Plan Director de Seguridade da InformaciĂłn Resumo Executivo
Plan Director de Seguridade – Resumo Executivo | 1
INDICE
INTRODUCIÓN ALCANCE RESPONSABLES SITUACION ACTUAL OBXECTIVOS LIÑAS DE ACTUACIÓN I. XESTIÓN DA CONTINUIDADE E DISPOÑIBILIDADE II. XESTIÓN DO CONTROL DE ACCESO FÍSICO E LÓXICO III. PROTECCIÓN DE DATOS DE CARÁCTER PERSOAL IV. ANÁLISE E XESTIÓN DE RISCOS DOS ACTIVOS V. SEGURIDADE NA XESTIÓN DA DOCUMENTACIÓN VI. FORMALIZACIÓN DA SEGURIDADE EN TODOS OS PROCESOS VII. PLAN DE DIVULGACIÓN EN MATERIA DE SEGURIDADE VIII. DESENVOLVEMENTO DO DECRETO DE BOAS PRÁCTICAS IX. VIABILIDADE DA AXENCIA GALEGA DE PROTECCIÓN DE DATOS X. CADRO DE MANDOS DESENVOLVEMENTO Plan Director de Seguridade – Resumo Executivo | 2
INTRODUCCIÓN •
As tecnoloxías da información e as comunicacións (TIC) constitúen un instrumento de alto nivel estratéxico polo seu potencial para impulsar a modernización da Administración pública, así como pola súa capacidade para estimular e sustentar o desenvolvemento social e económico de Galicia. A Xunta de Galicia considera esencial que o tratamento da información garanta un grao óptimo de seguridade nos servizos prestados aos empregados públicos e aos cidadáns, como factor decisivo na implantación da Administración Electrónica e da Sociedade da Información.
•
Este Plan Director de Seguridade da Información da Xunta de Galicia establece as actuacións a levar a cabo pola Administración da Comunidade Autónoma de Galicia en materia de seguridade da información así como os axentes involucrados e as súas respectivas responsabilidades, define as directrices necesarias para xestionar de forma segura os sistemas de información da Administración e manifesta o recoñecemento da importancia que ten a seguridade da información sobre a confianza que os cidadáns depositan na administración. Plan Director de Seguridade – Resumo Executivo | 3
ALCANCE
Sistemas de información da Xunta de Galicia
Este plan contempla todos os sistemas de información da Xunta de Galicia. Nace coa vontade de ser aplicado progresivamente ao conxunto de consellerías da Administración autonómica, aos seus organismos autónomos, sociedades públicas, fundacións do sector público autonómico e demais entidades de dereito público vinculadas ou dependentes da Comunidade Autónoma de Galicia. Sen prexuízo do anterior, está directamente destinado a garantir a seguridade dos sistemas corporativos.
Administración de Xustiza en Galicia
Dentro deste plan, corresponde á Secretaría Xeral de Modernización e Innovación Tecnolóxica a análise de necesidades, planificación, deseño, xestión e implantación dos sistemas de información e elementos tecnolóxicos nos órganos da Administración de Xustiza en Galicia, en coordinación coas administracións e órganos competentes na materia de sistemas de información de xustiza.
Administración Local
Neste Plan tamén se perfilan unha serie de iniciativas orientadas a asesorar e sensibilizar ao persoal da Administración Local en materia de protección de datos, de seguridade informática e de acceso electrónico dos cidadáns aos servizos públicos.
