Orden de 21 de octubre de 2019, por la que se establece la política de seguridad de la información de la Consejería.

• Sección: 1. Disposiciones Generales
• Emisor: Consejería de Hacienda, Industria y Energía
• Rango de Ley: Orden

orden de la consejería de hacienda, industria y energía, de 21 de octubre de 2019, por la que se establece la política de seguridad de la información de la consejería

índice

Artículo 1 Objeto.

Artículo 2 Ámbito de aplicación.

Artículo 3 Definiciones, objetivos y principios.

Artículo 4 Responsabilidad general.

Artículo 5 Estructura organizativa de la seguridad de la información.

Artículo 6 Comité de Seguridad TIC.

Artículo 7 Unidad de Seguridad TIC.

Artículo 8 Responsables de la Información.

Artículo 9 Responsables del Servicio.

Artículo 10 Responsables del Sistema.

Artículo 11 Delegado de Protección de Datos.

Artículo 12 Responsables del Tratamiento.

Artículo 13 Encargados del Tratamiento.

Artículo 14 Entidades vinculadas o dependientes.

Artículo 15 Resolución de conflictos.

Artículo 16 Gestión de riesgos.

Artículo 17 Clasificación de activos.

Artículo 18 Auditorías de la seguridad.

Artículo 19 Incidencia de la normativa de protección de datos personales.

Artículo 20 Desarrollo de normas de seguridad de la información.

Artículo 21 Formación y concienciación en cultura de la seguridad de la información.

Artículo 22 Cooperación en materia de seguridad.

Artículo 23 Terceras partes.

Artículo 24 Tratamiento de datos personales y observancia de la legislación vigente en la materia.

Artículo 25 Prevención, detección, respuesta y recuperación de incidentes de seguridad.

Disposiciones Adicionales

Disposición adicional primera Constitución del Comité de Seguridad TIC.

Disposición adicional segunda Actualización permanente y revisiones periódicas.

Disposición adicional tercera Tribunal Administrativo de Recursos Contractuales.

Disposición adicional cuarta Habilitación para ejecución y desarrollo.

Disposición derogatoria única Derogación de normas.

Disposiciones Finales

Disposición final primera Publicidad de la política de seguridad de la información.

Disposición final segunda Entrada en vigor.

Crear las condiciones necesarias para generar confianza en el uso de los medios electrónicos en todos los ámbitos de la gestión pública, exige el establecimiento de un conjunto de procedimientos y prácticas que conviertan en una actividad integral el tratamiento y gestión de la seguridad de la información. Tal gestión es un proceso que requiere coordinar recursos humanos, medios electrónicos, normativa, procedimientos y buenas prácticas, en el cual no caben actuaciones puntuales o tratamientos coyunturales, ya que la debilidad de un sistema la determina su punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas, pero deficientemente ensambladas.

La Consejería de Hacienda, Industria y Energía, en adelante la Consejería, va a dar continuidad y ampliar el conjunto de actuaciones iniciados en anteriores legislaturas, y dirigidas a establecer un sistema de gestión de la seguridad de la información ajustado tanto a los marcos metodológicos vigentes, fundamentalmente MAGERIT e ISO/IEC 27001 y 27002, como a los normativos, dictados por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; todo ello con el fin de abordar los aspectos de seguridad necesarios para la protección de sus sistemas de información, así como de las infraestructuras necesarias para el funcionamiento de estos.

La entrada en vigor del Reglamento general de protección de datos, aplicable a partir del 25 de mayo de 2018, la más reciente entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, así como lo dispuesto en el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, hacen necesario un cambio en la organización corporativa de la seguridad de la información y los datos, creando nuevas estructuras y perfiles con responsabilidad en la seguridad tal y como se establecen en estas normas.

Por lo tanto, es necesario establecer la estructura organizativa recogida en el Decreto 1/2011, de 11 de enero, que da respuesta a las obligaciones impuestas por el Esquema Nacional de Seguridad. En concreto, este Decreto indica que cada Consejería, y entidad incluida en el ámbito de aplicación, deberá contar con un Comité de Seguridad TIC, estableciendo los mecanismos para la designación de la Unidad de Seguridad TIC, de Responsable de Seguridad y Responsables de la Información, Servicios y Sistemas; por otra parte, la presente Orden recoge las figuras que aparecen en el Reglamento general de protección de datos y en la Ley Orgánica 3/2018, de 5 de diciembre, entre las que destaca la figura de Delegado de Protección de Datos, sin olvidar a las de Responsables y Encargados del Tratamiento.

En otro orden de cosas, para formalizar los objetivos de seguridad de la Consejería resulta necesario seguir desarrollando una política que recoja las directrices básicas y duraderas de gestión de la seguridad de la información, tal y como viene descrito en el artículo 1 del Real Decreto 3/2010, de 8 de enero. La presente política está en consonancia con el Decreto 1/2011, de 11 de enero, que establece en su artículo 6 la organización de la seguridad TIC en las Consejerías y en sus entidades vinculadas o dependientes, y en su artículo 10 la obligatoriedad de que las Consejerías dispongan de su propio documento de política de seguridad TIC.

Asimismo, la presente política no debe olvidar que los objetivos de la seguridad deben estar alineados con la Resolución de 27 de septiembre de 2004, de la Secretaría General para la Administración Pública, por la que se establece el manual de comportamiento de los empleados públicos en el uso de los sistemas informáticos y redes de comunicaciones de la Administración de la Junta de Andalucía. También debe alinearse con recomendaciones y buenas prácticas, que sin ser específicamente relativas a seguridad de la información, contribuyen a la mejora de la misma. En tal sentido se podría hablar del puesto de trabajo despejado, custodia de la documentación, etc.

Igualmente se deben asumir las competencias y objetivos establecidos en el Decreto 101/2019, de 12 de febrero, por el que se regula la estructura orgánica de la Consejería de Hacienda, Industria y Energía.

Una vez establecida la política de seguridad de la información se reforzará el correspondiente proceso de desarrollo de normas técnicas, que incluirá, entre otras, normas relativas a seguridad física, seguridad lógica, seguridad relativa al personal, gestión de autorizaciones, seguridad documental, etc.

A la vista de lo expuesto, resulta necesario establecer una estructura organizativa apropiada que facilite y ordene el trabajo en este ámbito, así como aprobar y dar a conocer a todos los colectivos implicados en la gestión y utilización de los sistemas de información de la Consejería el conjunto de medidas adoptadas y establecer los mecanismos para el seguimiento y la mejora de los procedimientos establecidos.

La presente orden se adecua a los principios de buena regulación referidos en el artículo 129 de la Ley 39/2015, de 1 de octubre. Es el instrumento legalmente determinado a través del cual la Consejería se ajustará a la normativa relativa a la seguridad de la información y los activos de tecnologías de la información y comunicaciones, creando condiciones que redundan en la creación de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, lo que permite a los ciudadanos el ejercicio de derechos y el cumplimiento de deberes a través de estos medios en las mejores condiciones. Por todo ello se...