Articulo 4 Consell, por el que se establece la política de seguridad de la información de la Generalitat

1. El gobierno y la gestión de la seguridad de la información se guiarán por los resultados de los procesos de análisis y gestión de riesgos.

2. Los responsables de seguridad de la información elaborarán un informe anual sobre el estado de la seguridad, los riesgos previsibles y los planes de actuación recomendados. Estos informes se elevarán a los responsables de la información y, en su caso, a los responsables de tratamiento, quienes fijarán el nivel de riesgo aceptable y ordenarán las actuaciones oportunas.

3. La reducción de los niveles de riesgo se realizará mediante la aplicación de controles. La selección y aplicación de los controles ponderarán el valor de los activos con los niveles de riesgo y el coste de la seguridad.

4. Los controles deberán ser eficaces antes, durante o después de que ocurra un incidente de seguridad. Su objetivo es evitar que sucedan incidencias y controlar los daños si es que finalmente llegan a producirse.

5. El análisis y la gestión de riesgos deberán estar presentes en todas las fases del ciclo de vida de las aplicaciones y servicios relacionados con el tratamiento de la información, empezando por la del estudio de viabilidad.

6. La selección y aplicación de los controles de seguridad, así como la evaluación de su eficiencia, deberán tenerse en cuenta durante el diseño, construcción, contratación, adquisición, explotación, cierre, terminación, cancelación o enajenación de las aplicaciones y servicios mencionados.

7. Los órganos competentes de la Generalitat valorarán en las contrataciones aquellas empresas, productos y servicios que puedan acreditar un nivel de calidad o seguridad. El cumplimiento de un nivel mínimo determinado podrá ser un requisito imprescindible.