Atención: El texto que se muestra a continuación ha sido extraído de los mismos ficheros que se han utilizado para obtener el fichero PDF correspondiente del BOJA oficial y auténtico, habiéndose suprimido todas las imágenes, ciertas tablas y algunos textos de la versión oficial al existir dificultades de edición. Para consultar la versión oficial y auténtica de esta disposición puede descargarse el fichero PDF firmado de la disposición desde la sede electrónica del BOJA o utilizar el servicio de Verificación de autenticidad con CVE 00167005.
CAPÍTULO I
Disposiciones generales
Artículo 1. Objeto.
Artículo 2. Ámbito de aplicación.
CAPÍTULO II
Objetivos, principios y marco regulador
Artículo 3. Objetivos y principios básicos.
Artículo 4. Marco regulador de seguridad TIC.
CAPÍTULO III
Organización de la seguridad TIC
Artículo 5. Estructura organizativa en la Consejería.
Artículo 6. Creación del comité de seguridad TIC.
Artículo 7. Composición del comité de seguridad TIC.
Artículo 8. Funciones del comité de seguridad TIC.
Artículo 9. Funcionamiento y régimen jurídico del comité de seguridad TIC.
Artículo 10. Unidad de seguridad TIC.
Artículo 11. Responsable de seguridad y responsable delegado o delegada de seguridad.
Artículo 12. Responsable de la información y del tratamiento.
Artículo 13. Responsable del servicio.
Artículo 14. Responsable del sistema.
Artículo 15. Delegado o delegada de protección de datos.
Artículo 16. Resolución de conflictos.
Artículo 17. Estructura organizativa en entidades vinculadas o dependientes.
CAPÍTULO IV
Gestión de la seguridad TIC
Artículo 18. Directrices de seguridad.
Artículo 19. Desarrollo normativo de la seguridad TIC.
Artículo 20. Gestión de riesgos.
Artículo 21. Auditorías de la seguridad.
Artículo 22. Cooperación con otros órganos y administraciones en materia de seguridad.
Disposición adicional primera. Constitución del comité de seguridad TIC.
Disposición adicional segunda. Deber de colaboración de órganos y unidades de la Consejería.
Disposición derogatoria única. Derogación de normas.
Disposición final primera. Habilitación para ejecución y desarrollo.
Disposición final segunda. Entrada en vigor.
El Esquema Nacional de Seguridad en el ámbito de la administración electrónica (ENS) cuyo objeto es el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información, actualmente incluido en el artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, se regula por el Real Decreto 3/2010, de 8 de enero, que regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, aún en vigor.
Su finalidad última es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a la ciudadanía y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Para dar cumplimiento a los requisitos y finalidades del ENS en su propio ámbito, la Junta de Andalucía aprobó el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, cuyo artículo 10 ordena que cada Consejería en su ámbito de aplicación disponga formalmente de su propio Documento de Política de Seguridad TIC aprobado por su persona titular.
El citado decreto creó un Comité de Seguridad de las Tecnologías de la Información y Comunicaciones (TIC) corporativo para toda la Junta de Andalucía dependiente de la Consejería competente en materia de dirección e impulso de la política de telecomunicaciones y seguridad de los sistemas de información, junto con un grupo de personas expertas en seguridad TIC de la Administración de la Junta de Andalucía. Además, estableció que cada Consejería y ente instrumental de la Administración de la Junta de Andalucía debían constituir su propio Comité de Seguridad TIC mediante orden de cada Consejería.
Por otro lado, para la gestión ordinaria de la seguridad disponía la existencia de un Responsable de Seguridad corporativo y uno en cada Consejería o ente instrumental a designar por el respectivo Comité de Seguridad TIC. Esta figura asumiría las funciones de Responsable de Seguridad descritos en la normativa reguladora del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Recientemente, el Decreto 70/2017, de 6 de junio, ha modificado el Decreto 1/2011, de 11 de enero. Dicha modificación, según su exposición de motivos, responde a la necesidad de reforzar el gobierno de la seguridad TIC en la Administración de la Junta de Andalucía y se centra, fundamentalmente, en introducir cambios en la organización corporativa de la seguridad TIC, potenciando la estructura de gobierno mediante la definición de atribuciones específicas a las Consejerías en relación con su propia seguridad y con la de las entidades vinculadas o dependientes de ellas, clarificando la aplicación del principio de función diferenciada y delimitando las funciones que deben desempeñar las distintas áreas implicadas en el mantenimiento de la seguridad, en línea con los perfiles con responsabilidad en seguridad definidos en la normativa reguladora del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Consecuentemente, la novedad más significativa fue la sustitución del Responsable de Seguridad TIC tanto corporativo como de las Consejerías por una Unidad de Seguridad TIC corporativa de la Junta de Andalucía y en otra Unidad de Seguridad TIC por cada Consejería con funciones más definidas, cuya persona titular será la que asuma el papel, funciones y responsabilidades encomendados al Responsable de Seguridad por el Esquema Nacional de Seguridad. Solamente los entes instrumentales mantendrán la figura del Responsable de Seguridad TIC como puesto unipersonal y no como unidad. De acuerdo con el principio de función diferenciada la responsabilidad de la seguridad de los sistemas de tecnologías de la información y comunicaciones estará diferenciada de la responsabilidad sobre la prestación de servicios.
