saltar al contenido
La versión en castellano es una traducción automática. Si encuentra algún fallo, por favor, envíenoslo a : tradutor@parlamentodegalicia.es

Actas del Comité de Seguridad

Acta de 27 de enero de 2025

  • Aprobación del acta del 16/12/2024
  • Revisión y aprobación de modificaciones sobre los siguientes documentos:
    • ​Análisis de impacto (BIA): actualización de las dependencias entre activos y de los riesgos asociados a consecuencia de la actualización del análisis de riesgos.
    • ​​Plan de mejora de seguridad 2025: el plan detalla las acciones de seguridad a realizar durante el 2025 en base a las observaciones y oportunidades de mejora identificadas en la auditoría de seguridad interna realizada a finales de 2024. Para cada acción se detalla el objeto de la acción, la dedicación en horas, el presupuesto y el gasto. Asimismo, también se recogen acciones asociadas con la auditoría de protección de datos, realizada también a finales de 2024. Del mismo modo, para cada acción se detalla el objeto de la acción, la dedicación en horas, el presupuesto y el gasto.

  • ​Ruegos y preguntas.


Acta de 16 de diciembre de 2024

  • Aprobación del acta del 15/07/2024
  • Actualización de la siguiente normativa:
    • Normativa de teletrabajo: se añade una restricción de geolocalización, por lo que los usuarios autorizados para teletrabajar deberán avisar para que se les habilite el acceso se van a realizar la conexión desde fuera del territorio español.
    • Normativa de acceso remoto: se establece un control de acceso por geolocalización que imposibilita la conexión desde fuera de España. En caso de necesitar conectarse desde otro país deberá comunicarlo previamente al STI con antelación suficiente. En todos los casos, se establece un doble factor de autenticación para el acceso remoto. Este doble factor  se implementa a través de un código pin de un solo uso.
    • Procedimiento de autorización y gestión del cambio: la autorización para el acceso a las instalaciones se realiza a través de una solicitud en el portal de acreditaciones del Parlamento de Galicia (https://acreditacions.parlamentodegalicia.gal), en vez de realizar el envío de un formulario por correo electrónico. Se explica el procedimiento y se facilita el usuario y contraseña a los miembros del Comité de seguridad para la validación de las solicitudes.
    • Procedimiento de análisis de riesgos: se revisa el procedimiento de análisis de riesgos para que no contenga referencias específicas a los análisis de riesgos concretos.
    • Informe de análisis de riesgos: se revisa y se aprueba el análisis de riesgos anual y el informe de análisis y gestión de riesgos, actualizado en diciembre de 2024
    • Procedimiento de actualización del RAT: se aprueba el procedimiento para la actualización del RAT.
  • Se informa sobre la realización de la auditoría interna anual sobre el Esquema Nacional de Seguridad y la auditoría en materia de proteción de datos. ​

Acta de 15 de julio de 2024

  • Aprobación del acta del 16/02/2024
  • Actualización de la siguiente normativa:
    • Composición del Comité de Seguridad: actualización de la composición del Comité de Seguridad para incluir como miembro a Adriana Martínez Martínez, directora del Gabinete.
    • Declaración de aplicablidade: se añaden o se modifican las medidas compensatorias para op.acc.6, op.nub.1, mp.if.2, mp.if.6, mp.eq.3 y mp.com.1. Se completan los campos de validación de las medidas compensatorias y mantenimiento. Para la medida mp.com.1 se añade un cortafuegos por la que pasa todo el tráfico con destino la nube de copia de seguridad.
  • Ruegos y preguntas.

Acta de 16 de febrero de 2024

  • Aprobación del acta del 17/01/2024
  • Se informa sobre los resultados de la auditoría de certificación y los siguientes pasos a realizar para la obtención del certificado de conformidad.
  • Aprobación de la siguiente normativa:
    • Política de seguridad: inclusión de referencias a los artículos 5 y 11 del Real Decreto 311/2022. Después de la aprobación se enviará al Presidente del Parlamento para su aprobación y se publicará en el BOPG y en la página web del Parlamento de Galicia.
    • Marco normativo: se incorporan las referencias a las instrucciones técnicas “Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de Seguridad de los Sistemas de Información" y “Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad", que no figuraban dentro del marco normativo.
    • Declaración de aplicabilidad: se actualiza la declaración de aplicabilidad con 3 medidas compensatorias referentes a las medidas [op.nub.1] productos en lana nube, [mp.if.2] identificación de lanas personas y [mp.com.3] protección de lana integridad y de lana autenticidad.
    • Procedimiento de contratación y ANS: aprobara este nuevo procedimiento para cubrir la medida [op.pl.3] Adquisición de nuevos componentes.
  • Ruegos y preguntas.​

Acta de 17 de enero de 2024

  • Aprobación del acta del 09/11/2023
  • Aprobación del plan de adecuación y el plan de mejora para 2024. Se informa de la realización de la auditoría de certificación en el mes de febrero.
  • Ruegos y preguntas.

