BOC - 2014/30. Jueves 13 de Febrero de 2014 - 567
III. Otras Resoluciones
Consejería de Sanidad
567 - Servicio Canario de la Salud.- Resolución de 5 de febrero de 2014, de la Directora, por la que se aprueba la Política de Seguridad de la Información.
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, contempla entre sus fines crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y en especial los relacionados con la intimidad y la protección de datos de carácter personal. Para ello indica que es preciso garantizar la seguridad de los sistemas de información y comunicaciones, y de los datos y servicios por ellos manejados.
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica, persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas.
El ENS establece el marco regulatorio de la Política de Seguridad de la Información (PSI), que se plasma en un documento, accesible y comprensible para todos los miembros, que define lo que significa seguridad de la información en una organización determinada y que rige la forma en que una organización gestiona y protege la información y los servicios que considera críticos.
En el ámbito de la Comunidad Autónoma de Canarias el Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias, garantiza, en el marco de los principios y derechos reconocidos en la Ley 11/2007, de 22 de junio, la igualdad, autenticidad, integridad, disponibilidad, accesibilidad, confidencialidad y conservación de la información y de los documentos electrónicos, así como la protección de datos de carácter personal. A tal fin prevé en su Disposición Adicional Cuarta la aprobación de la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos.
El Servicio Canario de la Salud ya disponía de una Política de Seguridad que pasa ahora a formar parte de un segundo nivel normativo y que queda sustituida por la presente PSI, más adecuada a lo detallado en el ENS. Esta Política y la anterior responden al compromiso del Servicio Canario de la Salud con la seguridad de los sistemas de la información. Conforme al ENS, se incluyen la misión de la organización, el marco legal y regulatorio en que desarrolla sus actividades, los roles o funciones de seguridad, la estructura del comité para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad, sus miembros y su relación con otros elementos de la organización, y las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.
La PSI incluida en esta Resolución es compatible con lo establecido en el Documento de Seguridad que exige el artículo 88 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, en lo que corresponda, prevaleciendo lo relativo a la protección de datos de carácter personal en caso de discrepancias.
El SCS es una organización compleja que se organiza en dos estructuras paralelas de orden funcional: órganos centrales -Dirección del Servicio, Secretaría General y direcciones generales- y territoriales -gerencias de Atención Primaria y de Servicios Sanitarios, direcciones gerencias hospitalarias y direcciones de área- que se reparten las responsabilidades según lo recogido en el Decreto 32/1995, de 24 de febrero, por el que se aprueba el Reglamento de Organización y Funcionamiento del Servicio Canario de la Salud.
Asimismo, existen funciones que, precisamente debido a esa estructura organizativa, aparecen compartidas entre las diferentes Unidades. Trasladar esta complejidad a la organización de la seguridad es un reto que se resuelve con grandes beneficios para la seguridad de la información.
Para la elaboración de esta PSI han sido referencia y se han tenido en cuenta la Orden de 31 de julio de 2013, de la Consejería de Presidencia, Justicia e Igualdad, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias, así como las guías CCN-STIC 001, 201, 402, 801 y 805 elaboradas por el Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI), que establecen las pautas de carácter general relativas a la organización de seguridad y sus responsables, así como sobre la estructura y contenido mínimo de la PSI.
Por cuanto antecede, visto el informe del órgano competente en materia de tecnologías de la información y la comunicación y en el ejercicio de las competencias que me atribuye el artículo 60 de la Ley 11/1994, de 26 de julio, de Ordenación Sanitaria de Canarias y el artº. 9.2 del Decreto 32/1995, de 24 de febrero, por el que se aprueba el Reglamento de Organización y Funcionamiento del Servicio Canario de la Salud,
R E S U E L V O:
Primero.- Aprobar la Política de Seguridad de la Información del Servicio Canario de la Salud que se incorpora como Anexo 1º de esta resolución.
Esta política se desarrolla de acuerdo a los principios recogidos en el Esquema Nacional de Seguridad y en el artículo 5 de la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.
Segundo.- La política de Seguridad aprobada se aplicará a todos los servicios, aplicaciones o sistemas del Servicio Canario de la Salud, por los órganos y unidades centrales y territoriales de este organismo y por todo el personal destinado en dichos órganos y unidades, así como por el personal de otros organismos o entidades que haya sido autorizado para acceder a los sistemas de información incluidos en su ámbito de aplicación.