En la elaboración de esta orden se han tenido en cuenta el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), directamente aplicable a partir del 25 de mayo de 2018 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. También se ha tenido en cuenta la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como «Directiva NIS», así como su transposición al ordenamiento jurídico español mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
Esta orden consta de veintidós artículos, distribuidos en cuatro capítulos, dos disposiciones adicionales, una disposición derogatoria y dos disposiciones finales.
El capítulo I contiene las disposiciones generales sobre objeto y ámbito de aplicación.
Por su parte, el capítulo II, regula los objetivos, principios y el marco regulador.
El capítulo III se refiere a la organización de la seguridad TIC. Se define de forma pormenorizada la estructura organizativa de la Consejería y la de sus entidades vinculadas o dependientes. Se define la creación y composición del comité de seguridad TIC, así como sus funciones, funcionamiento y régimen jurídico. También se regula el nombramiento de la unidad de seguridad TIC de la Consejería, y se indican sus funciones. Además se regulan las figuras dentro de la estructura de seguridad y se indica la forma de resolver los posibles conflictos entre ellos. Respecto al ENS, se tratan las figuras del responsable de seguridad de la Consejería y los de las entidades vinculadas o dependientes, y los responsables delegados de seguridad, el responsable de la información, el del servicio y el del sistema. Respecto a la normativa de protección de datos se tienen en cuenta las figuras del responsable del tratamiento y la del delegado o delegada de protección de datos.
El capítulo IV regula la gestión de la Seguridad TIC, definiendo en el mismo, aspectos técnicos relativos a las directrices de seguridad, los distintos niveles de desarrollo de la política de seguridad TIC, la gestión de riesgos, la realización de auditorías, y la cooperación con otros órganos y administraciones en materia de seguridad.
Por último consta de dos disposiciones adicionales, relativas a la constitución del comité de seguridad y al deber de colaboración de todos órganos y unidades de la Consejería en las actuaciones de implementación de la política de seguridad TIC, una disposición derogatoria, y dos finales sobre la habilitación para la ejecución y desarrollo de la presente orden, y su entrada en vigor.
En la elaboración y tramitación de la orden, se ha actuado conforme a los principios de buena regulación a los que se refiere el artículo 129.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. En cuanto a los principios de necesidad y eficacia, la orden no hace sino desarrollar el artículo 10.1 del Decreto 1/2011, de 11 de enero, como estaba obligada, teniendo el rango normativo de orden en cumplimiento de lo dispuesto en su apartado 2; cumple con el de proporcionalidad al desarrollar estrictamente con el mandato del decreto, no imponiendo más obligaciones a la ciudadanía ni a la Administración que los establecidos en él y regulando figuras necesarias para el cumplimiento de la finalidad perseguida; sobre el de seguridad jurídica, se han tenido en cuenta todas las normas europeas, estatales y autonómicas de aplicación; acerca del de transparencia, al tratarse de una disposición de organización interna no ha habido consulta previa ni trámite de audiencia a la ciudadanía, limitándose los informes a los internos de la Administración; y, por fin, es eficiente porque no sólo evita imponer cargas administrativas adicionales, sino que se limita a utilizar los recursos ya existentes para dar los servicios requeridos sin que suponga ningún incremento de gasto.
En su virtud, en uso de las atribuciones conferidas por los artículos 44.2 de la Ley 6/2006, de 24 de octubre, del Gobierno de la Comunidad Autónoma de Andalucía, y 26.2.a) de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía, y conforme a lo establecido en el Decreto 98/2019, de 12 de febrero, por el que se establece la estructura orgánica de la Consejería de Turismo, Regeneración, Justicia y Administración Local,
DISPONGO
CAPÍTULO I
Disposiciones generales
Artículo 1. Objeto.
1. Esta orden tiene como objeto establecer la política de seguridad de las tecnologías de la información y las comunicaciones (en adelante TIC) en el ámbito de la Consejería de Turismo, Regeneración, Justicia y Administración Local, que se ha de aplicar para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestione la Consejería en el ejercicio de sus competencias.
2. Esta orden constituye el documento de política de seguridad TIC de la Consejería, y es de obligado cumplimiento, de conformidad con lo dispuesto por el artículo 10 del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
Artículo 2. Ámbito de aplicación.
1. La política de seguridad TIC regulada en esta orden será de aplicación a todos los activos y sistemas que presten servicios y traten información mediante medios electrónicos, de los que la Consejería sea titular, tenga encomendada su gestión o sean usados para el ejercicio de las competencias que le son propias en el ámbito de la Administración, así como a todo el personal que tenga acceso a dichos sistemas.
2. La política de seguridad TIC resultará de obligado cumplimiento para entidades vinculadas o dependientes de la Consejería, de conformidad con el Decreto 1/2011, de 11 de enero y con el Decreto 98/2019, de 12 de febrero, por el que se establece la estructura orgánica de la Consejería de Turismo, Regeneración, Justicia y Administración Local.
3. Se excluyen de la presente política de seguridad los activos y sistemas de la Administración de Justicia afectados por el Esquema Judicial de Interoperabilidad y Seguridad (EJIS).
