Articulo 27 Política de Seguridad de la Información de la Administración de Cantabria

1. Cuando se presten servicios a otros organismos o se ceda información a terceros.

a) Se les hará partícipes de la Política de Seguridad de la Información establecida en el presente decreto y de las normas de seguridad o procedimientos de seguridad relacionados con el servicio o la información afectados.

b) Se establecerán canales de información y coordinación entre los respectivos responsables de gestión de la seguridad de la información y se establecerán procedimientos de seguridad para la reacción ante incidentes.

2. Cuando se utilicen servicios o se maneje información de otros organismos o entidades, se procurarán canales de información y coordinación en materia de seguridad de la información.

3. En los contratos de adquisición de sistemas o aplicaciones informáticas, de prestación de servicios tecnológicos, y también en el caso de contratos de prestación de servicios de otro tipo que implique el uso de servicios, aplicaciones o sistemas informáticos internos, se deberán tener en cuenta las medidas y consideraciones de seguridad de la información que resulten de aplicación, según la legislación vigente en la materia y especialmente lo señalado en el artículo 9 del Decreto 74/2014, de 27 de noviembre, de Régimen Jurídico de la Administración Electrónica de la Comunidad Autónoma de Cantabria. También se deberán tener en cuenta las medidas y consideraciones de seguridad de la información que resulten de aplicación legal, en caso de acuerdos de cesión de sistemas, aplicaciones o acceso a servicios de otros organismos o entidades.

4. Cuando algún aspecto de la Política de Seguridad de la Información no pueda ser satisfecho por una tercera parte, se requerirá del Responsable de Seguridad de la Información un informe sobre los riesgos en que se puede incurrir y la forma de tratarlos. A la vista de dicho informe y antes de que se haga efectiva la prestación uso, acceso o cesión de que se trate, los responsables de la información o de los servicios decidirán sobre la aceptación o no del riesgo residual de los sistemas de información relacionados con la información o los servicios de los que son responsables.