Política de Seguridad de la Información

de la Universidad Rey Juan Carlos

Versión 2.0

Mayo 2018

ID. DOCUMENTO 5j0OPWZOpH Página: 1 / 11

FIRMADO POR FECHA FIRMA ID. FIRMA
IDCES-50834204H RAMOS LOPEZ FRANCISCO JAVIER 09-05-2018 12:20:33 1525861239785

5j0OPWZOpH
 Contenido

1 Introducción .............................................................................................................................................3
2 Aspectos generales .................................................................................................................................3
2.1 Prevención .......................................................................................................................................3
2.2 Detección.........................................................................................................................................4
2.3 Respuesta .........................................................................................................................................4
2.4 Recuperación ..................................................................................................................................4
3 Alcance ......................................................................................................................................................4
4 Misión .........................................................................................................................................................5
5 Declaración de la Política de Seguridad de la Información ...........................................................5
6 Marco normativo.....................................................................................................................................6
7 Organización de la Seguridad ...............................................................................................................7
7.1 Responsables ...................................................................................................................................7
7.2 Comité de Seguridad de la Información ...................................................................................7
7.3 Funciones y responsabilidades ....................................................................................................7
7.3.1 Responsable de la Información .......................................................................................................7
7.3.2 Responsable del Servicio..................................................................................................................8
7.3.3 Responsable del Sistema ..................................................................................................................8
7.3.4 Responsable de Seguridad ...............................................................................................................8
7.3.5 Procedimiento de designación........................................................................................................8
8 Principios básicos ....................................................................................................................................9
9 Requisitos mínimos .................................................................................................................................9
10 Obligaciones y deberes del personal .......................................................................................... 10
11 Protección de Datos de Carácter Personal .............................................................................. 10
12 Gestión de Riesgos.......................................................................................................................... 10
13 Acceso a la Información ................................................................................................................. 10
14 Relación con Terceras partes ....................................................................................................... 11
15 Responsabilidades en caso de incumplimiento ......................................................................... 11
16 Aprobación y entrada en vigor..................................................................................................... 11

ID. DOCUMENTO 5j0OPWZOpH Página: 2 / 11

FIRMADO POR FECHA FIRMA ID. FIRMA
IDCES-50834204H RAMOS LOPEZ FRANCISCO JAVIER 09-05-2018 12:20:33 1525861239785

5j0OPWZOpH
 1 Introducción
La Política de Seguridad de la Información de la Universidad Rey Juan Carlos se elabora en cumplimiento
de la exigencia del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad (ENS) en el ámbito de la Administración Electrónica, que en su artículo 11 establece la obligación
para las Administraciones Públicas de disponer de una Política de Seguridad e indica los requisitos mínimos
que debe cumplir.

La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los ciudadanos a los servicios públicos, y
posteriormente la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas que la deroga, consagra igualmente el derecho de los ciudadanos a comunicarse
con las Administraciones mediante medios electrónicos, contando con una protección adecuada de la
información y los servicios telemáticos.

La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza
en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los
datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las
Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Asimismo, se determina la necesidad de precisar los objetivos de la organización, su marco legal y
regulatorio, los roles o funciones de seguridad, así como la composición de los comités para la gestión y
coordinación de la seguridad.

2 Aspectos generales
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir
en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la información y los servicios. Para
defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones
del entorno para garantizar la prestación continua de los servicios. Esto implica que los departamentos y
servicios deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad,
así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las
vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la
continuidad de los servicios prestados.

Los diferentes departamentos y servicios deben cerciorarse de que la seguridad TIC es una parte integral
de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando
por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad
y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de
ofertas, y en pliegos de licitación para proyectos de TIC.

Los departamentos y servicios deben estar preparados para prevenir, detectar, reaccionar y recuperarse
de incidentes, de acuerdo al Artículo 7 del ENS.

2.1 Prevención
Los departamentos y servicios deben evitar, o al menos prevenir en la medida de lo posible, que la
información o los servicios se vean perjudicados por incidentes de seguridad. Para ello deben implementar
las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional
identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y
responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.

ID. DOCUMENTO 5j0OPWZOpH Página: 3 / 11

FIRMADO POR FECHA FIRMA ID. FIRMA
IDCES-50834204H RAMOS LOPEZ FRANCISCO JAVIER 09-05-2018 12:20:33 1525861239785

5j0OPWZOpH
 Para garantizar el cumplimiento de la política, los departamentos y servicios deben:

- Autorizar los sistemas antes de entrar en operación.

- Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuración
realizados de forma rutinaria.
- Solicitar la revisión periódica por parte de terceros con el fin de obtener una evaluación
independiente.

2.2 Detección
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una simple
desaceleración hasta su detención, los servicios deben monitorizar la operación de manera continua para
detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo
establecido en el Artículo 9 del ENS.

La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el

Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que lleguen a los
responsables regularmente y cuando se produce una desviación significativa de los parámetros que se
hayan preestablecido como normales.

2.3 Respuesta
Los departamentos y servicios deben:

- Establecer mecanismos para responder eficazmente a los incidentes de seguridad.

- Designar un punto de contacto para las comunicaciones con respecto a incidentes.
- Establecer protocolos para el intercambio de información relacionada con el incidente. Esto
incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).

2.4 Recuperación
Para garantizar la disponibilidad de los servicios críticos, los departamentos y servicios deben desarrollar
planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y
actividades de recuperación.

3 Alcance
La presente Política de Seguridad de la Información tiene por objeto definir y regular a todos los niveles
los sistemas de información que permiten a la Universidad Rey Juan Carlos prestar el servicio público de
educación superior.

La presente Política de Seguridad de la Información se aplicará a todos los servicios, sistemas y demás
recursos de Tecnologías de la Información y Comunicaciones (TIC en adelante) de la Universidad Rey
Juan Carlos, que den soporte a sus procesos y que afecten a los diferentes activos de información
sustentados en ellos.

Los recursos TIC de la Universidad Rey Juan Carlos tienen como finalidad el apoyo a la docencia, a la
investigación y a las tareas administrativas necesarias para su funcionamiento. Son recursos TIC de la

ID. DOCUMENTO 5j0OPWZOpH Página: 4 / 11

FIRMADO POR FECHA FIRMA ID. FIRMA
IDCES-50834204H RAMOS LOPEZ FRANCISCO JAVIER 09-05-2018 12:20:33 1525861239785

5j0OPWZOpH
 Universidad todos los sistemas centrales y departamentales, estaciones de trabajo, ordenadores de
puesto, impresoras y otros periféricos y dispositivos de salida, redes internas y externas, servicios de
comunicaciones (transmisión telemática de voz, imagen, datos o documentos) y sistemas de
almacenamiento que sean de su propiedad, así como las aplicaciones informáticas (software) que estén
alojadas en cualquiera de los sistemas o infraestructuras referidos.

En este sentido, no se considera un recurso TIC de la Universidad, y, por tanto, quedan fuera del ámbito
de aplicación de la presente Política de Seguridad de la Información, aquellos ordenadores personales
financiados a título individual y no inventariados a nombre de la Universidad Rey Juan Carlos. No obstante,
en el caso de que se acceda a la red corporativa mediante dichos ordenadores personales, quedarán
sujetos a las obligaciones establecidas en la presente Política de Seguridad de la Información y normas e
instrucciones de desarrollo. De igual modo, la Universidad Rey Juan Carlos se reserva el derecho de
proporcionar acceso a la red de este tipo de recursos ajenos a la misma si no se proporcionan unos
mínimos requisitos de seguridad o existen indicios o evidencias de un incidente potencial de seguridad
que pueda comprometer o bien la seguridad de la información de los sistemas TIC o bien su buen nombre
o imagen corporativa.

La Política de Seguridad de la Información se aplica también a todas aquellas personas, indistintamente del
colectivo al que pertenezcan, Centros, Departamentos, Institutos, entidades, unidades o servicios, sean
internos o externos, que hagan uso de los recursos de las TIC de la Universidad Rey Juan Carlos.

4 Misión
La Universidad Rey Juan Carlos es una institución de Derecho público, dotada de personalidad jurídica y
patrimonio propio, que goza de autonomía de acuerdo con la Constitución y las Leyes, sin perjuicio de las
tareas de coordinación que correspondan a la Conferencia General de Política Universitaria y a la
Administración educativa competente.

De forma estrechamente relacionada con el cumplimiento de esta misión, la infraestructura y los sistemas
TIC de la Universidad Rey Juan Carlos deben primar y fomentar las operativas abiertas, enfocadas a la
funcionalidad, conectividad y servicio al usuario, como funciones prioritarias para la consecución de los
objetivos estratégicos e institucionales. El análisis de riesgos determinará los niveles de seguridad asumibles
según estas prioridades. Además, la Universidad Rey Juan Carlos reconoce que la colaboración y
comunicación con otras Universidades, Administraciones Públicas y CERTs es un aspecto fundamental en
su estrategia para la gestión de la seguridad.