O alcance temporal do presente plan abarca o período 2010 - 2014. No plan efectúase unha priorización das distintas actuacións en orde á súa urxencia e impacto. A seguridade da información require unha visión global que recolla unha mellora pragmática e alcanzable a curto prazo e, á vez, un modelo obxectivo ambicioso e de longo prazo. Plan Director de Seguridade – Resumo Executivo | 4
RESPONSABLES XUNTA DE GALICIA Secretaría Xeral de Modernización e Innovación Tecnolóxica (SXMIT)
Correspóndelle establecer a política de seguridade informática corporativa da Xunta de Galicia e a promoción de boas prácticas no relativo ao tratamento de datos de carácter persoal. Centro de Elaborará os plans, medidas e directrices de seguridade informática, supervisará Seguridade o cumprimento de todas as medidas de seguridade informática nos diferentes da ámbitos e departamentos e deseñará e realizará as accións encamiñadas a Información garantir o cumprimento da normativa vixente en materia de Protección de Datos (CSI)
Consellerias
As consellerías da Administración da Comunidade Autónoma de Galicia, segundo o Decreto 230/2008, de 18 de setembro, polo que se establecen as normas de boas prácticas na utilización dos sistemas de información da Administración da Comunidade Autónoma de Galicia, designarán o órgano que será responsable dos sistemas de información da súa propiedade e de establecer os medios tecnolóxicos que necesitan as persoas ao seu servizo, así como de velar polo correcto funcionamento das infraestruturas e do equipamento informático e de comunicacións de que dispoñan.
Comité de Seguridade dos Sistemas de Información (CSSI),
Creado no Decreto de boas prácticas, é un órgano colexiado formado polas persoas responsables de seguridade dos distintos departamentos da Xunta de Galicia, que ten como obxectivo definir a política de seguridade corporativa.
Persoas
As persoas que prestan servizos á Administración da Comunidade Autónoma de Galicia, ademais de cumprir coas medidas indicadas no Decreto de boas prácticas teñen deber de sixilo e confidencialidade respecto da información á que poidan ter acceso por razón das súas funcións, limitándose a empregala para o estrito cumprimento das tarefas encomendadas.
A Xunta de Galicia expresa o seu compromiso coa seguridade da información, de forma que dará a coñecer este Plan Director de Seguridade entre todo o persoal que preste os seus servizos na Administración da Comunidade Autónoma, velará polo seu cumprimento e pola súa necesaria actualización e impulsará a implantación e difusión da xestión da seguridade da información nas persoas e empresas de Galicia. Plan Director de Seguridade – Resumo Executivo | 5
SITUACION ACTUAL A Administración da Comunidade Autónoma de Galicia demostra un real interese pola seguridade da información e en particular pola dos datos persoais, como poñen de manifesto as moitas iniciativas orientadas a implantar medidas de seguridade, tanto do ámbito da normativa de protección de datos como de boas practicas de xestión da seguridade informática. Non obstante, os resultados dunha recente enquisa cumprimentada nos diferentes departamentos, detecta os seguintes puntos febles: CONTINUIDADE DE SERVIZO
A maioría das consellerías non ten un plan de continuidade, polo que non están previstas as accións de recuperación dos servizos críticos ante continxencias, crises ou desastres.
XESTIÓN DA SEGURIDADE INFORMÁTICA
Nin sequera están sempre analizados os riscos aos que están sometidos os sistemas de información para poder identificar posteriormente as medidas de seguridade precisas de xeito proactivo, eficaz e proporcional..
PROTECCIÓN DE DATOS DE CARÁCTER PERSOAL
O reto principal da Administración reside en conseguir unha implantación efectiva das medidas e manter, a longo prazo, a adecuación dos ficheiros e tratamentos, asegurando o cumprimento dos mandatos legais asociados á protección de datos personais. Por iso, e sempre dentro do marco do Plan Estratéxico Global da Xunta de Galicia (PETGX), vaise estudar a posibilidade de pór en marcha unha autoridade independente, que permita levar a cabo as labores divulgativas, formativas e de control en materia de protección de datos persoais dentro da Comunidade Autónoma de Galicia, asumindo as competencias que procedan, para axudar á Axencia Española de Protección de Datos no ámbito territorial asociado, do mesmo xeito que as Axencias existentes noutras Comunidades Autonomas.