Acta de 9 de noviembre de 2023

  • Aprobación del acta del 26/09/2023
  • Actualización y aprobación de normativa:
    • Política de seguridad (extraer la normativa aplicable a un archivo externo, para no tener que modificar la política por cambios normativos)
    • Funciones de seguridad (actualizaciones de referencias a artículos del nuevo Real Decreto 311/2022)
    • Declaración de aplicabilidad (actualización anual de 2023)
    • Análisis de riesgos (actualización anual de 2023)
  • Ruegos y preguntas.

Acta de 26 de septiembre de 2023

  • Aprobación del acta del 13/06/2023
  • Actualización y aprobación de normativa:
    • Actualización de Funciones de seguridad de la información: se incluye la referencia al Anexo de funciones y responsabilidades de seguridad
    • Aprobación del Anexo de funciones y responsabilidades de seguridad
  • Ruegos y preguntas.

Acta de 13 de junio de 2023

  • Aprobación del acta del 09/05/2023
  • Actualización y aprobación de normativa:
    • Normativa de arquitectura de seguridad
    • Instrucción técnica de instalación y bastionado
      • ​Actualización de los valores requeridos para el bastionado de servidores
    • Instrucción técnica de desarrollo seguro de aplicaciones
      • ​Actualización de las directrices de seguridad del procedimiento general
    • Instrucción técnica de protección de servicios y aplicaciones web
      • ​​​​Actualización de las medidas de protección de las aplicaciones
  • Ruegos y preguntas.​

Acta de 9 de mayo de 2023

  • Aprobación del acta del 25/04/2023
  • Actualización y aprobación de normativa:
    • Normativa de clasificación de información
    • Procedimiento de registro de Y/S de equipamiento
    • ​​Procedimiento de autorización y gestión del cambio
    • Instrucción técnica de antivirus
  • Ruegos y preguntas.

Acta 25 de abril de 2023

  • Aprobación del acta del 13/02/2023
  • Aprobación del análisis de riesgos de los sistemas de información del Parlamento de Galicia, con un riesgo potencial de 4,5, un riesgo actual de 1,3 y un riesgo planificado de 0,97.
  • Aprobación del plan de adecuación y el plan de mejora, con las diferentes actuaciones, su planificación y los recursos dedicados para alcanzar el nivel de riesgo planificado.
  • Actualización y aprobación de normativa:
    • ​​​Procedimiento de Gestión de soportes: actualización de directrices en el procedimiento general
    • Procedimiento de Gestión de activos: actualización de directrices de seguridad
    • Procedimiento de Gestión de vulnerabilidades: revisión y actualización de directrices de seguridad
  •  Composicion del Comité de seguridad y nombramientos
    • Nombramiento de Marrosa Buceta López como jefa de servicio de SAP
  • ​ Ruegos y preguntas.​

Acta 13 de febrero de 2023

  • Aprobación del acta de 22 de noviembre de 2022
  • ​Actualización de la política de seguridad (Pto 4 nuevo marco normativo: Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.)
  •  Cambio en el Procedimiento de política de backup (Pto 41. ... El sistema utilizado es el software Veeam Backup, una librería de cintas de backup y una solución de almacenamiento en la nube (Wasabi).)
  • Cambio en el procedimiento de limpieza de documentos (Pto 45. No  en tanto, al realizar un envío por correo electrónico se realiza la limpieza de metadatos de los archivos adjuntos a través de la herramienta Metaclean, implantada en el Parlamento de Galicia. Esta herramienta también permite realizar una limpieza manual de metadatos mediante la selección de un archivo, haciendo clic con el botón derecho sobre dicho archivo y seleccionando la opción “Limpiar Metadatos". Esta limpieza manual permite crear un nuevo archivo limpio de metadatos o sobrescribir el fichero existente.)
  • Procedimiento de borrado y destrucción (Nuevo procedimiento de borrado de dispositivos que herramienta Olvido del CCN-CERT)
  • ​Actualización de la normativa NOR.STI.0006.INT-1.2_Normativa_ Acceso_remoto-gl (actualizado el punto 2.5 Accesos remotos de terceros.
    • En el acceso a terceros por parte de la empresa estará obligada a la firma de las cláusulas de protección de datos como anexo del contrato, en el caso de tener acceso a datos de carácter personal. Asimismo, de ser necesario firmará autorización de acceso con compromiso explícito de cumplimiento de la normativa de ENS del PG según el modelo de acceso de terceros PLT.STI.0005-04_Registro_Aceptación_Normas.)