5 Declaración de la Política de Seguridad de la Información

El propósito de esta Política de Seguridad de la Información es proteger la información y los servicios de
la Universidad Rey Juan Carlos, concretamente asegurando que:

a) La información y los servicios están protegidos contra pérdidas de disponibilidad, confidencialidad e

integridad.

b) La información está protegida contra accesos no autorizados.

c) Se cumplen los requisitos legales aplicables.

d) Se cumplen los requisitos del servicio respecto a la seguridad de la información y los sistemas de
información.
5

ID. DOCUMENTO 5j0OPWZOpH Página: 5 / 11

FIRMADO POR FECHA FIRMA ID. FIRMA
IDCES-50834204H RAMOS LOPEZ FRANCISCO JAVIER 09-05-2018 12:20:33 1525861239785

5j0OPWZOpH
 e) Las incidencias de seguridad son comunicadas y tratadas apropiadamente.

f) Se establecen procedimientos para cumplir con esta Política.

Asimismo, cuando un sistema al que afecte el Esquema Nacional de Seguridad maneje datos de carácter
personal, le será de aplicación lo dispuesto en la Ley Orgánica de Protección de Datos de Carácter
Personal y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema Nacional de
Seguridad.

6 Marco normativo
El marco normativo en materia de seguridad de la información en el que la Universidad Rey Juan Carlos
desarrolla su actividad, esencialmente, es el siguiente:

a) Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.

b) Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

c) Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la

Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

d) Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el
ámbito de la administración electrónica, modificado por el Real Decreto 951/2015, de 23 de octubre.

e) Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero,
por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

f) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

g) Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones

Públicas.

h) Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público

i) Estatutos de la Universidad Rey Juan Carlos.

Asimismo, la Universidad Rey Juan Carlos establece un marco normativo en materia de seguridad de la
información estructurado en diferentes niveles, de forma que los objetivos marcados por el presente
documento tengan un desarrollo específico:

1) Primer nivel: política de Seguridad de la Información.

2) Segundo nivel: las normativas generales de seguridad que emanan de la Política de Seguridad de
la Información.

3) Tercer nivel: los procedimientos de seguridad, que son el conjunto de documentos que describen
paso a paso cómo realizar una cierta actividad.

4) Cuarto nivel: documentación de buenas prácticas, recomendaciones, guías, cursos de formación,

presentaciones, etc.
6

ID. DOCUMENTO 5j0OPWZOpH Página: 6 / 11

FIRMADO POR FECHA FIRMA ID. FIRMA
IDCES-50834204H RAMOS LOPEZ FRANCISCO JAVIER 09-05-2018 12:20:33 1525861239785

5j0OPWZOpH
 La Política de Seguridad de la Información, las normativas generales y los procedimientos, instrucciones y
directrices de seguridad de la información formadas por el segundo nivel, serán aprobados por Resolución
del Rector, a propuesta del Comité de Seguridad de la Información.

El Comité de Seguridad de la Información establecerá los plazos en los que se desarrollará la normativa e
instrucciones técnicas derivadas de la presente Política de Seguridad de la Información.

7 Organización de la Seguridad

7.1 Responsables
Los responsables de la seguridad se detallan a continuación:

- Responsable de la Información: El Gerente General.

- Responsable de los Servicios: Los designados por el Gerente General.

- Responsable de Seguridad: Será designado por el Gerente General.

- Responsable del Sistema: El responsable del Área de Tecnologías de la Información.

7.2 Comité de Seguridad de la Información

El Comité de Seguridad de la Información coordina la seguridad de la información en la Universidad Rey
Juan Carlos.

El Comité de Seguridad de la Información estará formado por:

a) Responsable de la Información o persona en quien delegue, que será el Presidente del Comité.

b) Un representante de los Responsables de los Servicios.

c) Responsable de Seguridad.

d) Responsable del Sistema.

e) Dirección de la Asesoría Jurídica, o persona en quien delegue.

7.3 Funciones y responsabilidades

De acuerdo con el artículo 10 del Real Decreto 3/2010, por el que se aprueba el Esquema Nacional de
Seguridad, la seguridad es una función diferenciada. Por ello, se definen las siguientes funciones y
responsabilidades.

