La versión en castellano es una traducción automática. Si encuentra algún fallo, por favor, envíenoslo a : tradutor@parlamentodegalicia.es

Política de Seguridad del Parlamento de Galicia

CAPITULO I. POLÍTICA DE SEGURIDAD DE La INFORMACIÓN DEL PARLAMENTO DE GALICIA

Introducción

Las leyes 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas y 40/2015 del Régimen Jurídico del Sector Público establecen que la tramitación electrónica de los procedimientos debe constituir la acción habitual de todas las Administraciones, tanto en su relación con los ciudadanos cómo en la gestión interna y en los intercambios de información entre diferentes organismos. También destacan el documento, archivo y fichero electrónico, que requieren una profundización de la transformación digital de las Administraciones Públicas, con el consecuente aumento de la eficiencia y calidad de los servicios prestados a los ciudadanos.

Entre sus objetivos también está la creación de condiciones de confianza en el uso de los medios electrónicos. Establece las medidas necesarias para la preservación de la integridad de los derechos fundamentales, especialmente aquellos relacionados con la privacidad y protección de datos personales, garantizando la seguridad de los sistemas electrónicos, datos, comunicaciones y servicios.

Estos objetivos fueron desarrollados por el Real Decreto 3/2010, del 8 de enero, por lo que se regula el Sistema Nacional de Seguridad (en adelante, ENS) en el ámbito de la Administración Electrónica. Asimismo, la información encausada en los sistemas electrónicos la que se refiere el ENS estará protegida habida cuenta los criterios establecidos en la Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal. El ENS, por su parte, establece el marco regulador de la Política de Seguridad de la Información, que está incorporado en un documento, accesible y comprensible para todos los miembros, que define el que significa la seguridad de la información en una determinada organización y que regula la manera en que una organización gestiona y protege información y servicios críticos. La Política de Seguridad debe generarse de acuerdo con los requisitos de la ENS que establece que todos los órganos superiores de las Administraciones Públicas deben tener oficialmente una Política de Seguridad de la Información aprobada por el órgano superior competente.

Habida cuenta el anterior, la Política de Seguridad de la Información del Parlamento de Galicia se regirá por las siguientes normas:

Artículo 1. Objeto

1. La finalidad de esta Resolución es la aprobación de la Política de Seguridad de la Información, en adelante Política de Seguridad, del Parlamento de Galicia (en adelante PG) y del establecimiento de un marco organizativo y tecnológico para eso.

2. La seguridad se entenderá compuesta por un proceso integral que consiste en todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información, excluyendo cualquier tipo de acciones específicas o tratamiento a corto plazo.

3. Debe ser conocido y cumplido por todos los usuarios de los sistemas de información del PG, con independencia de la posición, cargo y responsabilidad dentro del mismo.

El Parlamento de Galicia depende de los sistemas TIC (Tecnologías de Información y Comunicaciones) para alcanzar sus objetivos. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad y trazabilidade de la información tratada o los servicios prestados.

El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando cautelarmente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.

Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 7 del ENS.

Prevención

Los departamentos deben evitar, o al menos prevenir en la medida del posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para eso los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

Para garantizar el cumplimiento de la política, los departamentos deben:

  • Autorizar los sistemas antes de entrar en operación.
  • Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración realizados de forma rutinaria.
  • Solicitar la revisión periódica por parte de terceros con fines de obtener una evaluación independiente.
Detección

Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reponerte que lleguen a los responsables regularmente y cuando se produce una desviación significativa de los parámetros que se tuvieran preestablecido cómo normales.

Respuesta

Los departamentos deben:

  • Establecer mecanismos para responder eficazmente a los incidentes de seguridad.
  • Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.
  • Establecer protocolos para el intercambio de información relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).
Recuperación

Para garantizar la disponibilidad de los servicios, se dispondrán los medios y técnicas necesarios que garanticen la recuperación de los servicios más críticos.

Artículo 2. Alcance

Esta política se aplica a todos los sistemas TIC de lo Parlamento de Galicia y a todos los usuarios de los sistemas de la información de la institución, sin excepciones.