4. Sin perjuicio de lo anterior y de acuerdo con lo establecido por el artículo 10 del Decreto 1/2011, de 11 de enero, las entidades instrumentales incluidas en el ámbito de aplicación de esta orden deberán disponer formalmente de su propio documento de política de seguridad TIC, así como de las disposiciones de desarrollo que adecuen, en su caso, las directrices comunes de la Administración de la Junta de Andalucía a sus particularidades, debiendo ser aprobado por la persona titular de cada entidad.
CAPÍTULO II
Objetivos, principios y marco regulador
Artículo 3. Objetivos y principios básicos.
Los objetivos y principios básicos de la política de seguridad TIC son los establecidos en los artículos 4 y 5 del Decreto 1/2011, de 11 de enero, y los principios básicos y requisitos mínimos establecidos en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS), buscando en todo caso:
a) Garantizar a toda la ciudadanía andaluza que sus datos serán gestionados de acuerdo a los estándares y buenas prácticas en seguridad TIC.
b) Aumentar el nivel de concienciación en materia de seguridad TIC de todas las entidades a las que es de aplicación el decreto, garantizando que el personal a su servicio es consciente de sus obligaciones y responsabilidades.
c) Establecer las bases de un modelo integral de gestión de la seguridad TIC en la Administración de la Junta de Andalucía, que cubra en un ciclo continuo de mejora los aspectos técnicos, organizativos y procedimentales.
d) Garantizar el cumplimiento de la legislación vigente en materia de seguridad TIC.
Artículo 4. Marco regulador de seguridad TIC.
El marco regulador de la seguridad TIC se atendrá a lo dispuesto por la disposición adicional primera del Decreto 1/2011, de 11 de enero, sin perjuicio de cualquier otra normativa aplicable a esta Consejería en virtud de su naturaleza legal y sus competencias.
CAPÍTULO III
Organización de la seguridad TIC
Artículo 5. Estructura organizativa en la Consejería.
1. La organización para la gestión de la seguridad TIC se conforma mediante la siguiente estructura mínima:
a) Comité de seguridad TIC.
b) Unidad de seguridad TIC. La persona responsable de esta unidad, tendrá la condición de responsable de seguridad TIC.
c) Responsable de seguridad TIC y responsable delegado o delegada de seguridad.
d) Responsable de la información y en su caso, del tratamiento.
e) Responsable del servicio.
f) Responsable del sistema.
g) delegado o delegada de protección de datos, en adelante DPD.
2. En función de las necesidades y circunstancias de la organización, las funciones de algunas de estas figuras podrán recaer sobre una misma persona o grupo de personas, unidad o departamento, siempre teniendo en cuenta que la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios y que la figura del DPD deberá recaer en una única persona, que no podrá coincidir y deberá ser independiente de cualquier otra figura en la estructura de seguridad.
Artículo 6. Creación del comité de seguridad TIC.
Se crea el comité de seguridad TIC de la Consejería de Turismo, Regeneración, Justicia y Administración Local, en adelante comité de seguridad TIC de la Consejería, como órgano de los regulados en el artículo 10 del Decreto 1/2011, de 11 de enero, para la dirección y seguimiento en materia de seguridad de los activos TIC de los que la Consejería sea titular o cuya gestión tenga encomendada en el ámbito de la Administración General, correspondiendo a la persona titular de la Secretaría General Técnica su impulso y organización, así como velar por su buen funcionamiento.
Artículo 7. Composición del comité de seguridad TIC.
1. El comité de seguridad TIC de la Consejería estará compuesto por los siguientes miembros:
a) Presidencia: La persona titular de la Viceconsejería.
b) Vicepresidencia: La persona titular de la Secretaría General Técnica.
c) Vocalías:
1.º Las personas titulares de cada uno de los órganos directivos centrales de la Consejería que tengan responsabilidades sobre algún sistema de información.
2.º Una persona en representación de los órganos periféricos de la Consejería, designada por la persona titular de la Presidencia, a propuesta de la persona titular de la Vicepresidencia entre las distintas personas responsable delegado o delegada de seguridad en dichos órganos.
3.º La persona que ostente el perfil de responsable de seguridad de la Consejería.
4.º Las personas titulares de las Coordinaciones Generales de la Viceconsejería y de la Secretaría General Técnica.
5.º La persona que ostente el perfil responsable de seguridad TIC en cada entidad vinculada o dependiente de la Consejería.
d) Secretaría: La persona titular de la Jefatura del Servicio de Informática, con voz y voto, que ejercerá las funciones propias de dicho cargo, entre otras convocar las reuniones por orden de la persona titular de la presidencia, preparar el orden del día y elaborar el acta de las sesiones.
2. El comité de seguridad TIC de la Consejería podrá convocar a sus reuniones a las personas que en cada caso autorice la presidencia, por propia iniciativa o a propuesta de alguno de sus miembros. Asimismo, podrá recabar de personal técnico especializado, propio o externo, en calidad de asesores, la información pertinente para la toma de decisiones.
Igualmente el comité de seguridad TIC de la Consejería, cuando proceda en función de los asuntos a tratar en el orden del día de la reunión, podrá convocar a la persona que desempeñe las funciones del DPD de la Consejería, en calidad de asesora en materia de protección de datos.
3. Conforme a lo expuesto en el artículo 3.3 de la Ley 12/2007, de 26 de noviembre, para la Promoción de la Igualdad de Género en Andalucía, la composición del comité de seguridad TIC de la Consejería deberá garantizar, en la medida de lo posible, la representación paritaria de mujeres y hombres.