Acta 21 de noviembre de 2022

  • Aprobación del acta del 6/2/2020
  • Actualización y aprobación de normativa:
    • ​Aprobación de modificaciones del Procedimiento de gestión de incidentes de seguridad.
    • ​Aprobación del análisis de impacto de negocio (BIA)
    • ​Aprobación de modificaciones del Procedimiento de desarrollo software
  • ​​Información respecto al curso de ciberseguridad disponible a través de la plataforma de formación del Parlamento de Galicia.

Acta 6 de febrero de 2020

  • ​Aprobación del acta del 14/11/2019
  • Presentación de análisis GAP del sistema de información de Página web y sede electrónica.
  • Actualización y aprobación de normativa:
    • Aprobación de modificaciones del Procedimiento de acceso al CPD
    • Anexo de Entrega de Contraseña
    • Aprobación de Procedimiento de retirada de equipos y software
    • Aprobación de Procedimiento de desarrollo software
    • Aprobación de modificaciones de Procedimiento de control de accesos (en concreto, nuevo anexo Relación de administradores)
    • Ejemplo de categorización de sistema (Página web y sede electrónica)
  • Se instará al departamento de Personal y Régimen Interior para realizar la contratación de servicios de seguridad.

Acta 14 de noviembre de 2019

  • Aprobación del acta del 28/02/2019.
  • Actualización y aprobación de normativa:
    • Normativa de acceso remoto
  • Aprobación de la siguiente normativa:
    • PPRD.STI.0011.INT-1.0_Procedimiento control acceso CPD
  • Se informa sobre la realización de análisis GAP de cara a la obtención de certificación ENS del sistema de información de la página web y la sede electrónica.
  • Se informa sobre la próxima licitación de concurso público para realizar auditoría de seguridad.

Acta 28 de febrero de 2019

  • Aprobación del acta del 10/12/2018
  • Se debate sobre el registro de actividades de tratamiento y la elaboración de nota informativa para distribuir entre el personal que realiza actividades de tratamiento.
  • Actualización y aprobación de normativa:
    • Política de seguridad del Parlamento de Galicia
    • Normas de creación y uso de contraseñas
  • Aprobación de la siguiente normativa:
    • PRD.STI.0008.INT-1.1 Procedimiento de Registro de Y/S de equipamiento
    • PRD.STI.0009.INT-1.1 Procedimiento de Limpieza de Documentos
    • PRD.STI.00010.INT-1.1_Procedimiento de mantenimiento de gestión de vulnerabilidades
    • ITC.STI.0003.INT-1.0 Protección de servicios y aplicaciones web
    • ITC.STI.0004.INT-1.1 Antivirus
  • Se informa sobre la próxima licitación de concurso público para realizar auditoría de seguridad.

Acta 10 de diciembre de 2018

  • Aprobación del acta del 20/09/2018
  • Aprobación de la siguiente normativa:
    • PRD.STI.0005.INT-1.1 Procedimiento de Gestión de Soportes
    • PRD.STI.0006.INT-1.1 Procedimiento de Gestión de Activos
    • PRD.STI.0007.INT-1.1_Procedimiento Gestión Incidencias de Seguridad
    • ITC.STI.0001.INT-1.1 Desarrollo Seguro de aplicaciones
    • ITC.STI.0002.INT-1.1 Instruccion Tecnica de Instalacion y Bastionado
  • Se informa sobre la participación del personal en la jornada de formación presencial realizada el 15 de octubre por un experto en ciberseguridad.
  • Se aportará para revisión y futura aprobación:
    • PRD.STI.0008.INT-1.1 Procedimiento de Registro de Y-S de equipamiento
    • PRD.STI.0009.INT-1.1 Procedimiento de Limpieza de Documentos
    • PRD.STI.0010.INT-1.1 Procedimiento de Mantenimiento y Gestión de Vulnerabilidades