Artículo 3. Misión

El Parlamento de Galicia, como soporte de los principios de seguridad de la información establecidos según el Esquema Nacional de Seguridad, ofrece los siguientes objetivos de partida:

  • Fomentar la relación electrónica del ciudadano con el Parlamento de Galicia.
  • Reducir los tiempos de espera de atención al ciudadano.
  • Acortar los tiempos de espera en la resolución de trámites solicitados por el ciudadano.
  • Mejorar el uso interno de los sistemas de información del Parlamento de Galicia.
  • Desarrollar un sistema de gestión de información documental que facilite un rápido acceso del personal del Parlamento de Galicia a la información solicitada por el ciudadano, garantizando la seguridad de la información en cuanto a su integridad, confidencialidad, autenticidad, trazabilidade y disponibilidad.
  • Cumplir con los requisitos exigidos por la normativa nacional de protección de datos de carácter personal y de impulso de las administraciones públicas.
  • Mantener, operar y evolucionar un sistema de gestión de la seguridad.

Artículo 4. Marco normativo

Esta política se enmarca en la siguiente legislación aplicable, sin perjuicio de la aplicación de la legislación autonómica que corresponda y de la normativa propia del Parlamento de Galicia:

  • Real Decreto 3/2010, de 8 de enero, por lo que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica.
  • Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por lo que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica.
  • Resolución de 13 de octubre de 2016, de la Secretaría de Estado de las Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
  • Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
  • Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.
  • Real Decreto 1720/2007, de 21 de diciembre, por lo que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico.
  • Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
  • Real Decreto 1671/2009, de 6 de noviembre, por lo que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.
  • Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público.
  • Ley 25/2007, de 18 de octubre, de conservación de datos relativos las comunicaciones electrónicas y las redes públicas de comunicaciones.
  • Real Decreto Legislativo 1/1996, de 12 de abril, por lo que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.
  • Real Decreto Legislativo 5/2015, de 30 de octubre, por lo que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público.
  • Ley 59/2003, de 19 de diciembre, de firma electrónica.
  • Real Decreto 1553/2005, de 23 de diciembre, por lo que se regula el documento nacional de identidad y sus certificados de firma electrónica.
  • Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la sociedad de la Información.
  • Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a Información Pública y Bueno Gobierno.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
  • Ley 40/2015, de 1 de octubre, de Régimen jurídico del Sector Público.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a protección de las personas físicas en el que respeta al tratamiento de datos personales y la libre circulación de estos datos y por lo que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
  • Ley 9/2017, del 8 de noviembre, de Contratos del Sector Público, por la que se transpoñen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, del 26 de febrero de 2014

CAPITULO II. ORGANIZACIÓN DE La SEGURIDAD

Artículo 5. Comité Coordinador de Seguridad TIC

El Comité Coordinador de Seguridad TIC, es el máximo responsable de seguridad de la información y servicios. Este comité tendrá la siguiente composición:

  • El responsable de la información de administración electrónica
  • El responsable del Servizo de Tecnoloxías da Información
  • Los responsables de los servicios electrónicos
  • El responsable del Servicio de Personal y Régimen Interior
  • El responsable de seguridad de la información
  • La delegada de protección de datos

El secretario del Comité de Seguridad TIC será el responsable del Servizo de Tecnoloxías da Información, que se encargará de convocar las reuniones del Comité y levantar acta de ellas.

El Comité de Seguridad TIC informará a la Mesa del Parlamento de Galicia y, indicadas en el RD 3/2010, tendrá las siguientes funciones:

  • Coordinar y aprobar las acciones en materia de seguridad de la información, lo que inclue al menos, una revisión anual de la política de seguridad.
  • Impulsar la cultura en seguridad de la información. Garantizar la divulgación de la política y normativa de seguridad de la organización
  • Participar en la categorización de los sistemas y en el análisis de riesgos.
  • Revisar la documentación relacionada con la seguridad de la información.
  • Resolver discrepancias y problemas que puedan surgir en la gestión de la seguridad.
  • Desarrollar el procedimiento de designación de roles

Artículo 6. Roles: Funciones y Responsabilidades

El Responsable de la información

Sus funciones serán las siguientes:

  • Establecimiento de los requisitos de la información en materia de seguridad.
  • Identificar, evaluar y aprobar la información de los ciudadanos, o de otras administraciones públicas, que sea tratada por el PG
  • Tendrá en cuenta el estado de seguridad de la información tratada.
  • Comunicará al gobierno de la organización a necesidad de suspender un servicio por aquellas violaciones de seguridad que habían afectado la información tratada.
  • Trabajo en colaboración con la persona responsable de seguridad y la persona responsable de sistemas en el mantenimiento de los sistemas catalogados según el Anexo I del Esquema Nacional de Seguridad.
Los Responsables de los servicios

Sus funciones son las siguientes:

  • Establecimiento de los requisitos de los servicios TI en materia de seguridad.
  • Identificar, evaluar y aprobar los servicios tecnológicos prestados por el PG a los ciudadanos, o la otras administraciones públicas.
  • Tendrá en cuenta el estado de seguridad de los servicios prestados.
  • Comunicará al gobierno de la organización a necesidad de suspender un servicio por aquellas violaciones de seguridad que habían afectado al propio servicio.
  • Trabajo en colaboración con el responsable de seguridad y los responsables de sistemas en el mantenimiento de los sistemas catalogados según el Anexo I del Esquema Nacional de Seguridad.
El responsable de seguridad de la información

Sus funciones serán las siguientes:

  • Aconsejar a los responsables correspondientes, en la identificación de la información y los servicios, así como en la evaluación de los niveles de seguridad necesarios para la información y el servicio.
  • Realizar la categorización del sistema en el PG.
  • Elaborar la política de seguridad.
  • Realizar análisis de riesgo de los sistemas de información segundo determina las normas de seguridad anexas al Esquema Nacional de Seguridad.
  • Elaborar el documento de aplicabilidade del Esquema Nacional de Seguridad.
  • Establecer las medidas de seguridad de acuerdo con el nivel de seguridad resultante.
  • Elaborar los documentos con los procedimientos operativos de gestión de la seguridad, así como la normativa de uso de los medios que será aprobada por la dirección.
  • Revisar la puesta en marcha de los procedimientos de gestión de seguridad, así como su evaluación en el transcurso del ciclo de vida de los sistemas de información.
  • Elaborar los planes de mejora de la seguridad.
El Responsable del Sistema TI

Sus funciones, dentro de sus áreas de actuación, son las siguientes:

  • La implantación de medidas de seguridad de carácter técnico que habría estipulado cómo necesarias el Responsable de Seguridad.
  • La implantación de los planes de continuidad del servicio, asesorado por el Responsable de Seguridad.
  • La gestión, configuración y actualización, segundo corresponda, del hardware y software en el que se basan mecanismos y servicios de seguridad del sistema de información.
  • La gestión de las autorizaciones concedidas a los usuarios del sistema, en particular los privilegios concedidos, incluido el control de que la actividad desarrollada en el sistema cumple con el que está autorizado.
  • La aplicación de los procedimientos operativos de seguridad.
  • La aprobación de los cambios en la configuración actual del Sistema de Información.
  • Asegurarse de que se cumplan los controles de seguridad establecidos estrictamente.
  • Asegurarse de que se aplican los procedimientos aprobados para gestionar el sistema de información.
  • Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no sea comprometidos y en todo momento cumplen con las autorizaciones relevante.
  • La monitorización del estado de seguridad del sistema, siempre por las herramientas y mecanismos de gestión de eventos de seguridad y auditorías técnicas que se implementaron.
La Delegada de Protección de datos

Sus funciones serán las siguientes:

  • Informar y asesorar el responsable o el encargado del tratamiento y los empleados que se ocupen del tratamiento de los deberes que les atañen en virtud del RXPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
  • Supervisar el cumplimiento del dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales.
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto con la autoridad de control para cuestiones relativas al tratamiento.

Artículo 7. Resolución de Conflictos

En el caso de conflicto entre las diferentes partes, este se resolverá por el superior jerárquico de los mismos. En ausencia del anterior, prevalecerá la decisión del responsable de seguridad.

La Delegada de protección de datos reportará directamente a la Mesa del Parlamento de Galicia.

Artículo 8. Procedimientos de designación

Las designación para los distintos roles se detallan a continuación:

  • La persona titular de Oficialia Mayor tendrá el rol de responsable de la información del PG.
  • La persona titular del Servicio de Personal y Régimen Interior tendrá el rol de responsable de los servicios del PG.
  • La persona titular del Servicio de Tecnologías de la Información tendrá el rol responsable de seguridad de la información.
  • La persona responsable de los sistemas TÚ será nombrado por el Letrado Oficial Mayor del PG la propuesta del Comité Coordinador de Seguridad TIC.
  • Los nombramientos serán revisados cada dos años o cuando uno de los puestos quede vacante.

Artículo 9. Obligaciones del personal

Todos los usuarios de los sistemas de la información del Parlamento de Galicia tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad TIC disponer los medios necesarios para que la información llegue a los afectados.

Se establecerá un programa de concienciación continua para atender a todos los usuarios de los sistemas de la información del Parlamento de Galicia, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para lo manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto se es su primera asignación o se se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.

El manifiesto incumplimiento de la Política de Seguridad de la Información o de la normativa y los procedimientos derivados de ellas, pueden llevar al inicio de medidas disciplinarias adecuadas y, si es el caso, la otras medidas legales de aplicación.