Artículo 8. Funciones del comité de seguridad TIC.
Las funciones que corresponden al comité de seguridad TIC de la Consejería son:
a) Aprobar el desarrollo de la normativa de seguridad TIC de segundo nivel según lo previsto en el artículo 19, mediante Normas que amplíen y desarrollen, sobre la base de los mínimos establecidos, las Resoluciones que se aprueben por parte de la Dirección General competente en materia de coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones de la Administración de la Junta de Andalucía, en conformidad con el artículo 2.5 de la Orden de 9 de junio de 2016, por la que se efectúa el desarrollo de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
b) Coordinar a alto nivel todas las actuaciones de seguridad, velando para que la definición y el desarrollo de las mismas se adecuen en todo momento a las directrices marcadas por la política de seguridad TIC, involucrando a las diferentes áreas implicadas.
c) Definir, aprobar y realizar el seguimiento de los objetivos, iniciativas y planes estratégicos en materia de seguridad TIC.
d) Velar para que todos los ámbitos de responsabilidad y actuación en relación a la seguridad TIC y su tratamiento queden perfectamente definidos. Especialmente, para asegurar que todos y cada uno de los miembros de la estructura de seguridad definida conozcan sus funciones y responsabilidades.
e) Proporcionar, dentro de los límites establecidos en los programas asignados por las leyes anuales de presupuestos a la Consejería, los medios y recursos necesarios para posibilitar la realización de las iniciativas planificadas. Entre ellas, la evaluación por parte de la unidad de seguridad TIC de los aspectos de seguridad de nuevos sistemas de información o de evolutivos de los existentes antes de su puesta en producción, como se recoge en el apartado e) del artículo 11.1 del Decreto 1/2011, de 11 de enero.
f) Velar por el desarrollo, aprobación, implantación, concienciación, formación y divulgación, así como por el cumplimiento y actualización de la política de seguridad TIC en la Consejería. Para su actualización, elevará las propuestas de revisión de la política de seguridad TIC de la Consejería, o de revisión del marco regulador de seguridad TIC de la Junta de Andalucía, a los órganos competentes para su tramitación reglamentaria.
g) Nombrar a los miembros de la unidad de seguridad TIC de la Consejería, así como a su responsable.
h) Velar porque la seguridad TIC se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
i) Aprobar las medidas correctoras que correspondan, derivadas de las conclusiones elaboradas por la unidad de seguridad TIC, de las auditorías de seguridad internas o externas que se realicen.
j) Promover la formación y concienciación en materia de seguridad TIC entre el personal de la Consejería, así como la formación continua y especializada de los miembros de la unidad de seguridad TIC y del delegado o delegada de protección de datos.
k) Planificar y priorizar las iniciativas necesarias para cumplir con las directrices, los objetivos y los principios marcados en la presente Política de seguridad TIC. En especial, la elaboración, actualización y evaluación periódica de los análisis de riesgos necesarios.
l) Impulsar los preceptivos análisis de riesgos junto a la unidad de seguridad TIC y los perfiles responsable de la información, responsable del servicio y delegado o delegada de protección de datos. Para ello, se deberá impulsar la determinación de los niveles de seguridad de la información tratada y de los servicios prestados, usando la valoración de los impactos que tendrían los incidentes que afectaran a la seguridad TIC.
m) Gestionar la aceptación, en su caso, de los riesgos residuales por sus responsables correspondientes respecto de la información y/o de los servicios de su competencia, obtenidos en el análisis de riesgos.
n) Monitorizar el desempeño del proceso de gestión de incidentes de seguridad TIC, así como la toma de decisiones en respuesta a incidentes de seguridad críticos.
o) Establecer los mecanismos necesarios para compartir la documentación del marco regulador con el propósito de normalizarlo en todo el ámbito de aplicación y determinar los medios de difusión de la política de seguridad TIC.
p) Establecer los mecanismos necesarios de coordinación con los Comités de Seguridad TIC de las entidades vinculadas o dependientes de la Consejería.
q) Coordinar las medidas técnicas y organizativas establecidas en la normativa de protección de datos personales, de acuerdo con los correspondientes análisis de riesgos y, en su caso, las evaluaciones de impacto en la protección de datos, contando con el asesoramiento del delegado o delegada de protección de datos.
r) Cuantas otras le sean encomendadas.
Artículo 9. Funcionamiento y régimen jurídico del comité de seguridad TIC.
1. El comité de seguridad TIC de la Consejería se reunirá con carácter ordinario una vez al año y con carácter extraordinario cuando lo decida la presidencia, por propia iniciativa o previa solicitud de alguno de sus miembros.
2. El comité de seguridad TIC de la Consejería podrá constituir, convocar, celebrar sus sesiones, adoptar acuerdos y remitir actas, tanto de forma presencial como utilizando redes de comunicación a distancia, con las medidas adecuadas que garanticen la identidad de las personas comunicantes y la autenticidad de la información transmitida.
3. El comité de seguridad TIC de la Consejería se regirá por esta orden, por la normativa reguladora de la política de seguridad TIC en la Administración de la Junta de Andalucía, así como por el resto de normativa aplicable, la reguladora del ENS y de protección de datos de carácter personal.
