ponsable del Sistema és un lloc operatiu, no un càrrec directiu o de govern. Sol rebre també la denominació de Responsable de Producció o Explotació, de manera que en
ell ve a recaure la responsabilitat de la prestació material del servei.
Segons es manifesta en la Guia CCN-STIC-801, el Responsable del Sistema haurà d'assumir les següents responsabilitats:
- Desenvolupar, operar i mantindre del Sistema durant tot el seu cicle de vida, de les seues especificacions, instal·lació i verificació de el seu correcte funcionament.
- Definir la topologia i política de gestió del Sistema establint els criteris d'ús i els serveis disponibles en aquest.
- Definir la política de connexió o desconnexió d'equips i usuaris nous en el Sistema. Aprovar els canvis que afecten la seguretat de la manera d'operació del Sistema. Decidir les mesures de seguretat que aplicaran els subministradors de components del Sistema durant les etapes de desenvolupament, instal·lació i prova d'aquest..
- Implantar i controlar les mesures específiques de seguretat del Sistema i cerciorar-se que aquestes s'integren adequadament dins del marc general de seguretat. Determinar la configuració autoritzada de maquinari i programari a utilitzar en el Sistema. Aprovar tota modificació substancial de la configuració de qualsevol element del Sistema.
- Dur a terme el preceptiu procés d'anàlisi i gestió de riscos en el Sistema. Determinar la categoria del sistema segons el procediment descrit en l'Annex I de l'ENS i determinar les mesures de seguretat que han d'aplicar-se segons es descriu en l'Annex II de l'ENS..
- Elaborar i aprovar la documentació de seguretat del Sistema.
- Delimitar les responsabilitats de cada entitat involucrada en el manteniment, explotació, implantació i supervisió del Sistema.
- Vetlar per el compliment de les obligacions de l'Administrador de Seguretat del Sistema (ASS).
- Investigar els incidents de seguretat que afecten el Sistema, i si escau, comunicació al Responsable de Seguretat o a qui aquest determine.
- Establir plans de contingència i emergència, duent a terme freqüents exercicis perquè el personal es familiaritze amb ells.
- A més, el responsable del sistema pot acordar la suspensió del maneig de una certa informació o la prestació de un cert servei si és informat de deficiències greus de seguretat que pogueren afectar la satisfacció de els requisits establits. Aquesta decisió ha de ser acordada amb els responsables de la informació afectada, del servei afectat i el responsable de seguretat, abans de ser executeua.
Per tant, aquest professional ha de posseir els coneixements tècnics adequats, així com la capacitat de gestionar l'activitat de els operadors o tècnics de sistemes que tinga al seu càrrec (si n'hi hagués).
D'altra banda, res impedeix que aquesta funció siga assumida per una persona (o persones) externes a la pròpia organització (prèvia formalització contractual) i que puga reportar al Comité de Seguretat o a els Responsables TIC de l'organisme. Fem notar de nou que pot delegar-se la funció, no la responsabilitat, que serà sempre de l'organisme públic.
Quines són les funcions que ha de desenvolupar el Responsable de la.
Informació segons l'ENS?,.qui ha de ser?
Segons es manifesta en la Guia CCN-STIC-801, , el Responsable de la Informació és la persona (o òrgan col·legiat amb responsabilitat unitària identificable) que té la potestat d'establir els requisits de la informació en matèria de seguretat, o, en terminologia de l'ENS, la persona que determina els nivells de seguretat de la informació.
Per tant, el lògic serà que el Responsable de la Informació es corresponga amb algun funcionari o empleat públic (de carrera o de lliure designació, segons els casos) pertanyent a els nivells de govern de l'organisme públic en qüestió (per exemple, càrrecs directius en l'AGE). Note's que la informació de alt nivell que es maneja en un òrgan de l'Administració Pública o Entitat de Dret Públic cau habitualment dins de un grup reduït de tipus de
informació, tipus que són molt estables en el temps. La valoració es realitza una vegada en una fase inicial d'implantació de l'ENS i pot romandre inalterable durant anys.
Com en altres figures, res impedeix que aquesta responsabilitat puga recaure en un òrgan col·legiat (presidit per una persona física, que serà la que assumirà la responsabilitat formal dels seus actes.) Per exemple, tal és el cas del Ple de un Ajuntament, quan determina i aprova la valoració feta d'una determinada informació i, en la seua conseqüència, acceptant el risc residual que poguera romandre després de la preceptiva Anàlisi de Riscos i obtenció de la Declaració d'Aplicabilitat..
Encara que l'aprovació formal de els nivells corresponga al responsable de la informació, es pot recaptar una proposta al Responsable de Seguretat i convé que s'escolte l'opinió del Responsable del Sistema.