Tercero.- A los efectos previstos en esta Resolución, las definiciones han de ser entendidas en el sentido indicado en el Glosario de términos incluido en el Anexo 2º.
Cuarto.- La aplicación de esta Resolución no conllevará incremento del gasto público, atendiéndose el desarrollo normativo y la estructura organizativa contemplados en la Política de Seguridad de la Información con los recursos humanos y materiales disponibles.
Quinto.- En tanto no se publiquen las normas o procedimientos específicos previstos en esta Política de Seguridad de la Información, mantendrán su vigencia las normas o procedimientos en materia de seguridad de la información establecidos en el Servicio Canario de la Salud.
Sexto.- Ordenar la publicación de esta resolución en el Boletín Oficial de Canarias de conformidad con lo dispuesto en el artº. 2.2 de la Orden de 31 de julio de 2013, de la Consejería de Presidencia, Justicia e Igualdad, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias. También se publicará en la sede electrónica de este organismo.
Séptimo.- La Secretaría General adoptará las medidas necesarias para mantener actualizado un listado en que se identifiquen las distintas informaciones y servicios y sus responsables, así como a los distintos responsables del sistema. Este listado se hará público, junto con la PSI, en la Sede Electrónica del Servicio Canario de la Salud.
Santa Cruz de Tenerife, a 5 de febrero de 2014.- La Directora, Juana María Reyes Melián.
A N E X O 1º
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL SERVICIO CANARIO DE LA SALUD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA.
1. Misión de la organización.
El Servicio Canario de la Salud es un organismo autónomo de carácter administrativo creado por la Ley 11/1994, de 26 de julio, de Ordenación Sanitaria de Canarias, para el desarrollo de las competencias de la Comunidad Autónoma de Canarias en materia de promoción y protección de la salud, de prevención de la enfermedad, así como de la gestión y administración de los centros, servicios y establecimientos sanitarios integrados o adscritos funcionalmente al propio Servicio.
2. Marco normativo y documentación de seguridad del sistema.
2.1. El marco normativo en que se desarrolla la actividad del Servicio Canario de la Salud está configurado, con carácter específico, por aquellas normas que tienen la consideración de bases de la Sanidad, la normativa de desarrollo dictada por la Comunidad Autónoma de Canarias, entre las que debe hacerse especial referencia a la Ley 11/1994, de 26 de julio, de Ordenación Sanitaria de Canarias y el Decreto 32/1995, de 24 de febrero, por el que se aprueba el Reglamento de Organización y Funcionamiento del Servicio Canario de la Salud, y la normativa en vigor, estatal y autonómica, sobre Administración Electrónica y protección de datos de carácter personal.
Con carácter general, siendo un organismo autónomo de carácter administrativo, su actividad se rige por las normas de Derecho Administrativo que en cada caso sean aplicables.
2.2. También formará parte del marco normativo, y será de obligado cumplimiento, el cuerpo normativo sobre seguridad de la información.
Este cuerpo normativo se desarrollará en tres niveles, según el ámbito de aplicación y nivel de detalle técnico, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:
a) Primer nivel normativo: Política de Seguridad de la Información (PSI, constituida por la presente Resolución) y directrices y normas de seguridad generales para todo el Servicio Canario de la Salud.
b) Segundo nivel normativo: Políticas Específicas de Seguridad de la Información y Normas de Seguridad TIC (Normas STIC). Las Políticas Específicas desarrollan con un mayor grado de detalle la PSI dentro del Servicio Canario de la Salud. Las Normas dan respuesta, sin entrar en detalles de implementación ni tecnológicos, a qué se puede hacer y qué no con relación a un cierto tema desde el punto de vista de la seguridad: qué se considera un uso apropiado o inapropiado, las consecuencias derivadas del incumplimiento, etc.
La elaboración de los documentos relativos a este segundo nivel normativo la propone al Comité de Seguridad de la Información el responsable de Seguridad, y los aprueba la persona titular de la Dirección del Servicio Canario de la Salud.
c) Tercer nivel normativo: Procesos y Procedimientos STIC e Instrucciones Técnicas STIC. Son documentos que dan respuesta, incluyendo detalles de implementación y tecnológicos, a cómo se puede realizar una determinada tarea respetando los principios de seguridad de la organización, y los procesos internos en ella establecidos. Serán aprobados por el Responsable de Seguridad.
2.3. Aparte de los documentos citados en los apartados anteriores, la documentación de seguridad del sistema podrá contar, bajo criterio del Responsable de Seguridad, con otros documentos de carácter no vinculante: recomendaciones, buenas prácticas, informes, registros, evidencias electrónicas, etc.