4. En caso de vacante, ausencia, enfermedad y en general cuando concurra una causa justificada, la persona titular de la presidencia podrá ser sustituida por la persona titular de la vicepresidencia. Así mismo, la persona titular de la secretaría del comité podrá ser sustituida en el mismo caso por una persona que ostente una plaza en el Servicio de Informática de la Secretaría General Técnica, que no podrá ser miembro de la unidad de seguridad TIC de la Consejería.
5. La presidencia del comité de seguridad TIC de la Consejería ostentará voto de calidad en caso de empate en la toma de decisiones.
Artículo 10. Unidad de seguridad TIC.
1. Se crea, adscrita a la Secretaría General Técnica, la unidad de seguridad TIC, que ejercerá las funciones de responsabilidad de seguridad TIC de la Consejería, garantizando el principio de función diferenciada previsto en el artículo 5.j) del Decreto 1/2011, de 11 de enero.
2. Las personas integrantes de la unidad de seguridad TIC serán nombradas por el comité de seguridad TIC de la Consejería entre el personal funcionario de la Consejería, a propuesta de la persona titular de la secretaría del comité, debiendo contar con una persona responsable, adscrita al Servicio de Informática de la Secretaría General Técnica. La persona responsable de seguridad deberá ser designada atendiendo a sus cualidades profesionales y, en particular, a su experiencia y conocimientos contrastados, tanto técnicos como de gestión, dentro del campo de la seguridad de la información, y a su capacidad para desempeñar sus funciones.
3. Las funciones de la unidad de seguridad TIC serán:
a) Labores de soporte, asesoramiento e información a los responsables de la estructura de seguridad de la Consejería y al comité de seguridad TIC de la Consejería, así como de ejecución de las decisiones y acuerdos adoptados por éste.
b) Diseño y ejecución de los programas de actuación propios de la Consejería, incluyendo, entre otros, planes directores de seguridad, proyectos de desarrollo normativo, proyectos de seguridad operativa, auditorías técnicas y de cumplimiento y planes de adecuación legal.
c) Definición, implantación y mantenimiento de los controles de carácter organizativo para la protección de los datos, aplicaciones y sistemas, así como la realización, supervisión y mantenimiento de los análisis de riesgos de la Consejería y proponer las medidas necesarias para su tratamiento.
d) Revisión de los análisis de riesgos de forma periódica, cuando existan cambios sustanciales en la información tratada y/o los servicios prestados, ocurra un incidente de seguridad grave o se reporten vulnerabilidades graves, elevando el correspondiente informe al comité de seguridad TIC de la Consejería.
e) Análisis de informes de auditorías, elevando al comité de seguridad TIC de la Consejería las conclusiones.
f) Supervisión sistemática de los controles de carácter procedimental, operacional y medidas técnicas de protección de los datos, aplicaciones y sistemas de la Consejería.
g) Definición y supervisión de los criterios y requisitos técnicos de seguridad aplicados en las distintas fases del ciclo de vida de los soportes, sistemas y aplicaciones de la Consejería por parte de los Servicios o Departamentos responsables de la prestación de los servicios TIC. Esto incluye la definición de los requisitos y cláusulas de seguridad de los contratos de nuevos desarrollos, que deben estar actualizados en todo momento. Adicionalmente, antes de la puesta en producción de nuevos sistemas de información o de evolutivos de los existentes, la unidad de seguridad TIC deberá evaluar los aspectos de seguridad y comunicar los posibles riesgos a las personas responsables de la Información y responsables de los servicios correspondientes.
h) Elaboración y emisión de un informe cuando, en el marco de una relación establecida con un tercero, éste no pueda satisfacer algún aspecto de la Política. El informe deberá precisar los riesgos en que se incurre y la forma de tratarlos, requiriendo la aceptación, en su caso, de las personas responsables de la información y responsables de los servicios afectados para continuar con la mencionada relación. Los referidos responsables deberán responder al informe en un plazo no superior a 30 días.
i) Definición y ejecución de los programas formativos y de concienciación relacionados con buenas prácticas de seguridad TIC en el ámbito de la Consejería.
j) Coordinación, dirección y seguimiento de la actividad en materia de seguridad TIC de las entidades vinculadas o dependientes de la Consejería, desde el momento que se tenga conocimiento de la aprobación de la política de seguridad TIC de dichas entidades.
k) Aplicación de los criterios y directrices de gestión de la seguridad TIC emanadas de la unidad de seguridad TIC corporativa.
l) Gestión de la documentación de seguridad TIC.
m) Y cuantas otras le sean encomendadas por el órgano directivo del que dependa funcional u orgánicamente.
4. La unidad de seguridad TIC elaborará y mantendrá un inventario de servicios y sistemas en el que se indiquen expresamente las personas u órganos nombrados por el comité, que asumen las figuras de responsable de la información, responsable del servicio, y responsable del sistema.
Artículo 11. Responsable de seguridad y responsable delegado o delegada de seguridad.
1. De conformidad con el artículo 11.3 del Decreto 1/2011, de 11 de enero, la persona responsable de la unidad de seguridad TIC de la Consejería ostentará la condición de responsable de seguridad con los deberes y responsabilidades que le asigna la normativa reguladora del ENS.