Acta 20 de septiembre de 2018

  • Aprobación del acta del 22/03/2018
  • Aprobación de la siguiente normativa:
    • PRD.STI.0002.INT-1.4_Procedimiento Copias de Respaldo (Procedimiento de realización y recuperación de copia de seguridad)
    • PRD.STI.0003.INT-1.2 Proc. de Autorizacion y Gestion de él Cambio (Procedimiento de autorización y gestión del cambio)
    • PRD.STI.0004.INT-1.2 Procedimiento de Control de Accesos (Procedimiento de identificación, autenticación y gestión de derechos de los usuarios)
  • Se evaluarán soluciones para archivado definitivo de información
  • Se determina la necesidad de firmar digitalmente el BOPG y el DSPG
  • Se retoma la estimación económica para contratar formación para los usuarios con objeto de llegar a explicar medidas concretas asociadas con las normas y los procedimientos. Se presenta el índice de unidades didácticas. Se informa de la posiblidade de realizar una formación básica gratuita de una duración de 2 horas para todos los usuarios
  • Se aportará para revisión y futura aprobación:
    • PRD.STI.0005.INT-1.1 Procedimiento de Gestión de Soportes
    • PRD.STI.0006.INT-1.1 Procedimiento de Gestion de Activos
    • PRD.STI.0007.INT-1.1_Procedimiento Gestion Incidencias de Seguridad
    • ITC.STI.0001.INT-1.1 Desarrollo Seguro de aplicaciones
    • ITC.STI.0002.INT-1.1 Instruccion Tecnica de Instalacion y Bastionado

Acta 22 de marzo de 2018

  • Aprobación del acta del 23/02/2018
  • Aprobación de la siguiente normativa:
    • NOR.SAP.0001.INT-1.3_Norma_gestion_documentacion (Norma para la gestión de la documentación)
    • Aprobación de actualización de los puntos 6.4 Normas para el uso de portátiles y 18 Puesto de trabajo desatendido de la norma NOR.STI.0001.INT.1.2_Norma_Utilizacion_Recursos_SÍ (Norma de utilización de los sistemas de información)
    • NOR.STI.0006-1.1_Normativa_ Acceso_remoto (Norma de acceso remoto) y a plantilla que debe llenar un tercero para el acceso remoto al Parlamento (PLT.STI.000x-04_Registro_Aceptación_Normas)
    • PRD.STI.0001.INT-1.1_Funciones de Seguridad de lana Informacion (procedimiento de funciones de seguridad) que desarrolla el definido en la Política de Seguridad
  • Se presenta la estimación económica para contratar formación para los usuarios con objeto de llegar a explicar medidas concretas asociadas con las normas y los procedimientos. Se acuerda elaborar un índice de unidades didácticas y en base a estas seguir evaluando el modo de implementar la misma (presencial o teleformación)
  • Se aportará para revisión y futura aprobación:
    • PRD.STI.0002.INT-1.3_Procedimiento Copias de Respaldo
    • PRD.STI.0003.INT-1.2 Proc. de Autorizacion y Gestion de él Cambio
    • PRD.STI.0004.INT-1.1 Procedimiento de Control de Accesos

Acta 23 de febrero de 2018

  • Aprobación del acta del 27/11/2017
  • Se aprueba el Documento de Declaración de Aplicabilidad y el Plan de Mejora.
  • Se acuerda realizar la revisión y aprobación, en próximas reuniones, por parte del Comité de Seguridad, de los diferentes procedimientos que se elaboraron en el marco del plan de mejora de la seguridad, comenzando por la Norma de Gestión de la Documentación, la actualización de la Norma de Utilización de los Recursos y Sistemas de Información del Parlamento de Galicia y la Norma de Acceso Remoto y el procedimiento de Funciones de Seguridad de la Información.
  • Se acuerda contratar formación para los usuarios con objeto de llegar a explicar medidas concretas asociadas con las normas y los procedimientos.

