Orden de 30 de agosto de 2018, por la que se establece la política de la seguridad de las tecnologías de la información y telecomunicaciones así como el marco organizativo y tecnológico en el ámbito de la Consejería.
| Sección | 1. Disposiciones Generales |
| Emisor | Consejería de la Presidencia, Administración Local y Memoria Democrática |
| Rango de Ley | Orden |
Política de Seguridad TIC
Protección de datos de carácter personal
El Esquema Nacional de Seguridad en el ámbito de la administración electrónica (ENS) cuyo objeto es el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información, actualmente incluido en el artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, se regula por el Real Decreto 3/2010, de 8 de enero, que regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, aún en vigor.
Su finalidad última es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a la ciudadanía y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Para dar cumplimiento a los requisitos y finalidades del ENS en su propio ámbito, la Junta de Andalucía aprobó el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, cuyo artículo 10 ordena que cada Consejería en su ámbito de aplicación disponga formalmente de su propio Documento de Política de Seguridad TIC aprobado por su persona titular.
El citado Decreto creó un Comité de Seguridad de las Tecnologías de la Información y Comunicaciones (TIC) corporativo para toda la Junta de Andalucía dependiente de la Consejería competente en materia de dirección e impulso de la política de telecomunicaciones y seguridad de los sistemas de información, junto con un grupo de personas expertas en seguridad TIC de la Administración de la Junta de Andalucía. Además, estableció que cada Consejería y ente instrumental de la Administración de la Junta de Andalucía debían constituir su propio Comité de Seguridad TIC mediante Orden de cada Consejería.
Por otro lado, para la gestión ordinaria de la seguridad disponía la existencia de un Responsable de Seguridad corporativo y uno en cada Consejería o ente instrumental a designar por el respectivo Comité de Seguridad TIC. Esta figura asumiría las funciones de Responsable de Seguridad descritos en la normativa reguladora del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Recientemente, el Decreto 70/2017, de 6 de junio, ha modificado el Decreto 1/2011, de 11 de enero. Dicha modificación, según su exposición de motivos, responde a la necesidad de reforzar el gobierno de la seguridad TIC en la Administración de la Junta de Andalucía y se centra, fundamentalmente, en introducir cambios en la organización corporativa de la seguridad TIC, potenciando la estructura de gobierno mediante la definición de atribuciones específicas a las Consejerías en relación con su propia seguridad y con la de las entidades vinculadas o dependientes de ellas, clarificando la aplicación del principio de función diferenciada y delimitando las funciones que deben desempeñar las distintas áreas implicadas en el mantenimiento de la seguridad, en línea con los perfiles con responsabilidad en seguridad definidos en la normativa reguladora del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Consecuentemente, la novedad más significativa fue la sustitución del Responsable de Seguridad TIC tanto corporativo como de las Consejerías por una Unidad de Seguridad TIC corporativa de la Junta de Andalucía y en otra Unidad de Seguridad TIC por cada Consejería con funciones más definidas, cuya persona titular será la que asuma el papel, funciones y responsabilidades encomendados al Responsable de Seguridad por el Esquema Nacional de Seguridad. Solamente los entes instrumentales mantendrán la figura del Responsable de Seguridad TIC como puesto unipersonal y no como unidad. De acuerdo con el principio de función diferenciada la responsabilidad de la seguridad de los sistemas de tecnologías de la información y comunicaciones estará diferenciada de la responsabilidad sobre la prestación de servicios.
En la elaboración de esta Orden se ha tenido en cuenta, además de la normativa actualmente aplicable en materia de datos de carácter personal, el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), directamente aplicable a partir del 25 de mayo de 2018.
También se ha tenido en cuenta la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como «Directiva NIS».
La Orden consta de veinticinco artículos, distribuidos en tres capítulos, una disposición adicional y dos disposiciones finales.
El capítulo I contiene las disposiciones generales sobre objeto y ámbito de aplicación.
El capítulo II se refiere a la política de seguridad TIC de la Consejería. En este capítulo se da cumplimiento en el ámbito de la Consejería de la Presidencia, Administración Local y Memoria Democrática a dos obligaciones en materia de seguridad TIC impuestas tanto por el Esquema Nacional de Seguridad como por la normativa reguladora de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
Por un lado, establece la estructura de organización y gestión de la seguridad TIC de la Consejería. A este respecto, contiene la creación del Comité de Seguridad TIC, su composición, funciones y régimen de funcionamiento. Dispone la existencia en su seno de un Grupo de Respuesta a Incidentes en los Sistemas de Información para la toma urgente de decisiones en caso de contingencia grave que afecte a la seguridad de los sistemas de información críticos de la Consejería. También recoge el establecimiento de la Unidad de Seguridad TIC de la Consejería así como sus funciones y responsabilidades.
Por otro lado, aprueba el Documento de Política de Seguridad de la Consejería. Para ello define los roles o funciones de seguridad, prevé las normas para su desarrollo, establece los principios de la política de seguridad TIC de la Consejería, la gestión de riesgos, obligaciones del personal, y por último, refleja las obligaciones de auditoría de seguridad ya establecidas legalmente.
El capítulo III está dedicado a aspectos organizativos para recoger la incidencia de la normativa de protección de datos, y especialmente del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que aprueba el Reglamento General de Protección de Datos, que afectan directamente a la seguridad TIC. Entre ellos el principio de integridad y confidencialidad de los datos de carácter personal recogido en su artículo 5.1.f). que supone que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Además de asumir la incidencia de los aspectos fundamentales del nuevo Reglamento General de Protección de Datos, recoge sus figuras fundamentales, como son el Responsable del Tratamiento, el Encargado del Tratamiento y el Delegado de Protección de Datos, en la política de seguridad TIC de la Consejería.
En la elaboración y tramitación de la presente Orden, se ha actuado conforme a los principios de buena regulación a los que se refiere el artículo 129.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones...
Para continuar leyendo
Solicita tu prueba