2. Cada órgano directivo periférico de la Consejería deberá contar con una persona responsable delegado o delegada de seguridad, designada por la persona responsable de seguridad de la Consejería, de la que dependerán funcionalmente, a propuesta de la persona titular de dicho órgano.
3. Por medio de la designación de personas responsables delegadas de seguridad, el responsable de seguridad delega funciones, que serán especificadas en las designaciones entre las propias de la unidad de seguridad TIC, sin perjuicio de que siga ostentando la responsabilidad final.
4. Las personas responsables delegadas de seguridad se harán cargo, en su ámbito, de todas aquellas acciones que delegue el responsable de seguridad. Como mínimo, se delegarán las funciones recogidas en los apartados a), f) y h) del artículo 10.3.
Artículo 12. Responsable de la información y del tratamiento.
1. Será responsable de la información la persona con capacidad de decisión sobre la finalidad, contenido y uso de la información. Esta responsabilidad recaerá en la persona titular del órgano directivo central o periférico, o en su caso, órgano colegiado en cuyo ámbito de decisión se incluya la información tratada.
2. A los efectos previstos en el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, el responsable de la información tendrá asimismo, respecto de los datos personales contenidos en la información incluida en su ámbito de actuación, la consideración de responsable del tratamiento.
3. Las funciones del responsable de la información serán:
a) Determinar los niveles de seguridad de la información, realizando una categorización de la información mediante la valoración del impacto de los incidentes que puedan producirse.
b) Proporcionar la información necesaria a la unidad de seguridad TIC para realizar los preceptivos análisis de riesgos, con la finalidad de establecer las salvaguardas a implantar. Para ello contará con la ayuda de los responsables de los servicios y del responsable del sistema.
c) Aceptar los riesgos residuales de las informaciones tratadas identificados en el análisis de riesgos y realizar su seguimiento y control, en particular los resultantes del informe al que se refiere el apartado 3.h) del artículo 10, sin prejuicio de la posibilidad de delegar esta tarea.
d) Asegurarse de que los permisos correspondientes al personal que ya no tenga que acceder a la información tratada, se revoquen o deshabiliten en los sistemas relacionados.
4. Cuando el responsable de la información ostente la condición de responsable del tratamiento, además de las funciones descritas en el apartado anterior, le corresponderá adoptar la decisión sobre la creación del tratamiento, su finalidad, así como el contenido y uso de los datos tratados a lo largo de todo el ciclo de vida del tratamiento. La información actualizada de dicho responsable junto a sus tratamientos se recogerá en el Registro de Actividades de Tratamiento de la Consejería, de conformidad con lo establecido en el artículo 31 de la Ley Orgánica 3/2018, de 5 de diciembre.
Artículo 13. Responsable del servicio.
1. Será responsable del servicio la persona con capacidad de decisión sobre las características del servicio a prestar. Esta responsabilidad recaerá en la persona titular del órgano directivo central o periférico, o en su caso, órgano colegiado en cuyo ámbito de decisión se incluya la determinación de las características del servicio a prestar.
2. Las funciones del responsable del servicio serán:
a) Determinar los niveles de seguridad de los servicios, realizando una categorización de los servicios mediante la valoración del impacto de los incidentes que puedan producirse.
b) Proporcionar la información necesaria a la unidad de seguridad TIC para realizar los preceptivos análisis de riesgos, con la finalidad de establecer las salvaguardas a implantar. Para ello contará con la ayuda de los responsables de la información y del responsable del sistema.
c) Aceptar los riesgos residuales de los servicios prestados identificados en el análisis de riesgos y realizar su seguimiento y control, en particular los resultantes del informe al que se refiere el apartado 3.h) del artículo 10, sin prejuicio de la posibilidad de delegar esta tarea.
d) Asegurarse de que los permisos correspondientes al personal que ya no tenga que acceder al servicio prestado, se revoquen o deshabiliten en los sistemas relacionados.
Artículo 14. Responsable del sistema.
1. Será responsable del sistema la persona o personas con la responsabilidad de implantar, operar y mantener el sistema de información durante todo su ciclo de vida.
2. Las funciones del responsable del sistema serán:
a) Gestionar el sistema durante todo su ciclo de vida, desde la especificación del mismo a la instalación y seguimiento de su funcionamiento.
b) Velar porque la seguridad TIC esté presente en todas y cada una de las partes del ciclo de vida del sistema, contemplando que las directrices de seguridad establecidas de manera horizontal por la Junta de Andalucía se sigan en el desarrollo del sistema. Además deberá verificar de forma previa a su publicación, que existen y están actualizadas las cláusulas y requisitos de seguridad particulares especificados por la unidad de seguridad TIC, en los posibles contratos relacionados con el sistema, y posteriormente durante el desarrollo del sistema deberá verificar su cumplimiento. Para ello podrá contar con el asesoramiento de la unidad de seguridad TIC.
c) Asesorar en la definición de la tipología y política de gestión del sistema, definiendo los criterios de uso y los servicios disponibles en el mismo.
d) Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.
e) Crear y gestionar la documentación de seguridad del sistema, con el asesoramiento de la unidad de seguridad TIC.
f) Asesorar, en colaboración con la unidad de seguridad TIC, a los responsables de la información y a los responsables de los servicios en el proceso de análisis y la gestión de riesgos.
g) Investigar los incidentes de seguridad que afecten al sistema, y en su caso, comunicarlos al responsable de seguridad o a quién éste determine.
h) Suspender el tratamiento de cierta información o la prestación de un determinado servicio si detecta deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con la persona responsable de la unidad de seguridad TIC y con las personas responsables del servicio y de la información involucradas, antes de ser ejecutada.
