C) Otras Disposiciones - UNIVERSIDAD REY JUAN CARLOS (BOCM-20211004-25)
Normativa uso de recursos – Resolución a 23 de septiembre de 2021, del Rector de la Universidad Rey Juan Carlos, por la que se ordena la publicación en el BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID de la normativa de uso de los recursos TIC, aprobada por Acuerdo del Consejo de Gobierno de la Universidad Rey Juan Carlos de 22 de julio de 2021 y publicada en el “Boletín Oficial de la Universidad Rey Juan Carlos” de 6 de agosto de 2021
19 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOCM
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
B.O.C.M. Núm. 236
LUNES 4 DE OCTUBRE DE 2021
Pág. 115
Artículo 38
Detección y reparación
1. Identificado un incidente de seguridad, se adoptarán las medidas necesarias para
tratar de contenerlo y mitigar sus efectos dañinos.
2. Se habilitarán los procedimientos para reparar cada tipo de incidente, incluyendo,
al menos, las siguientes acciones:
a) Identificar el vector de fuga de la información.
b) Recoger las evidencias, manteniendo la cadena de custodia para garantizar su integridad.
c) Realizar un análisis forense cuando resulte necesario.
d) Estimar el tiempo de resolución del incidente.
e) Ejecutar las acciones concretas para tratar de reparar el incidente.
Artículo 39
Notificación
1. Sin perjuicio de la existencia de mecanismos para la detección automática de incidentes de seguridad y de los sistemas de alertas que informen en tiempo real sobre ello,
las personas usuarias que detecten un posible incidente de seguridad lo pondrán inmediatamente en conocimiento del Responsable de Seguridad mediante los cauces establecidos
para la notificación de incidencias, con el fin de identificarlo, detenerlo y mitigar sus efectos, y recuperar el sistema de la forma más rápida y eficiente posible.
2. La Universidad notificará al Centro Criptológico Nacional aquellos incidentes
que tengan un impacto significativo en la seguridad de la información manejada y de los
servicios prestados en relación con la categorización de sistemas recogida en el Anexo I del
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
3. Los incidentes de seguridad que comporten violación de la seguridad de datos personales serán notificados, en todo caso, al Responsable de Seguridad y al Delegado/a de
Protección de Datos.
4. La Universidad notificará a la Agencia Española de Protección de Datos aquellos
incidentes de seguridad que comporten violación de la seguridad de datos personales con
riesgo para los derechos y libertades de las personas físicas, siguiendo la normativa de aplicación existente. La notificación se articulará en los términos establecidos en el artículo 33
del Reglamento General del Protección de Datos.
5. Cuando un incidente de seguridad comporte violación de la seguridad de datos
personales con alto riesgo para los derechos y libertades de las personas físicas, la Universidad lo notificará, además de a la Agencia Española de Protección de Datos, al interesado.
La notificación se articulará en los términos establecidos en el artículo 34 del Reglamento
General del Protección de Datos.
Artículo 40
1. El/la Responsable de Seguridad se encargará de gestionar el registro de incidentes de seguridad.
2. Cada incidente de seguridad será registrado conforme al procedimiento habilitado al efecto, incluyendo, al menos, la siguiente información:
a) Fecha y hora de detección del incidente.
b) Categorización del incidente según su gravedad y prioridad de tratamiento.
c) Recursos TIC afectados por el incidente.
d) Posible causa del incidente.
e) Estado actual del incidente.
f) Acciones realizadas para resolver el incidente e identificación del personal técnico
que las ejecutó.
g) Fecha y hora de resolución y cierre del incidente.
3. El registro de incidentes de seguridad se empleará para la mejora continua de la
Política de Seguridad de la Información de la Universidad.
BOCM-20211004-25
Registro y mejora continua
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
B.O.C.M. Núm. 236
LUNES 4 DE OCTUBRE DE 2021
Pág. 115
Artículo 38
Detección y reparación
1. Identificado un incidente de seguridad, se adoptarán las medidas necesarias para
tratar de contenerlo y mitigar sus efectos dañinos.
2. Se habilitarán los procedimientos para reparar cada tipo de incidente, incluyendo,
al menos, las siguientes acciones:
a) Identificar el vector de fuga de la información.
b) Recoger las evidencias, manteniendo la cadena de custodia para garantizar su integridad.
c) Realizar un análisis forense cuando resulte necesario.
d) Estimar el tiempo de resolución del incidente.
e) Ejecutar las acciones concretas para tratar de reparar el incidente.
Artículo 39
Notificación
1. Sin perjuicio de la existencia de mecanismos para la detección automática de incidentes de seguridad y de los sistemas de alertas que informen en tiempo real sobre ello,
las personas usuarias que detecten un posible incidente de seguridad lo pondrán inmediatamente en conocimiento del Responsable de Seguridad mediante los cauces establecidos
para la notificación de incidencias, con el fin de identificarlo, detenerlo y mitigar sus efectos, y recuperar el sistema de la forma más rápida y eficiente posible.
2. La Universidad notificará al Centro Criptológico Nacional aquellos incidentes
que tengan un impacto significativo en la seguridad de la información manejada y de los
servicios prestados en relación con la categorización de sistemas recogida en el Anexo I del
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
3. Los incidentes de seguridad que comporten violación de la seguridad de datos personales serán notificados, en todo caso, al Responsable de Seguridad y al Delegado/a de
Protección de Datos.
4. La Universidad notificará a la Agencia Española de Protección de Datos aquellos
incidentes de seguridad que comporten violación de la seguridad de datos personales con
riesgo para los derechos y libertades de las personas físicas, siguiendo la normativa de aplicación existente. La notificación se articulará en los términos establecidos en el artículo 33
del Reglamento General del Protección de Datos.
5. Cuando un incidente de seguridad comporte violación de la seguridad de datos
personales con alto riesgo para los derechos y libertades de las personas físicas, la Universidad lo notificará, además de a la Agencia Española de Protección de Datos, al interesado.
La notificación se articulará en los términos establecidos en el artículo 34 del Reglamento
General del Protección de Datos.
Artículo 40
1. El/la Responsable de Seguridad se encargará de gestionar el registro de incidentes de seguridad.
2. Cada incidente de seguridad será registrado conforme al procedimiento habilitado al efecto, incluyendo, al menos, la siguiente información:
a) Fecha y hora de detección del incidente.
b) Categorización del incidente según su gravedad y prioridad de tratamiento.
c) Recursos TIC afectados por el incidente.
d) Posible causa del incidente.
e) Estado actual del incidente.
f) Acciones realizadas para resolver el incidente e identificación del personal técnico
que las ejecutó.
g) Fecha y hora de resolución y cierre del incidente.
3. El registro de incidentes de seguridad se empleará para la mejora continua de la
Política de Seguridad de la Información de la Universidad.
BOCM-20211004-25
Registro y mejora continua