Artículo 10. Política de Seguridad de la Información

Será misión del Comité Coordinador de Seguridad TIC a revisión anual de esta Política de Seguridad de la Información y la propuesta de revisión o mantenimiento de la misma. La Política será aprobada por la Mesa del Parlamento de Galicia y difundida para que la conozcan todas las partes afectadas.

Artículo 11. Normativa y procedimientos de seguridad de la información

Será misión del Comité Coordinador de Seguridad TIC a revisión y mantenimiento de las Normas técnicas de Seguridad y Procedimientos Técnicos de Seguridad de la Información. Las Normas y Procedimientos técnicos de Seguridad serán aprobados por el propio Comité Coordinador de Seguridad TIC y difundidos para que la conozcan todas las partes afectadas.

Artículo 12. Calificación de la documentación

Para facilitar el nivel de privacidad de los documentos del propio sistema de gestión de la seguridad (política, normativa, ...) se establecen 4 niveles de privacidad:

  • Pública: información que se puede difundir libremente dentro y fuera del organismo y cuya divulgación no afecta a la institución en términos de pérdida de imagen y/o económica.
  • Interna: información que, sin ser confidencial ni restringida, debe mantenerse en el ámbito interno del organismo y no debe estar disponible externamente, excepto la terceras partes involucradas previo compromiso de confidencialidad y conocimiento del propietario de la misma.
  • Restringida: información sensible, interna a áreas o proyectos a los que debe tener acceso controlado un grupo reducido de personas y no toda la organización.
  • Confidencial: información de alta sensibilidad que debe ser protegida por su relevancia sobre decisiones estratégicas, impacto financiero, oportunidades de negocio, potencial de fraude o requisitos legales.

Cualquier información no clasificada se tratará por defecto como Interna, por lo que su divulgación deberá estar autorizada por su propietario.

Para su etiquetado, se designará un código en la cabecera del documento para identificar el nivel de exposición: Ref.PUB = Publica, Ref.INT = Interna, Ref.RES = Reservado y Ref.CONF = Confidencial.

CAPITULO III. PROTECCION DE DATOS, FORMACIÓN Y GESTIÓN

Artículo 13. Datos de carácter personal

El Parlamento de Galicia trata datos de carácter personal. El Documento de seguridad del PG, a lo que tendrán acceso sólo las personas autorizadas, recoge los ficheros afectados y los responsables correspondientes.

Todos los sistemas de información del PG se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Documento de Seguridad, conforme al Título VIII de las medidas de seguridad en el tratamiento de datos de carácter personal del Real Decreto 1720/2007, de 21 de diciembre, por lo que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Artículo 14. Gestión de riesgos

Todos los sistemas sujetos la esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • regularmente, al menos una vez al año
  • cuando cambie la información manejada
  • cuando cambien los servicios prestados
  • cuando ocurra un incidente grabe de seguridad
  • cuando se reporten vulnerabilidades grabes

El Responsable de Seguridad establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados, que elaborará conjuntamente con el responsable de sistema TI y los administradores de la seguridad (sistemas y comunicación), y comunicará el Comité Coordinador de la Seguridad TIC.

El Comité Coordinador de Seguridad TIC dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.

Artículo 15. Desarrollo de la política de seguridad de la información

Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará la disposición de todos los usuarios de los sistemas de la información de la institución que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.

La normativa de seguridad estará disponible en la intranet del Parlamento de Galicia e impresa en las dependencias del Servizo de Tecnoloxías da Información.

Artículo 16. Terceras partes

Cuando el Parlamento de Galicia preste servicios la otros organismos o maneje información de otros organismos, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reponerte y coordinación de los respectivos Comités de Seguridad TIC y procedimientos de actuación para la reacción ante incidentes de seguridad.

Cuando el Parlamento de Galicia utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de reponerte y resolución de incidentes.

Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.

Cooperación entre organismos y otras Administraciones Públicas: a efectos de intercambiar experiencias y obtener asesoramiento para la mejora de las prácticas y controles de seguridad, el PG podrá mantener contactos periódicos con organismos o entidades especializadas en temas de seguridad como pueden ser el INCIBE, CCN y otros.

Disposición derrogatoria

Estas normas dejan sin efecto cualquier acuerdo o norma en materia de política de seguridad adoptados por la Mesa del Parlamento de Galicia.

Texto aprobado el día 13 de diciembre de 2017 por la Mesa del Parlamento de Galicia.

Esta Política si Seguridad de la Información es efectiva desde dicha fecha y hasta que sea sustituida por una noticia Política.