7.3.1 Responsable de la Información

- Velar por el buen uso de la información y su protección.
- Ser el responsable último de cualquier error o negligencia que lleve a un incidente de
confidencialidad o de integridad.
- Determinar los niveles de seguridad de la información.
7

ID. DOCUMENTO 5j0OPWZOpH Página: 7 / 11

FIRMADO POR FECHA FIRMA ID. FIRMA
IDCES-50834204H RAMOS LOPEZ FRANCISCO JAVIER 09-05-2018 12:20:33 1525861239785

5j0OPWZOpH
 - Aprobar formalmente el nivel de seguridad de la información.

7.3.2 Responsable del Servicio

- Determinar los niveles de seguridad de los servicios.
- Aprobar formalmente el nivel de seguridad del servicio

7.3.3 Responsable del Sistema

- Gestionar el Sistema de Información durante todo su ciclo de vida, desde la especificación,
instalación hasta el seguimiento de su funcionamiento.
- Definir los criterios de uso y los servicios disponibles en el Sistema.
- Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del
marco general de seguridad.
- Elaborar los procedimientos operativos de seguridad, los planes de mejora de la seguridad y los
planes de continuidad.
- Suspender el manejo de cierta información o la prestación de un cierto servicio si detecta
deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos
establecidos.

7.3.4 Responsable de Seguridad

- Mantener el nivel adecuado de seguridad de la información manejada y de los servicios prestados
por los sistemas.
- Realizar o promover las auditorías periódicas a las que obliga el ENS para verificar el
cumplimiento de los requisitos del mismo.
- Promover la formación y concienciación en materia de seguridad TIC.
- Comprobar que las medidas de seguridad existente son las adecuadas para las necesidades de la
entidad.
- Revisar, completar y aprobar toda la documentación relacionada con la seguridad del sistema.
- Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión
de eventos de seguridad y mecanismos de auditoría implementados en el sistema.
- Analizar y promover salvaguardas que prevengan incidentes de seguridad.
- Realizar o instar a la realización de un análisis de riesgos con revisión y aprobación anual.
- Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su
resolución, emitiendo informes periódicos sobre los más relevantes al Comité de Seguridad de
la Información.

7.3.5 Procedimiento de designación

El desempeño de cualquiera de las responsabilidades y funciones definidas en esta Política de Seguridad de
la Información vendrá determinado por el acceso a los diferentes cargos que han quedado vinculados a
ella. En el caso de que por modificación de la delegación de competencias o de la Relación de Puestos de
Trabajo desapareciese o cambiara de denominación alguno de los puestos definidos en esta Política, será
competencia del Rector o del Gerente General, según corresponda, oída la Comisión de Seguridad de la
Información, asignar las funciones y responsabilidades dentro del marco establecido por esta Política.

ID. DOCUMENTO 5j0OPWZOpH Página: 8 / 11

FIRMADO POR FECHA FIRMA ID. FIRMA
IDCES-50834204H RAMOS LOPEZ FRANCISCO JAVIER 09-05-2018 12:20:33 1525861239785

5j0OPWZOpH
 8 Principios básicos
Siguiendo las directrices del Esquema Nacional de Seguridad, la Universidad Rey Juan Carlos asegurará el
cumplimiento de sus objetivos utilizando sistemas de información, para lo cual se tendrán en cuenta los
siguientes principios básicos:

a) Seguridad integral.

b) Gestión de riesgos.

c) Prevención, reacción y recuperación.

d) Líneas de defensa.

e) Reevaluación periódica.

  f) Función diferenciada.

9 Requisitos mínimos
Siguiendo las directrices del Esquema Nacional de Seguridad, la Universidad Rey Juan Carlos velará por el
cumplimiento y gestión continuada de la seguridad atendiendo los siguientes requisitos básicos:

a) Organización e implantación del proceso de seguridad.

b) Análisis y gestión de los riesgos.

c) Gestión de personal.

d) Profesionalidad.

e) Autorización y control de los accesos.

f) Protección de las instalaciones.

g) Adquisición de productos.

h) Seguridad por defecto.

i) Integridad y actualización del sistema.

j) Protección de la información almacenada y en tránsito.

k) Prevención ante otros sistemas de información interconectados.

l) Registro de actividad.

m) Incidentes de seguridad.

n) Continuidad de la actividad.

o) Mejora continua del proceso de seguridad.

ID. DOCUMENTO 5j0OPWZOpH Página: 9 / 11

FIRMADO POR FECHA FIRMA ID. FIRMA
IDCES-50834204H RAMOS LOPEZ FRANCISCO JAVIER 09-05-2018 12:20:33 1525861239785

5j0OPWZOpH
 10 Obligaciones y deberes del personal
Todos los miembros de la Universidad Rey Juan Carlos tienen la obligación de conocer y cumplir esta
Política de Seguridad de la Información, los Procedimientos y la Normativa de Seguridad, siendo
responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la
información llegue a los afectados, de acuerdo con la normativa vigente.