PAPEL DOS USUARIOS
Outros dos puntos débiles observados é a falta de concienciación dos usuarios. Neste sentido, a Administración debe promover a sensibilización e a formación continua dos seus usuarios e elaborar, aprobar e implantar directrices en materia de seguridade da información no posto de traballo Plan Director de Seguridade – Resumo Executivo | 6
OBXECTIVOS O presente plan trata de mellorar o nivel de seguridade existente na Administración da Comunidade Autónoma de Galicia. Isto significa xestionar a seguridade da información de tal forma que as medidas de seguridade implantadas alcancen un alto grao de efectividade que reduza ao máximo o impacto das incidencias de seguridade. Con este fin, a Xunta de Galicia fíxase, en materia de seguridade da información, os seguintes obxectivos: CONCIENCIAR MÁXIMO APROVEITAMENTO DAS TECNOLOXÍAS XESTIONAR OS RISCOS GARANTIR A DISPOÑIBILIDADE
Concienciar e implicar na xestión da seguridade a toda a dirección e persoal da Administración autonómica contando coa colaboración de provedores e especialistas Promover o máximo aproveitamento das tecnoloxías da información e as comunicacións na actividade administrativa e asegurar á vez o respecto das garantías e dereitos dos cidadáns Xestionar os riscos que poidan afectar aos compoñentes dos sistemas de información para poder identificalos e avalialos e tomar as medidas de seguridade informática axeitadas Garantir a dispoñibilidade dos sistemas de información, asegurando a confidencialidade da información e evitando accesos ou alteracións indebidas e perdas de información
XESTIONAR A CONTINUIDADE
Xestionar a continuidade dos servizos TIC proporcionados pola Administración, establecendo sistemas que permitan reducir a probabilidade de que se produza un incidente e, en caso de que se produza, minimizar o seu impacto
AVALIAR PERIODICAMENTE
Avaliar periodicamente o sistema de xestión de seguridade, garantindo que as medidas implantadas alcancen un nivel de madureza optimizado que promovan a concienciación e formación continua dos usuarios en temas de seguridade da información
CUMPRIMENTO DOS REQUISITOS LEGAIS E-CONFIANZA
Proporcionar un contorno de seguridade que garanta o cumprimento dos requisitos legais para a validez e eficacia dos procedementos administrativos que utilicen os medios electrónicos, informáticos e telemáticos a Xunta de Galicia actuará como elemento xerador de e-confianza que promova un tecido empresarial sólido en seguridade da información e incremente a protección dos dereitos da cidadanía galega na Sociedade da información
Plan Director de Seguridade – Resumo Executivo | 7
LIÑAS DE ACTUACIÓN 1 XESTIÓN DA CONTINUIDADE E DISPOÑIBILIDADE
10
2 XESTIÓN DO CONTROL DE ACCESO FÍSICO E LÓXICO
CADRO DE MANDOS
3
9 DESENVOLVEMENT O DO DECRETO DE BOAS PRÁCTICAS
PROTECCIÓN DE DATOS DE CARÁCTER PERSOAL
2010 2013
8
4
VIABILIDADE DA AXENCIA GALEGA DE PROTECCIÓN DE DATOS
ANÁLISE E XESTIÓN DE RISCOS DOS ACTIVOS
7 PLAN DE DIVULGACIÓN EN MATERIA DE SEGURIDADE
5 6
SEGURIDADE NA XESTIÓN DA DOCUMENTACIÓN
FORMALIZACIÓN DA SEGURIDADE EN TODOS OS PROCESOS
Plan Director de Seguridade – Resumo Executivo | 8
LIÑAS DE ACTUACIÓN 1. XESTIÓN DA CONTINUIDADE E DISPOÑIBILIDADE Trátase de establecer os sistemas de protección que permitan reducir a probabilidade de que se produza un incidente e, en caso de que se produza, acurtar o tempo de volta á normalidade e minimizar o seu impacto. Ademais, unha auditoría realizada a raíz dos problemas de comunicacións, determinou as accións de mellora para evitar a reiteración do problema na Rede Corporativa da Xunta de Galicia. Plan de continuidade: Marco xeral que contén o plan de recuperación de TI e a xestión da autoridade no caso dun incidente crítico de seguridade da información. Contempla un Centro de Respaldo. Plans de continxencia: Plan de resposta, de respaldo e de recuperación específicos para cada situación de continxencia. Plan de crise: Criterios de actuación no caso de que a continxencia acabe derivando nunha crise. Accións de mellora da dispoñibilidade da rede: • Mellora da electrónica de comunicacións no CPD corporativo • Redeseño da topoloxía da rede • Creación dunha rede paralela de xestión
Plan Director de Seguridade – Resumo Executivo | 9
LIÑAS DE ACTUACIÓN 2. XESTIÓN DO CONTROL DE ACCESO FÍSICO E LÓXICO o Ao amparo do estipulado no Decreto de Boas Prácticas, así como do que se especifica na LOPD, pódense e débense establecer restricións no acceso á información, dentro do ámbito da Administración da Comunidade Autónoma de Galicia. o Estas restricións deberanse de articular tanto nun plano de acceso lóxico, establecendo aquelas medidas técnicas necesarias para evitar que un usuario conectado de forma local ou remota a un equipo teña acceso a información que non lle corresponde, como nun plano moito máis físico, contemplando os accesos dunha persoa a localizacións desde onde se poida obter este tipo de información. o De forma similar, contémplase a necesidade de estender a xestión do acceso ante sistemas, dispositivos ou actividades que poidan comprometer a seguridade dos sistemas da Administración.