2.4. Cada Responsable de Seguridad será responsable dentro de su ámbito de actuación de mantener la documentación de seguridad actualizada y organizada, y de gestionar los mecanismos de acceso a la misma.
2.5. El Comité de Seguridad de la Información del Servicio Canario de la Salud establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo normativo con el propósito de normalizarlo, en la medida de lo posible, en todo el ámbito de aplicación de la PSI.
3. Estructura organizativa de la PSI.
La estructura organizativa de la gestión de la seguridad de la información en el ámbito de la Administración Electrónica del Servicio Canario de la Salud está compuesta por los siguientes agentes:
a) El Comité de Seguridad de la Información del Servicio Canario de la Salud.
b) Los Responsables de la Información.
c) Los Responsables del Servicio.
d) Los Responsables de Seguridad.
e) Los Responsables del Sistema.
4. El Comité de Seguridad de la Información.
El Comité de Seguridad de la Información del Servicio Canario de la Salud fue creado como comisión de trabajo adscrita a la Secretaría General del Servicio Canario de la Salud, por Orden de la Consejería de Sanidad, de 20 de abril de 2010, a la que deberá ajustarse su composición y funcionamiento.
5. Los Responsables de la Información.
El Responsable de la Información es la persona que establece las necesidades de seguridad de la información que se maneja y efectúa las valoraciones del impacto que tendría un incidente que afectara a su seguridad. Tiene, además, la potestad de modificar el nivel de seguridad requerido para la misma.
En el ámbito del Servicio Canario de la Salud, el Responsable de la Información es el titular del órgano administrativo, central o territorial, que gestiona cada procedimiento o trámite, acumulando una misma persona la responsabilidad de la información de todos los procedimientos que gestione.
Son funciones de cada Responsable de Información, dentro de su ámbito de actuación, las siguientes:
a) Determinar los niveles de seguridad de la información tratada, valorando los impactos de los incidentes que afecten a la seguridad de la información.
b) Son los responsables, junto a los Responsables del Servicio, de aceptar los riesgos residuales calculados en el análisis de riesgos, y de realizar su seguimiento y control.
Para llevarlas a cabo podrá requerir la colaboración del responsable de seguridad.
El Responsable de la Información deberá designar, de entre el personal técnico, una persona de contacto para cuanto afecte a las funciones atribuidas. La designación no implicará en ningún caso delegación de responsabilidad.
6. Los Responsables del Servicio.
El Responsable del Servicio es la persona que determina los requisitos de seguridad de los servicios prestados.
Esta responsabilidad recaerá en el titular del órgano administrativo responsable de gestionar cada servicio electrónico.
Respecto al proceso de gestión del riesgo, los Responsables del Servicio son los encargados, junto a los Responsables de la Información, de aceptar los riesgos residuales calculados en el análisis, y de realizar su seguimiento y control.
Para la realización de sus funciones podrá contar con la colaboración del responsable de seguridad.
El Responsable del Servicio deberá designar, de entre el personal técnico, una persona de contacto para cuanto afecte a las funciones atribuidas. La designación no implicará en ningún caso delegación de responsabilidad.
7. El Responsables de Seguridad y los Responsables de Seguridad Delegados.
7.1. El Responsable de Seguridad es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
Esta responsabilidad recaerá en la persona titular de la Secretaría General del Servicio Canario de la Salud.
En aquellos sistemas en que la persona titular de la Secretaría General sea responsable del servicio electrónico prestado, será Responsable de Seguridad la persona titular de la Dirección General de Programas Asistenciales.
7.2. Debido a la complejidad, distribución, separación física de sus elementos y al elevado número de usuarios de los sistemas de información del Servicio Canario de la Salud, el Responsable de Seguridad podrá designar los responsables de seguridad delegados que considere necesarios, que tendrán dependencia funcional directa de aquel y serán responsables en su ámbito de todas aquellas acciones que se les deleguen.
