Na sequência da publicação do despacho reitoral n.º 23/2018, de 15 de março, que cria o Conselho de Segurança da Informação e Proteção de Dados Pessoais, ao abrigo do disposto na alínea n) do n.º 1 do artigo 23.º dos Estatutos da Universidade de Évora, homologados pelos Despacho Normativo 10/2014 (2.ª série), de 5 de agosto, por meu despacho de 15 de março é aprovado e posto em vigor o Regulamento do Conselho de Segurança da Informação e Proteção de Dados Pessoais da Universidade de Évora, que se publica em anexo ao presente despacho.
ANEXO
Regulamento do Conselho de Segurança da Informação e Proteção de Dados Pessoais
Artigo 1.º
Objeto
O presente regulamento estabelece regras de composição e funcionamento do Conselho de Segurança de Informação e Proteção de Dados da Universidade de Évora, doravante também designado por CSIPDP.
Artigo 2.º
Missão
O CSIPDP tem por missão promover e contribuir para a definição e consolidação de políticas e práticas visando a salvaguarda da informação na Universidade, bem como a gestão dos dados pessoais com respeito pela privacidade dos titulares.
Artigo 3.º
Composição
1 - O CSIPDP é composto pelos seguintes membros:
a) Presidente, cargo exercido pelo Reitor, ou titular com competências delegadas;
b) Encarregado da Proteção de Dados (EPD);
c) Responsável pela Segurança de Informação (RSI);
d) Um representante de cada Unidade Orgânica;
e) O Administrador da Universidade de Évora.
2 - Os membros referidos nas alíneas b) a c) são designados pelo Reitor.
Artigo 4.º
Competências
São competências do CSIPDP:
a) Analisar o desempenho do EPD;
b) Analisar, acompanhar e propor propostas de políticas, de processos de gestão, de procedimentos e de práticas, de segurança de informação e proteção de dados pessoais;
c) Identificar os responsáveis pela gestão dos processos críticos no âmbito da gestão dos processos e do inventário;
d) Pronunciar-se sobre temas de segurança de dados que lhe sejam submetidos pelos órgãos de governo da Universidade;
e) Propor medidas de tratamento do risco a aplicar e identificar riscos residuais;
f) Solicitar estudos internos ou externos para a viabilidade de medidas de melhoria contínua;
g) Analisar incidentes registados e propor medidas para a garantia de não-reincidência.
Artigo 5.º
Encarregado da Proteção de Dados
1 - O encarregado da proteção de dados tem as competências e funções definidas para o "Encarregado da Proteção de Dados" (Data Protection Officer), no âmbito do Regulamento Geral de Proteção de Dados.
2 - O encarregado da proteção de dados é o ponto de contacto da Universidade para a autoridade nacional de controlo, designadamente a Comissão Nacional de Proteção de Dados, sobre questões relacionadas com o tratamento de dados pessoais.
3 - São competências do encarregado da proteção de dados, sem prejuízo de outras legalmente previstas:
a) Controlar a conformidade da Universidade com a legislação e regulamentos aplicáveis sobre proteção de dados pessoais;
b) Colaborar com o presidente do CSIPDP, prestar aconselhamento, propor políticas e procedimentos sobre proteção de dados pessoais.
4 - Sem prejuízo das funções no âmbito da CSIPDP, o encarregado da proteção de dados, no exercício destas funções, reporta diretamente ao Reitor.
Artigo 6.º
Responsável pela Segurança de informação
1 - O Responsável pela Segurança de Informação (Chief Information Security Officer) é a pessoa responsável pela coordenação e implementação da Gestão de Segurança da Informação na Universidade.
2 - São competências do Responsável pela Segurança de Informação:
a) Colaborar com o presidente do CSIPDP, prestar aconselhamento, propor políticas, procedimentos e identificar ações de melhoria contínua sobre segurança da informação;
b) Monitorizar continuamente a aplicação das políticas de segurança de informação previamente definidas;
c) Participar ativamente na divulgação das políticas de segurança e na sensibilização e formação dos colaboradores envolvidos;
d) Gerir o ciclo de vida das políticas e processos de gestão de segurança da informação;
e) Interagir e coordenar os responsáveis por processos, procedimentos e recursos, tendo em vista garantir a adequada gestão dos processos e dos riscos associados;
f) Propor superiormente, sempre que necessário e pertinente, a afetação de colaboradores e a coordenação de grupos de trabalho.
3 - O Responsável pela Segurança de Informação reporta ao Reitor para garantir a disponibilidade dos recursos necessários, para a operacionalização e melhoria contínua da Gestão de Segurança da Informação.
Artigo 7.º
Funcionamento
1 - O CSIPDP é coordenado pelo Presidente, apoiado pelo Responsável pela Segurança de Informação e pelo Encarregado pela Proteção de Dados, que constituem a comissão permanente do órgão.
2 - O CSIPDP pode deliberar a constituição de grupos de trabalho que podem integrar elementos exteriores ao órgão em função das necessidades.
3 - O CSIPDP reunirá ordinariamente duas vezes por ano e extraordinariamente sempre que tal for considerado necessário.
4 - O CSIPDP elaborará um relatório anual de atividades incluindo uma análise dos principais incidentes reportados, das medidas corretivas adotadas e das medidas preventivas propostas.
Artigo 8.º
Entrada em vigor
Este Regulamento entra em vigor no dia seguinte à sua publicação no Diário da República.
19/04/2018. - A Reitora da Universidade de Évora, Ana Costa Freitas.
311289468