Plan Director de Seguridade – Resumo Executivo | 10
LIÑAS DE ACTUACIÓN 2. XESTIÓN DO CONTROL DE ACCESO FÍSICO E LÓXICO XESTIÓN DO CONTROL DE ACCESO FÍSICO Trátase de establecer os mecanismos para asegurar que o acceso físico ás instalacións, sistemas de información, transmisión e procesamiento se efectúan de maneira controlada. Esta liña de actuación centrarase principalmente na xestión dos accesos físicos á plataforma tecnolóxica da Xunta de Galicia, en especial aos equipos de proceso de datos, sistemas de almacenamento de información e medios de telecomunicacións. Para iso, faise imprescindible: o Xestionar as autorizacións e o control da entrada/saída de persoas e materiais. o Protexer especialmente os recintos de acceso restrinxido (control de acceso centralizado para todas as salas ce comunicacións e CDPs). o Asegurar a seguridade física das persoas, do posto de traballo e dos medios e recursos electrónicos, informáticos, telemáticos e de telefonía fixa e móbil, como instrumentos para o desempeño da actividade laboral das persoas que prestan servizo á administración.
Plan Director de Seguridade – Resumo Executivo | 11
LIÑAS DE ACTUACIÓN 2. XESTIÓN DO CONTROL DE ACCESO FÍSICO E LÓXICO XESTIÓN DO CONTROL DE ACCESO LÓXICO Estas medidas de xestión do acceso non son exclusivamente técnicas, senón que se apoian na definición dos requisitos de acceso dos usuarios, baseados en dispor dos permisos adecuados para o desempeño das súas funcións e de procedementos organizativos que aseguren a actualización permanente destes dereitos e as condicións de seguridade que deben cumprir os equipos, o seu sistema operativo, os elementos de prevención, etc. para que poidan conectarse ás redes da Xunta de Galicia. As principais iniciativas nesta materia son: o Implantación dun Sistema de Xestión de Identidades que permita a xestión da identificación dixital do empregado público, así como a seguridade integral do posto de traballo no marco da Administración Electrónica (autenticación mediante a Tarxeta de Empregado Público nun entorno de escritorio virtual que facilite a mobilidade e o teletraballo, autorización de privilexios e permisos, protección ante código malicioso, información de cambios de persoal, etc.). o Implantación dun Sistema de Xestión de Acceso á Rede (NAC) que permita determinar o estado de seguridade do equipamento informático e de telecomunicacións e, no seu caso, establecer os oportunos mecanismos de remediación e corentena Plan Director de Seguridade – Resumo Executivo | 12
LIÑAS DE ACTUACIÓN 3. PROTECCIÓN DE DATOS DE CARÁCTER PERSOAL Búscase asegurar o máximo respecto das garantías e dereitos dos cidadáns nas súas relacións coas administracións, mediante a realización das seguintes actividades: o Publicación das Ordes polas que se declaran os ficheiros de cada departamento que conteñen datos de carácter persoal no DOG e inscrición dos ficheiros na Axencia Española de Protección de Datos (AEPD). O Centro Seguridade da Información efectuará unha análise previa das Ordes e seró o interlocutor da Administración da Comunidade Autónoma de Galicia coa AEPD. o Asegurar a conformidade das consellerias e organismos co marco normativo, co apoio dos responsables de seguridade organizativa e técnica dos departamentos, coordinados polo Centro de Seguridade da Información. Para iso, o CSI revisará os documentos de seguridade asociados aos ficheiros declarados e estudará os resultados das auditorias bienais realizadas. o Extensión do modelo ás outras administracións no ámbito de Galicia Plan Director de Seguridade – Resumo Executivo | 13