7.3. Serán funciones de cada Responsable de Seguridad, dentro de su ámbito de actuación, las siguientes:
a) Promover la seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.
b) Proponer, en su caso, al Comité de Seguridad de la Información, la elaboración de la normativa de seguridad de segundo nivel.
c) Aprobar la normativa de seguridad de tercer nivel.
d) Encargarse de que la documentación de seguridad se mantenga organizada y actualizada, y de gestionar los mecanismos de acceso a la misma.
e) Promover las actividades de concienciación y formación en materia de seguridad en su ámbito de responsabilidad, siguiendo las directrices marcadas por el Comité.
f) Realizar la coordinación y seguimiento de la implantación de los proyectos de adecuación al Esquema Nacional de Seguridad.
g) Realizar los preceptivos análisis de riesgos, de seleccionar las salvaguardas a implantar y de revisar el proceso de gestión del riesgo, elevando un informe anual al Comité.
h) Promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información, y analizar los informes de auditoría, elaborando las conclusiones a presentar a los Responsables del Servicio y los Responsables de la Información para que adopten las medidas correctoras adecuadas.
i) Promover y garantizar la existencia de un procedimiento de notificación, gestión y registro de incidencias de seguridad, así como analizar el contenido de dicho registro para adoptar, si proceden, medidas de seguridad de carácter preventivo y/o correctivo.
j) Coordinar el proceso de Gestión de la Seguridad.
k) Firmar la Declaración de Aplicabilidad, que comprende la relación de medidas de seguridad seleccionadas para un sistema.
l) Elaborar informes periódicos de seguridad para el Comité que incluyan los incidentes más relevantes de cada período, así como cualquier otra documentación de apoyo que el Comité necesite recabar dentro del ámbito de actuación del Responsable de Seguridad.
m) Determinar la categoría del sistema según el procedimiento descrito en el anexo I del Real Decreto 3/2010, de 8 de enero y las medidas de seguridad que deben aplicarse de acuerdo con lo previsto en el anexo II del mismo Real Decreto.
n) Mantener un registro actualizado de servicios, aplicaciones o sistemas, así como de la estructura de seguridad de cada uno de ellos, incluyendo, además de los distintos responsables de cada uno, los responsables de seguridad delegados a que se hace referencia en el apartado 7.2.
8. Grupo de apoyo al Responsable de Seguridad: la Oficina de Seguridad de la Información.
La Oficina de Seguridad de la Información es un grupo de apoyo al Responsable de Seguridad para el cumplimiento de sus funciones, que aglutinará los esfuerzos de prevención de incidentes de seguridad, detección de anomalías, mecanismos de respuesta eficaz ante los mismos y actividades de recuperación mediante el desarrollo de planes de continuidad de los sistemas de información para garantizar la disponibilidad de los servicios críticos.
A estos efectos, la Oficina de Seguridad realizará las auditorías periódicas de seguridad (prevención), el seguimiento y control del estado de seguridad de los sistemas y servicios (detección), la respuesta eficaz a los incidentes de seguridad desde su notificación hasta su resolución (respuesta) y el desarrollo de los planes de continuidad de los sistemas de información (recuperación).
Asumirá cualquier otra tarea que le sea encomendada por el Responsable de Seguridad tanto en el ámbito de la seguridad de la información como de la protección de datos de carácter personal.
Los componentes de la Oficina de Seguridad se determinarán por el Responsable de Seguridad, de entre los efectivos que presten servicios en el Servicio Canario de la Salud.
9. Los Responsables del Sistema.
9.1. Esta responsabilidad recaerá en los titulares de los órganos, centrales o territoriales, responsables del desarrollo, mantenimiento y explotación del sistema de información que soporte los servicios correspondientes.
9.2. Las funciones de los Responsables del Sistema serán las siguientes:
a) Implantar las medidas necesarias para garantizar la seguridad del servicio durante todo su ciclo de vida, siguiendo las indicaciones del Responsable de Seguridad del ámbito de competencia correspondiente.
b) Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.
c) Suspender el manejo de una determinada información o la prestación de un servicio electrónico si es informado de deficiencias graves de seguridad, previo acuerdo con el Responsable de dicha información o servicio, y con el Responsable de Seguridad.
9.3. Las funciones citadas en el punto anterior podrán recaer en diferentes personas, en el caso de que las competencias sobre los diferentes activos que componen el sistema (aplicaciones, redes, etc.) o las diferentes fases del ciclo de vida del sistema recaigan sobre unidades distintas.
10. Resolución de conflictos.
10.1. En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la PSI, este será resuelto por el superior jerárquico de los mismos. Previa consulta al Comité de Seguridad de la Información.
10.2. En caso de conflictos entre los responsables que componen la estructura organizativa de la PSI y los definidos en seguimiento de la normativa de protección de datos de carácter personal, prevalecerá la decisión que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.
