Orden de 16 de diciembre de 2019, de por la que se establece la política de seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería.
| Sección | 1. Disposiciones Generales |
| Emisor | Consejería de Turismo, Regeneración, Justicia y Administración Local |
| Rango de Ley | Orden |
Objetivos, principios y marco regulador
Organización de la seguridad TIC
Gestión de la seguridad TIC
El Esquema Nacional de Seguridad en el ámbito de la administración electrónica (ENS) cuyo objeto es el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información, actualmente incluido en el artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, se regula por el Real Decreto 3/2010, de 8 de enero, que regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, aún en vigor.
Su finalidad última es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a la ciudadanía y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Para dar cumplimiento a los requisitos y finalidades del ENS en su propio ámbito, la Junta de Andalucía aprobó el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, cuyo artículo 10 ordena que cada Consejería en su ámbito de aplicación disponga formalmente de su propio Documento de Política de Seguridad TIC aprobado por su persona titular.
El citado decreto creó un Comité de Seguridad de las Tecnologías de la Información y Comunicaciones (TIC) corporativo para toda la Junta de Andalucía dependiente de la Consejería competente en materia de dirección e impulso de la política de telecomunicaciones y seguridad de los sistemas de información, junto con un grupo de personas expertas en seguridad TIC de la Administración de la Junta de Andalucía. Además, estableció que cada Consejería y ente instrumental de la Administración de la Junta de Andalucía debían constituir su propio Comité de Seguridad TIC mediante orden de cada Consejería.
Por otro lado, para la gestión ordinaria de la seguridad disponía la existencia de un Responsable de Seguridad corporativo y uno en cada Consejería o ente instrumental a designar por el respectivo Comité de Seguridad TIC. Esta figura asumiría las funciones de Responsable de Seguridad descritos en la normativa reguladora del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Recientemente, el Decreto 70/2017, de 6 de junio, ha modificado el Decreto 1/2011, de 11 de enero. Dicha modificación, según su exposición de motivos, responde a la necesidad de reforzar el gobierno de la seguridad TIC en la Administración de la Junta de Andalucía y se centra, fundamentalmente, en introducir cambios en la organización corporativa de la seguridad TIC, potenciando la estructura de gobierno mediante la definición de atribuciones específicas a las Consejerías en relación con su propia seguridad y con la de las entidades vinculadas o dependientes de ellas, clarificando la aplicación del principio de función diferenciada y delimitando las funciones que deben desempeñar las distintas áreas implicadas en el mantenimiento de la seguridad, en línea con los perfiles con responsabilidad en seguridad definidos en la normativa reguladora del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Consecuentemente, la novedad más significativa fue la sustitución del Responsable de Seguridad TIC tanto corporativo como de las Consejerías por una Unidad de Seguridad TIC corporativa de la Junta de Andalucía y en otra Unidad de Seguridad TIC por cada Consejería con funciones más definidas, cuya persona titular será la que asuma el papel, funciones y responsabilidades encomendados al Responsable de Seguridad por el Esquema Nacional de Seguridad. Solamente los entes instrumentales mantendrán la figura del Responsable de Seguridad TIC como puesto unipersonal y no como unidad. De acuerdo con el principio de función diferenciada la responsabilidad de la seguridad de los sistemas de tecnologías de la información y comunicaciones estará diferenciada de la responsabilidad sobre la prestación de servicios.
En la elaboración de esta orden se han tenido en cuenta el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), directamente aplicable a partir del 25 de mayo de 2018 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. También se ha tenido en cuenta la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como «Directiva NIS», así como su transposición al ordenamiento jurídico español mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
Esta orden consta de veintidós artículos, distribuidos en cuatro capítulos, dos disposiciones adicionales, una disposición derogatoria y dos disposiciones finales.
El capítulo I contiene las disposiciones generales sobre objeto y ámbito de aplicación.
Por su parte, el capítulo II, regula los objetivos, principios y el marco regulador.
El capítulo III se refiere a la organización de la seguridad TIC. Se define de forma pormenorizada la estructura organizativa de la Consejería y la de sus entidades vinculadas o dependientes. Se define la creación y composición del comité de seguridad TIC, así como sus funciones, funcionamiento y régimen jurídico. También se regula el nombramiento de la unidad de seguridad TIC de la Consejería, y se indican sus funciones. Además se regulan las figuras dentro de la estructura de seguridad y se indica la forma de resolver los posibles conflictos entre ellos. Respecto al ENS, se tratan las figuras del responsable de seguridad de la Consejería y los de las entidades vinculadas o dependientes, y los responsables delegados de seguridad, el responsable de la información, el del servicio y el del sistema. Respecto a la normativa de protección de datos se tienen en cuenta las figuras del responsable del tratamiento y la del delegado o delegada de protección de datos.
El capítulo IV regula la gestión de la Seguridad TIC, definiendo en el mismo, aspectos técnicos relativos a las directrices de seguridad, los distintos niveles de desarrollo de la política de seguridad TIC, la gestión de riesgos, la realización de auditorías, y la cooperación con otros órganos y administraciones en materia de seguridad.
Por último consta de dos disposiciones adicionales, relativas a la constitución del comité de seguridad y al deber de colaboración de todos órganos y unidades de la Consejería en las actuaciones de implementación de la política de seguridad TIC, una disposición derogatoria, y dos finales sobre la habilitación para la ejecución y desarrollo de la presente orden, y su entrada en vigor.
En la elaboración y tramitación de la orden, se ha actuado conforme a los principios de buena regulación a los que se refiere el artículo 129.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. En cuanto a los principios de necesidad y eficacia, la orden no hace sino desarrollar el artículo 10.1 del Decreto 1/2011, de 11 de enero, como estaba obligada, teniendo el rango normativo de orden en cumplimiento de lo dispuesto en su apartado 2; cumple con el de proporcionalidad al...
Para continuar leyendo
Solicita tu prueba