LIÑAS DE ACTUACIÓN 4. ANÁLISE E XESTIÓN DE RISCOS DOS ACTIVOS A avaliación e control dos riscos dos activos (información, datos, documentación, servizos, aplicacións, equipamento, comunicacións, recursos administrativos, físicos e humanos) permiten a súa minimización ata niveis aceptables, mediante o despregue de medidas de seguridade adecuadas, eficaces e proporcionadas, nun proceso de mellora continua que leve á organización a ser máis preventiva que reactiva fronte ás incidencias de seguridade. Contempla os seguintes aspectos: o
o
o
Xestión e valoración dos activos en función do impacto que suporía para a organización recuperarse dun fallo de seguridade en dito activo. Determinación das ameazas ás que están expostos os activos, estudo das súas vulnerabilidades fronte as ameazas potenciais e estimación do impacto ou perda derivada da materialización da ameaza. O risco dependerá da probabilidade da ocorrencia do fallo de seguridade e do dano sobre o activo. En calquera caso, definirase o limiar de risco aceptable para cada activo. Establecemento dun Plan de Xestión do Risco que perseguirá a diminución dos riscos a través da implantación de medidas de salvagarda e que será revisado periodicamente. A relación de medidas seleccionadas formalizaráse nun documento denominado Declaración de Aplicabilidade.
Plan Director de Seguridade – Resumo Executivo | 14
LIÑAS DE ACTUACIÓN 5. SEGURIDADE NA XESTIÓN DA DOCUMENTACIÓN Un dos activos máis importantes é a propia documentación de seguridade. Efectivamente, o sistema de xestión da seguridade da información ten que estar documentado e cun proceso regular de aprobación pola dirección. Neste senso, abordaranse as seguintes actuacións: o Desde a SXMIT, definirase un procedemento para a xestión da documentación de seguridade que garanta o acceso exclusivo polo persoal autorizado. O CSSI mediante auditorías periódicas validará que esta xestión da documentación estea en consonancia coas medidas dispostas no protocolo de arquivo e documento electrónico e demais regulamentación específica recollida ao amparo do Decreto polo que se regula a implantación e o desenvolvemento da administración electrónica na Xunta de Galicia o A documentación asociada a cada sistema, en particular a Declaración de Aplicabilidade, que contén a relación de medidas de seguridade seleccionadas para mitigar os riscos, será xestionada polo responsable de seguridade designado por cada departamento e supervisada por el Centro de Seguridade da Información. o O obxectivo de asegurar a confidencialidade da información non debe pór trabas ao acceso de persoas autorizadas que a necesiten polo que se buscará un compromiso entre ambos aspectos.
Plan Director de Seguridade – Resumo Executivo | 15
LIÑAS DE ACTUACIÓN 6. FORMALIZACIÓN DA SEGURIDADE EN TODOS OS PROCESOS Para proporcionar un contorno de seguridade que garanta o cumprimento dos requisitos legais para a validez e eficacia dos procedementos administrativos, a xestión da seguridade será un proceso transversal da organización, o que suporá realizar as seguintes actividades: o Establecer mecanismos de seguridade en todos os procesos de desenvolvemento e/ou implantación de novas aplicacións e servizos e no seu mantemento. o Efectuar revisións periódicas sobre medidas de seguridade e accesos, establecer e controlar a política de copias de seguridade e procesos de restauración e supervisión dos recursos de rede (Internet, accesos remotos, conexión a outras redes, etc.). O persoal de soporte técnico das distintas consellerías e organismos velará, para que os procesos e actividades TIC existentes cumpran e se adecuen ás medidas de seguridade establecidas. Dado que o CSI non participa directamente na administración de seguridade, para garantir o seu labor de control, proporá mecanismos de inspección e revisión para garantir o seu correcto establecemento e que os fins buscados son conseguidos.