11. Obligaciones del personal.
11.1. Todo el personal que presta servicio en el Servicio Canario de la Salud tiene la obligación de conocer y cumplir esta Política de Seguridad de la Información y la normativa de seguridad derivada, siendo responsabilidad del Comité disponer los medios necesarios para que la información llegue a los afectados.
11.2. Asimismo, todo el personal tiene la obligación de conocer y cumplir las normas e instrucciones que, en materia de protección de datos de carácter personal sean aplicables, con carácter específico, la Instrucción 04/2010 del Director del Servicio Canario de la Salud, relativa a la actuación del personal que con motivo del desempeño de su puesto de trabajo trata datos de carácter personal o cualquier otra que la modifique o sustituya, siendo responsabilidad del titular del órgano administrativo correspondiente disponer los medios necesarios para que la información llegue a los afectados.
11.3. Todo el personal que se incorpore al Servicio Canario de la Salud o vaya a tener acceso a alguno de sus sistemas de información o la información gestionada por ellos deberá ser informado de la PSI y de la citada Instrucción.
11.4. El incumplimiento manifiesto de la Política de Seguridad de la Información, la instrucción 04/2010 o la normativa de seguridad derivada podrá acarrear el inicio de las medidas disciplinarias oportunas y, en su caso, las responsabilidades legales correspondientes.
12. Gestión de riesgos.
12.1. La gestión de riesgos debe realizarse de manera continua sobre el sistema de información, conforme a los principios de gestión de la seguridad basada en los riesgos y reevaluación periódica (artículos 6 y 9 del Real Decreto 3/2010, de 8 de enero).
12.2. Los Responsables de Seguridad son los encargados de realizar los preceptivos análisis de riesgos, y de seleccionar las salvaguardas a implantar.
12.3. Los Responsables de la Información y del Servicio son los responsables de los riesgos sobre la información y sobre los servicios, respectivamente, y por tanto de aceptar los riesgos residuales calculados en el análisis. También son responsables de realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
12.4. El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse cada año por parte del Responsable de Seguridad, que elevará un informe al Comité de Seguridad de la Información.
13. Protección de datos de carácter personal.
13.1. En lo que se refiere a los ficheros con datos de carácter personal, estarán referenciados en el correspondiente Documento de Seguridad donde se hará constar tanto los ficheros afectados como los responsables correspondientes.
13.2. Todos los sistemas de información del Servicio Canario de la Salud se ajustarán a los niveles de seguridad requeridos por la normativa de protección de datos de carácter personal. En caso de conflicto con la normativa de seguridad indicada en el apartado 2 de este anexo, prevalecerá la norma que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.
14. Formación y concienciación.
14.1. Se desarrollarán actividades formativas específicas orientadas a la concienciación y formación de los empleados públicos del Departamento, así como a la difusión entre los mismos de la PSI y de su desarrollo normativo.
14.2. El Comité y los Responsables de Seguridad se encargarán de promover las actividades de formación y concienciación en materia de seguridad.
15. Actualización de la PSI.
Las propuestas de las revisiones de la PSI las elaborará el Responsable de Seguridad con el apoyo del Comité y serán aprobadas por el Director del Servicio Canario de la Salud.
A N E X O 2º
Glosario de términos
Misión de la organización: razón de la existencia de la organización, el propósito básico hacia el que apuntan sus actividades.
Política de seguridad: conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que considera críticos.
Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.
Gestión de riesgos: actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.
Información: caso concreto de un cierto tipo de información.
Sistema de Información: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
Sistemas de información corporativos: aquellos sistemas de información cuyo ámbito de aplicación y uso es general y común para toda la Administración Pública de la Comunidad Autónoma de Canarias.
Tipo de información: una categoría específica de información (por ejemplo, datos de carácter personal, médicos, financieros, investigaciones, contratos, información delicada ...). Estos tipos los define una organización y, en algunos casos, vienen definidos por alguna normativa de carácter legal.
Servicio: función o prestación desempeñada por alguna entidad oficial destinada a cuidar intereses o satisfacer necesidades de los ciudadanos.
Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
Responsable del fichero de datos de carácter personal: persona física o jurídica que decida sobre la finalidad, contenido y uso del tratamiento de los datos.
Responsable de la información: persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad.
Responsable del servicio: persona que tiene la potestad de establecer los requisitos de un servicio en materia de seguridad.
Responsable de seguridad: persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
Responsable del sistema: persona que se encarga de la explotación del sistema de información.
Responsable de seguridad del fichero de datos de carácter personal: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.