Acta 27 de noviembre de 2017

  • Aprobación del acta del 15/12/2016
  • Se aprueba la actualización de la Política de Seguridad del Parlamento de Galicia, con la inclusión de las modificaciones señaladas en la reunión. Se acuerda su remisión a la Mesa del Parlamento para su aprobación y a posterior publicación en la página web del Parlamento de Galicia; se acuerda realizar el nombramiento de los responsables de seguridad y de los sistemas. Se recordará a todos los usuarios de los sistemas de la información la actualización de la Política de Seguridad.
  • Se acuerda realizar la revisión y aprobación, en una próxima reunión, por parte del Comité de Seguridad de los diferentes entregables relativos a la auditoría de seguridad realizada en el ámbito del ENS.
  • Se acuerda comenzar a implantar las medidas precisas para la adaptación al RGPD.
  • Se informa de los diferentes procedimientos que se elaborarán en el marco del plan de mejora de la seguridad y que deberán ser aprobados por el Comité de Seguridad.
  • Se informa de las tareas de concienciación y sensibilización a realizar a lo largo del año 2018.

Acta 15 de diciembre de 2016

  • Aprobación del acta del 27/10/2016
  • Se aprueba la actualización de la Política de Seguridad del Parlamento de Galicia. Se acuerda su remisión a la Mesa del Parlamento para su aprobación y a posterior publicación en la página web del Parlamento de Galicia

Acta 27 de octubre de 2016

  • Aprobación del acta del 30/06/2016
  • Se aprueban los documentos 030 - NORMAS PARA TRABAJAR FUERA DE Las INSTALACIONES DEL PARLAMENTO DE GALICIA y 040 - NORMAS DE CREACIÓN Y USO DE CONTRASEÑAS. Se acuerda su publicación en la intranet del Parlamento.
  • Se realizará un envío a todo el personal notificando la aprobación de los documentos anteriores.
  • Se iniciará la tramitación de un procedimiento de contratación para la realización de una auditoría de seguridad y protección de datos, la implantación de un sistema de gestión de información de seguridad y la obtención de la declaración de conformidad del ENS.

Acta 30 de junio de 2016

  • Aprobación del acta de la sesión anterior
  • Aprobación de los documentos 010 - NORMAS DE ACCESO El INTERNET y 020 - NORMAS DE USO DE ÉL CORREO ELECTRÓNICO (E-mails) y notificación a los usuarios de los sistemas de la información
  • Inclusión de una sección en el portal de transparencia para darle publicidad a las actuaciones y decisiones del Comité de Seguridad
  • Inclusión de un texto de aceptación implícita de la normativa al iniciar sesión
  • Revisión de los documentos 030 - NORMAS PARA TRABAJAR FUERA DE Las INSTALACIONES DEL PARLAMENTO DE GALICIA y 040 - NORMAS DE CREACIÓN Y USO DE CONTRASEÑAS para la próxima reunión

Acta 1 de abril de 2016

  • Aprobación del acta de la sesión anterior
  • Notificación a los usuarios de la aprobación del Documento de Seguridad y la Normativa General de uso de los Sistemas de Información del Parlamento de Galicia
  • Inicio de la tramitación de un procedimiento de contratación para la realización de una auditoría de seguridad y protección de datos, la implantación de un sistema de gestión de información de seguridad y la obtención de la declaración de conformidad del Esquema Nacional de Seguridad
  • Revisión de los documentos 010 - NORMAS DE ACCESO El INTERNET y 020 - NORMAS DE USO DE ÉL CORREO ELECTRÓNICO (E-mails)

Acta 14 de marzo de 2016

  • Aprobación del acta de la anterior reunión
  • Realización de modificación de archivos protegidos por la LOPD
  • Notificación al personal de la obligación de conocimiento y cumplimiento del Documento de Seguridad
  • Aprobación de la Normativa General de Utilización de los recursos y sistemas de información del Parlamento de Galicia, publicación en la Intranet del Parlamento y difusión entre los usuarios
  • Ampliación de la capacidad de almacenamiento de los archivos de videovigilancia hasta el máximo legal permitido
  • Se acuerda la conveniencia de recordarles periódicamente a los usuarios las mejores prácticas de empleo de los sistemas de información
  • Se acuerda la implantación de medidas para tratar de reducir el empleo de dispositivos USB de almacenamiento

Acta 16 de junio de 2014

  • Aprobación del acta de la sesión anterior
  • Incorporación de aportaciones al Documento de Seguridad
  • Acuerdo de notificación de las medidas a realizar a la Xunta de Personal del Parlamento de Galicia

Acta 12 de junio de 2014

  • Constitución del Comité de Seguridad
  • Entrega del Documento de Seguridad para su revisión
saltar al pe de página