3. La persona titular de la jefatura del Servicio de Informática designará a la persona o personas responsables del sistema en caso de sistemas de información cuya implantación, operación y mantenimiento se lleve a cabo por parte de la Consejería. Para cada sistema de información deberá existir al menos un Responsable de Sistema, siendo posible que una misma persona sea responsable de varios o de todos los sistemas.
4. En caso de sistemas de información cuya implantación, operación y mantenimiento no se lleve a cabo por parte de la Consejería, la persona titular del órgano directivo bajo cuyo ámbito se establezca la relación con el tercero encargado de dichas funciones, deberá comunicar a la unidad de seguridad TIC los datos de la persona responsable de sistema.
Artículo 15. Delegado o delegada de protección de datos.
1. Este perfil de responsabilidad deberá asumirse por una persona funcionaria adscrita a la Consejería atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones de conformidad con lo establecido en los artículos 37 y 38 del Reglamento General de Protección de Datos y los artículos 34 y 35 de la Ley Orgánica 3/2018, de 5 de diciembre.
2. El delegado o delegada de protección de datos desempeñará las funciones recogidas en la normativa reguladora de la materia, en especial:
a) Respecto de la aplicación del principio de responsabilidad proactiva que recoge el artículo 5 del Reglamento General de Protección de Datos, podrá proporcionar indicaciones a los responsables del tratamiento para demostrar el cumplimiento de sus obligaciones en relación con la normativa vigente de protección de datos.
b) Velará, desde la posición que le atribuye el artículo 38 del Reglamento General de Protección de Datos, por el correcto ejercicio de los derechos de los interesados recogidos en el Capítulo III del Reglamento General de Protección de Datos, en especial cuando se requiera la respuesta coordinada de diferentes responsables del tratamiento.
c) Supervisará que los encargos de tratamiento sobre categorías de datos que requieran una evaluación del impacto sobre la privacidad, por aplicación del artículo 35 del Reglamento General de Protección de Datos, recojan en su articulado las medidas de seguridad atribuibles al encargado y determinadas por el responsable del tratamiento para afrontar los riesgos evaluados.
Artículo 16. Resolución de conflictos.
1. En caso de conflicto entre las diferentes personas u órganos responsables de la estructura organizativa en el ámbito de la seguridad TIC, este será resuelto por el comité de seguridad TIC, debiendo contemplar siempre que prevalezca el mayor nivel de exigencia respecto a la seguridad.
2. En caso de conflicto entre los responsables de la estructura organizativa en el ámbito de la seguridad TIC y los responsables definidos en la normativa de protección de datos de carácter personal, este será resuelto por el comité de seguridad TIC, debiendo contemplar que prevalezca la decisión que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.
Artículo 17. Estructura organizativa en entidades vinculadas o dependientes.
1. De acuerdo con el artículo 6.2.c) del Decreto 1/2011, de 11 de enero, la organización para la gestión de la seguridad TIC en las entidades vinculadas o dependientes de la Consejería se conforma mediante la siguiente estructura mínima:
a) Comité de seguridad TIC.
b) Responsable de seguridad TIC.
2. En función de las necesidades y circunstancias de la organización, las funciones de algunas de estas figuras podrá recaer sobre una misma persona, unidad o departamento.
3. La responsabilidad de la conformación y designación de estas figuras en las entidades vinculadas o dependientes recaerá sobre las propias entidades.
4. Las atribuciones del comité de seguridad TIC de las entidades vinculadas o dependientes podrán ser asumidas por el comité de dirección de la entidad.
5. Los nombramientos realizados para los distintos perfiles de la estructura organizativa de seguridad TIC en las entidades vinculadas o dependientes deberán comunicarse al comité de seguridad TIC de la Consejería.
CAPÍTULO IV
Gestión de la seguridad TIC
Artículo 18. Directrices de seguridad.
Los principios básicos asumidos por la política de seguridad TIC de la Consejería se concretan en un conjunto de directrices particulares y responsabilidades específicas que se enmarcan en los siguientes ámbitos:
a) Tratamiento seguro de la información.
Los activos TIC de información deberán inventariarse asociando a cada uno de ellos los datos de la persona responsable de los mismos y categorizarse de acuerdo a lo establecido por el ENS, en función de su sensibilidad y criticidad para el desarrollo de la actividad de la Consejería. Dicha categorización será la que determine el nivel de protección y las medidas a aplicar sobre el activo para garantizar la confidencialidad, la integridad y la disponibilidad de la información.
b) Tratamientos de datos de carácter personal.
Los tratamientos de datos de carácter personal que se efectúen en el marco de la actividad de los diferentes órganos directivos de la Consejería se ajustarán a lo dispuesto por el Reglamento General de Protección de Datos, la Ley Orgánica 3/2018, de 5 de diciembre, y la normativa de desarrollo. La gestión de la seguridad de los datos de carácter personal se basará en la aplicación de las medidas técnicas y organizativas apropiadas teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines de los tratamientos realizados, los riesgos para los derechos y libertades de las personas físicas y el estado de la técnica y los costes de aplicación de conformidad con el artículo 32 del Reglamento General de Protección de Datos.
c) Acceso y uso de activos TIC.
