Articulo 12 del Política de seguridad de los sistemas de información de la Secretaría de Estado de Presupuestos y Gastos y de la Intervención General de la Administración del Estado

Cada base de datos, correspondiente a un sistema de información o aplicación informática, tendrá asignado un Administrador de Sistemas de Información cuya designación corresponderá a:

a) En caso de sistemas de información centrales, al Responsable de Centro del centro directivo al que competa la responsabilidad de realizar la función asociada al sistema de información o aplicación informática. No obstante, si el Responsable de Centro ha nombrado Responsable de la Información, será el Responsable de la Información el que nombre al Administrador de la misma.

Cuando el contenido de la base de datos central sea el resultado de una gestión descentralizada, el Responsable del Servicio competente, o el Responsable de la Información nombrado por él, podrá designar Responsable Delegado de Autorización de Accesos, por cada unidad u oficina de gestión que participe. Estos Responsables Delegados designarán al correspondiente Administrador de Sistemas de Información.

Cuando se trate de productos o aplicaciones informáticas de utilización general en todo el entorno de la Administración presupuestaria, cuya responsabilidad no esté asignada a un centro directivo concreto, el Administrador de Sistemas de Información será designado por el Coordinador de los SIP.

b) En el caso de sistemas de información departamentales, al Responsable del centro directivo u organización delegada o territorial en la que residan.

c) En el caso de sistemas de información externos, al Coordinador de los SIP.

El Administrador de Sistemas de Información será el responsable de la aplicación de la presente resolución y de las instrucciones y procedimientos que, en esta materia, se desarrollen, en lo que afecta al sistema de información, bajo la dependencia del Responsable de Centro o de Información que lo designara. Para esta misión el Administrador de Sistemas de Información actuará de acuerdo con las instrucciones, procedimientos y herramientas de carácter técnico que establezcan los SIP. Serán funciones y obligaciones del Administrador de Sistemas de Información las siguientes:

a) Instrumentar y gestionar las altas, bajas y el mantenimiento de autorizaciones de acceso a los usuarios de los sistemas de información y, en su caso, de las funciones permitidas (por ejemplo, asignación de perfiles de acceso).

b) Instrumentar y gestionar el acceso de los usuarios externos a los sistemas de información de la red de Informática presupuestaria, previa comunicación a la Unidad de los SIP designada a tal efecto, cuando proceda.

c) Mantener y custodiar la información necesaria sobre la autorización o denegación del acceso de los usuarios a los sistemas de información, al menos durante 2 años.

d) Obtener periódicamente, mediante los medios puestos a su disposición por los SIP, estadística de los accesos realizados por los usuarios a los sistemas de información centrales y departamentales administrados por él.

Además, cuando el sistema de información trate datos de carácter personal, a los que resulten de aplicación las medidas de seguridad de nivel alto del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal, el Administrador de Sistemas de Información, central o departamental, obtendrá un informe mensual de los accesos y operaciones realizadas por los usuarios del sistema, identificando, como mínimo, el usuario, fecha y hora en que se realizó el acceso, el sistema accedido, el tipo de acceso y si ha sido autorizado o denegado.

e) Informar de los incidentes relativos a la seguridad de la información según los procedimientos establecidos para tal fin.