Plan Director de Seguridade – Resumo Executivo | 16
LIÑAS DE ACTUACIÓN 7. PLAN DE DIVULGACIÓN EN MATERIA DE SEGURIDADE O obxectivo é concienciar e implicar na xestión da seguridade a toda a dirección e persoal que presta servizos á Administración autonómica, aos seus organismos autónomos, sociedades públicas, fundacións do sector público autonómico e demais entidades de dereito público vinculadas ou dependentes da Comunidade Autónoma de Galicia. O plan de divulgación terá, ademais, como destinatarios o persoal ao servizo das administracións locais de Galicia e da Administración de Xustiza en Galicia, a cidadáns e empresas. o Basearase en programas de comunicación e divulgación, accións formativas, campañas de difusión, sensibilización e concienciación, etc., sobre protección de datos, políticas de uso seguro do posto de traballo, seguridade informática para administradores de sistemas e de rede, resolución de incidencias de seguridade, análise e probas de produtos de seguridade, auditoría informática, tests de intrusión, etc. e contará coa colaboración de especialistas. o Co fin de facilitar a divulgación en materia de seguridade da información desenvolveranse ferramentas como poden ser FAQ, Intranet, Wiki, trípticos, campañas nos medios, etc.
Plan Director de Seguridade – Resumo Executivo | 17
LIÑAS DE ACTUACIÓN 8. ANÁLISE DA VIABILIDADE DA AXENCIA GALEGA DE PROTECCIÓN DE DATOS En caso de afrontar a súa creación, a Axencia de Protección de Datos da Comunidade Galega debería de estar dotada dunha autoridade de control, con personalidade xurídica propia, plena capacidade de obrar e total independencia das Administracións Públicas da Comunidade Galega no exercicio das súas funcións. As súas competencias versarían sobre a garantía e protección do dereito fundamental á protección de datos persoais nos ficheiros de titularidade pública creados ou xestionados pola Comunidade Autónoma Galega, entes que integran a Administración Local do seu ámbito territorial, Universidades públicas e Corporacións de dereito público representativas de intereses económicos e profesionais da mesma, neste último caso, a condición de que ditos ficheiros sexan creados ou xestionados para o exercicio de potestades de dereito público. A análise da viabilidade da Axencia Galega de Protección de Datos realizarase atendendo aos seguintes puntos: o Establecer contacto coa Axencia Española para ver a súa posición fronte á creación da Axencia Galega. En caso de ser favorable, solicitarase asesoramento na elaboración da lexislación necesaria para determinar a súa natureza e o modelo de relacións. o Estudo da posición da Xunta de Galicia fronte á posible creación da Axencia, mostrando xa a posición da AEPD e a súa viabilidade económica. o Análise da lexislación existente nas Axencias Autonómicas para que sirvan como referencia na creación da lexislación propia. Plan Director de Seguridade – Resumo Executivo | 18
