de Aplicabilidade e o Plan de Mellora.
  • Acórdase realizar a revisión e aprobación, en próximas reunións, por parte do Comité de Seguridade, dos diferentes procedementos que se elaboraron no marco do plan de mellora da seguridade, comezando pola Norma de Xestión da Documentación, a actualización da Norma de Utilización dos Recursos e Sistemas de Información do Parlamento de Galicia e a Norma de Acceso Remoto e o procedemento de Funcións de Seguridade da Información.
  • Acórdase contratar formación para os usuarios co obxecto de chegar a explicar medidas concretas asociadas coas normas e os procedementos.

Acta 27 de novembro de 2017

  • Aprobación da acta do 15/12/2016
  • Apróbase a actualización da Política de Seguridade do Parlamento de Galicia, coa inclusión das modificacións sinaladas na reunión. Acórdase a súa remisión á Mesa do Parlamento para a súa aprobación e a posterior publicación na páxina web do Parlamento de Galicia; acórdase realizar o nomeamento dos responsables de seguridade e dos sistemas. Recordarase a todos os usuarios dos sistemas da información a actualización da Política de Seguridade.
  • Acórdase realizar a revisión e aprobación, nunha próxima reunión, por parte do Comité de Seguridade dos diferentes entregables relativos á auditoría de seguridade realizada no ámbito do ENS.
  • Acórdase comezar a implantar as medidas precisas para a adaptación ao RGPD.
  • Infórmase dos diferentes procedementos que se elaborarán no marco do plan de mellora da seguridade e que deberán ser aprobados polo Comité de Seguridade.
  • Infórmase das tarefas de concienciación e sensibilización a realizar ao longo do ano 2018.

Acta 15 de decembro de 2016

  • Aprobación da acta do 27/10/2016
  • Apróbase a actualización da Política de Seguridade do Parlamento de Galicia. Acórdase a súa remisión á Mesa do Parlamento para a súa aprobación e a posterior publicación na páxina web do Parlamento de Galicia

Acta 27 de outubro de 2016

  • Aprobación da acta do 30/06/2016
  • Apróbanse os documentos 030 - NORMAS PARA TRABALLAR FÓRA DAS INSTALACIÓNS DO PARLAMENTO DE GALICIA e 040 - NORMAS DE CREACIÓN E USO DE CONTRASINAIS. Acórdase a súa publicación na intranet do Parlamento.
  • Realizarase un envío a todo o persoal notificando a aprobación dos documentos anteriores.
  • Iniciarase a tramitación dun procedemento de contratación para a realización dunha auditoría de seguridade e protección de datos, a implantación dun sistema de xestión de información de seguridade e a obtención da declaración de conformidade do ENS.

Acta 30 de xuño de 2016

  • Aprobación da acta da sesión anterior
  • Aprobación dos documentos 010 - NORMAS DE ACCESO A INTERNET e 020 - NORMAS DE USO DEL CORREO ELECTRÓNICO (E-MAIL) e notificación aos usuarios dos sistemas da información
  • Inclusión dunha sección no portal de transparencia para darlle publicidade ás actuacións e decisións do Comité de Seguridade
  • Inclusión dun texto de aceptación implícita da normativa ao iniciar sesión
  • Revisión dos documentos 030 - NORMAS PARA TRABALLAR FÓRA DAS INSTALACIÓNS DO PARLAMENTO DE GALICIA e 040 - NORMAS DE CREACIÓN E USO DE CONTRASINAIS para a próxima reunión

Acta 1 de abril de 2016

  • Aprobación da acta da sesión anterior
  • Notificación aos usuarios da aprobación do Documento de Seguridade e a Normativa Xeral de uso dos Sistemas de Información do Parlamento de Galicia
  • Inicio da tramitación dun procedemento de contratación para a realización dunha auditoría de seguridade e protección de datos, a implantación dun sistema de xestión de información de seguridade e a obtención da declaración de conformidade do Esquema Nacional de Seguridade
  • Revisión dos documentos 010 - NORMAS DE ACCESO A INTERNET e 020 - NORMAS DE USO DEL CORREO ELECTRÓNICO (E-MAIL)

Acta 14 de marzo de 2016

  • Aprobación da acta da anterior reunión
  • Realización de modificación de arquivos protexidos pola LOPD
  • Notificación ao persoal da obriga de coñecemento e cumprimento do Documento de Seguridade
  • Aprobación da Normativa Xeral de Utilización dos recursos e sistemas de información do Parlamento de Galicia, publicación na Intranet do Parlamento e difusión entre os usuarios
  • Ampliación da capacidade de almacenamento dos arquivos de videovixilancia ata o máximo legal permitido
  • Acórdase a conveniencia de recordarlles periodicamente aos usuarios as mellores prácticas de emprego dos sistemas de información
  • Acórdase a implantación de medidas para tratar de reducir o emprego de dispositivos USB de almacenamento

Acta 16 de xuño de 2014

  • Aprobación da acta da sesión anterior
  • Incorporación de achegas ao Documento de Seguridade
  • Acordo de notificación das medidas a realizar á Xunta de Persoal do Parlamento de Galicia

Acta 12 de xuño de 2014

  • Constitución do Comité de Seguridade
  • Entrega do Documento de Seguridade para a súa revisión
saltar ao pe de páxina