Todos los miembros de la Universidad Rey Juan Carlos recibirán formación o concienciación en seguridad
de la información. Para ello se establecerá un programa de concienciación continua para atender a todos
los miembros de la Universidad Rey Juan Carlos, en particular a los de nueva incorporación.

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán
formación o concienciación para el manejo seguro de los sistemas en la medida en que la necesiten para
realizar su trabajo. Para ello se incluirá en el plan de formación de la Universidad formación específica en
esta materia.

11 Protección de Datos de Carácter Personal

La Universidad Rey Juan Carlos trata datos de carácter personal. Los documentos de seguridad, a los que
tendrán acceso sólo las personas autorizadas, recogen los ficheros afectados y los responsables
correspondientes. Todos los sistemas de información de la Universidad se ajustarán a los niveles de
seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal
recogidos en el mencionado Documento de Seguridad, que recoge todas las medidas técnicas y
organizativas que se han implantado para garantizar la seguridad de los datos, los sistemas y las personas
que intervienen en el tratamiento de los mismos.

12 Gestión de Riesgos
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas
y los riesgos a los que están expuestos. Este análisis se repetirá:

- Regularmente, al menos una vez al año.

- Cuando cambie la información manejada.
- Cuando cambien los servicios prestados.
- Cuando ocurra un incidente grave de seguridad.
- Cuando se reporten vulnerabilidades graves.

13 Acceso a la Información
Quienes traten información de la Universidad Rey Juan Carlos que no sea de acceso público, deberán
estar debidamente identificados y tener los privilegios de acceso a la información estrictamente necesarios
para desempeñar su cometido. Es por ello que el acceso a los sistemas de información debe estar
controlado y limitado exclusivamente a las personas usuarias, procesos, dispositivos y sistemas de
información que estén debidamente autorizadas, de forma que el acceso quede restringido exclusivamente
a las funciones permitidas.

10

ID. DOCUMENTO 5j0OPWZOpH Página: 10 / 11

FIRMADO POR FECHA FIRMA ID. FIRMA
IDCES-50834204H RAMOS LOPEZ FRANCISCO JAVIER 09-05-2018 12:20:33 1525861239785

5j0OPWZOpH
 14 Relación con Terceras partes
Cuando la Universidad Rey Juan Carlos preste servicios o maneje información de otros organismos, se
les hará partícipe de esta Política de Seguridad de la Información. Se establecerán canales para reporte y
coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos
de actuación para la reacción ante incidentes de seguridad.

Cuando la Universidad Rey Juan Carlos utilice servicios de terceros o ceda información a terceros, se les
hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o
información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa,
pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán
procedimientos específicos de reporte y resolución de incidencias. Se garantizará que el personal de
terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el
establecido en esta Política.

Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en
los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en
que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por el Responsable de
la Información y el Responsable de los Servicios, antes de seguir adelante.

15 Responsabilidades en caso de incumplimiento

El Comité de Seguridad de la Información podrá apreciar si por parte del personal que tiene acceso a
datos de la Universidad Rey Juan Carlos o trata dichos datos en el ejercicio de sus actividades
profesionales, existe algún tipo de incumplimiento en las obligaciones previstas en la Política de Seguridad
de la Información o en su normativa e instrucciones de desarrollo.

En caso de incumplimiento, se prevén medidas preventivas y correctivas encaminadas a salvaguardar y

proteger las redes y sistemas de información, sin perjuicio de la correspondiente exigencia de
responsabilidad disciplinaria.

16 Aprobación y entrada en vigor

La Política de Seguridad de la Información de la Universidad Rey Juan Carlos se aprueba, mediante
Resolución del Rector de fecha 7 de mayo de 2018, y deroga la Política aprobada por el mismo órgano en
fecha de 1 de marzo de 2016.

Esta Política es efectiva desde su fecha de aprobación y hasta que sea reemplazada por una nueva Política.
Dicha Política estará sujeta a un proceso de revisión regular, a fin de adaptarla a las nuevas circunstancias
técnicas y organizativas.

11

ID. DOCUMENTO 5j0OPWZOpH Página: 11 / 11

FIRMADO POR FECHA FIRMA ID. FIRMA
IDCES-50834204H RAMOS LOPEZ FRANCISCO JAVIER 09-05-2018 12:20:33 1525861239785

5j0OPWZOpH