LIÑAS DE ACTUACIÓN 9. DESENVOLVEMENTO DO DECRETO DE BOAS PRÁCTICAS Esta liña de actuación consiste en elaborar unha Orde para o desenvolvemento do decreto de boas prácticas. A Orde contemplará, entre outros aspectos: o Utilización do equipamento informático e de comunicacións, dos sistemas de información e as aplicacións informáticas e da información xestionada polos sistemas. o Acceso á información, ás redes de comunicacións e a Internet e uso do servizo de mensaxería corporativo. o Comportamento ante as incidencias de seguridade. o Inspección. Responsabilidade e réxime disciplinario. o Regulamento de funcionamento do Comité de Seguridade dos Sistemas de Información. Plan Director de Seguridade – Resumo Executivo | 19
LIÑAS DE ACTUACIÓN 10. CADRO DE MANDOS Para poder avaliar o sistema de xestión de seguridade e así garantir que as medidas alcanzan un nivel de madureza crecente e dispor de información que facilite a toma de decisións, porase en marcha unha ferramenta – dentro do cadro de mandos integral – que recolla un conxunto coherente de indicadores no ámbito da seguridade da información. Para iso haberá que: o Definir Indicadores e Métricas que permitan saber o estado da seguridade nun momento dado e a súa evolución temporal. Neste caso, é imprescindible que o cadro de mandos dea información do grao de cumprimento das liñas de actuación deste propio Plan Director de Seguridade. o Obter e análizar Rexistros e Evidencias utilizando dispositivos de monitorización que almacenen os eventos de seguridade. o Implantar un Xestor de Eventos que permita o almacenamento e correlación de eventos de distintos sistemas, conseguindo trazabilidade no acceso aos servizos e información da Administración. Plan Director de Seguridade – Resumo Executivo | 20
DESENVOLVEMENTO (1) DIFICULTADE
URXENCIA
1. XESTIÓN DA CONTINUIDADE E DISPOÑIBILIDADE
MEDIA
ALTA
2. CONTROL DE ACCESO FÍSICO E LÓXICO
MEDIA
ALTA
3. PROTECCIÓN DE DATOS DE CARÁCTER PERSOAL
ALTA
ALTA
4. ANÁLISE E XESTIÓN DE RISCOS DOS ACTIVOS
MEDIA
MEDIA
3
8 9
5. SEGURIDADE NA XESTIÓN DA DOCUMENTACIÓN
MEDIA
MEDIA
6. FORMALIZACIÓN DA SEGURIDADE EN TODOS OS PROCESOS
MEDIA
MEDIA
7. DIVULGACIÓN EN MATERIA DE SEGURIDADE
MEDIA
MEDIA
8. VIABILIDADE DA AXENCIA GALEGA DE PROTECCIÓN DE DATOS
ALTA
BAIXA
9. ORDE PARA O DESENVOLVEMENTO DO DECRETO DE BOAS PRÁCTICAS
ALTA
BAIXA
10. CADRO DE MANDOS
MEDIA
BAIXA
DIFICULTADE
LIÑAS DE ACCIÓN
2 10
7
4
6
5
1
URXENCIA Plan Director de Seguridade – Resumo Executivo | 21
DESENVOLVEMENTO (2) Liña
2010
2011
2012
2013
2014
Total
1.021.360,95
333.333,33
66.666,67
66.666,67
66.666,67
1.554.694,28
81947,59
100.000,00
133.333,33
20.666,67
20.666,67
356.614,26
3.PROTECCIÓN DE DATOS DE CARÁCTER PERSOAL
38.333,33
40.000,00
41.666,67
43.333,33
163.333,33
4.ANÁLISE E XESTIÓN DE RISCOS DOS ACTIVOS
21.666,67
8.333,33
10.000,00
11.666,67
250.501,67
3.333,33
10.000,00
11.666,67
13.333,33
38.333,33
8.333,33
13.333,33
15.000,00
16.666,67
53.333,33
7.PLAN DE DIVULGACIÓN EN MATERIA DE SEGURIDADE
4.333,33
18.333,33
20.000,00
21.666,67
64.333,33
8.VIABILIDADE DA AXENCIA GALEGA DE PROTECCIÓN DE DATOS
6.000,00
16.666,67
22.666,67
9.DESENVOLVEMENTO DO DECRETO DE BOAS PRÁCTICAS
20.000,00
20.000,00
10.CADRO DE MANDOS
53.333,33
200.000,00
66.666,67
320.000,00
380.000,00
385.666,67
260.666,67
2.843.810,21
1.XESTIÓN DA CONTINUIDADE E DA DISPOÑIBILIDADE 2.XESTIÓN DO CONTROL DE ACCESO FÍSICO E LÓXICO
5.SEGURIDADE NA XESTIÓN DA DOCUMENTACIÓN 6.FORMALIZACIÓN DA SEGURIDADE EN TODOS OS PROCESOS
Total
198.835,00
1.302.143,54
515.333,33
Plan Director de Seguridade – Resumo Executivo | 22