Los criterios para un uso correcto, ordenado y seguro de los activos TIC que se ponen a disposición del personal que presta sus servicios bajo el ámbito de aplicación de esta orden son de capital importancia para garantizar una óptima gestión de la seguridad. En el desarrollo de este ámbito se deberá contemplar lo dispuesto por las instrucciones y normas de carácter horizontal que regulen el comportamiento del personal empleado público en el uso de los sistemas informáticos y redes de comunicaciones de la Administración de la Junta de Andalucía.
d) Seguridad física y ambiental.
Los activos TIC se emplazarán en áreas seguras, protegidas mediante controles de acceso físicos acordes a su nivel de criticidad que impidan la interferencia humana, sea esta intencionada o accidental. Igualmente, se dispondrán medidas de protección contra factores externos y ambientales adversos.
e) Seguridad ligada al personal.
Todas las personas que presten servicios en la Consejería tendrán la obligación de conocer y cumplir la presente política de seguridad TIC y su normativa de desarrollo. Se implantarán los mecanismos necesarios para que cualquier persona que se incorpore a la Consejería o pueda acceder a alguno de sus activos TIC sea informado del marco regulador de seguridad aplicable y conozca sus responsabilidades, reduciendo de este modo el riesgo derivado de usos indebidos. El incumplimiento manifiesto de la presente política de seguridad TIC o la normativa de seguridad derivada de ésta podrá acarrear el inicio de las medidas disciplinarias oportunas y, en su caso, las responsabilidades legales que correspondan. Se dispondrán los medios necesarios para la articulación de iniciativas y actividades de formación y concienciación en seguridad TIC destinadas a lograr la adecuada capacitación de las personas empleadas públicas de los órganos alcanzados por esta norma. Entre tales actividades se incluirán las de difusión de esta política de seguridad TIC y de su desarrollo regulador, las dirigidas a la prevención de amenazas o aquellas relativas a la protección de datos personales. Las personas con responsabilidad en el uso, operación o administración de sistemas de información tendrán derecho a recibir formación para su uso seguro y a ser informados de sus deberes y obligaciones en materia de seguridad en la medida en que la necesiten para realizar su trabajo.
f) Control de acceso.
Se limitará el acceso lógico a los activos TIC de acuerdo a su criticidad, implantando para ello mecanismos de identificación, autenticación y autorización de usuarios en relación a las funciones que estos tengan permitidas, poniendo en práctica el principio de menor privilegio o de asignación solo de los privilegios de uso necesarios para el desempeño de las tareas encomendadas. Además, cuando sea necesario, se contemplará el registro de la utilización del sistema para asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la Consejería.
g) Seguridad en la gestión de comunicaciones y operaciones.
Se definirán los mecanismos necesarios para lograr una adecuada gestión de la seguridad, operación y actualización de las TIC, supervisándose su estado y reportando incidencias. La información transmitida a través de redes de comunicaciones deberá protegerse de forma adecuada, teniendo en cuenta su nivel de sensibilidad y criticidad.
h) Planificación, desarrollo y mantenimiento de sistemas de información.
Los sistemas se diseñarán y configurarán de forma que la seguridad TIC se garantice por defecto y se contemple en todas las fases de su ciclo de vida, desde su planificación y diseño, pasando por las fases de desarrollo y mantenimiento y alcanzando hasta su retirada. Se contemplará la operativa que permita gestionar el conocimiento de la configuración de los sistemas así como las relaciones y conexiones entre ellos, lo que propiciará la planificación y gestión de su seguridad.
i) Gestión de incidentes de seguridad y de la continuidad.
Ante incidentes de seguridad TIC, el personal deberá actuar conforme a los mecanismos apropiados para su correcta identificación, registro y resolución, habilitando un sistema de gestión que permita la mejora continua de la seguridad del sistema.
En la gestión de los incidentes deberán integrarse aquellos procedimientos que establezca el órgano competente en materia de coordinación y ejecución de la política de seguridad TIC de la Administración de la Junta de Andalucía o el comité de seguridad TIC Corporativo de la Junta de Andalucía. Igualmente, la Consejería estará integrada en el grupo atendido por el Equipo de Respuesta a Incidentes de Seguridad Informática de la Junta de Andalucía, con el que coordinará su actuación ante incidentes.
Se implantarán los mecanismos apropiados para asegurar la disponibilidad de los sistemas y mantener la continuidad de sus procesos, de acuerdo a las necesidades de nivel de servicio.
j) Relaciones con terceros.
Cuando la Consejería preste servicios a otros organismos o trate información de otros organismos, se les hará partícipes de esta política de seguridad TIC, estableciendo los mecanismos de coordinación entre las organizaciones y los procedimientos de actuación frente a incidentes de seguridad que procedan.
Cuando la Consejería utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta política de seguridad TIC y de la normativa de seguridad que aplique. Dicha tercera parte quedará sujeta, a través de cláusulas contractuales o acuerdos de nivel de servicio, a las obligaciones generales establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán mecanismos de comunicación y resolución de incidencias. Se deberá garantizar que el personal de terceros esté adecuadamente concienciado en materia de seguridad, al menos, al mismo nivel que el establecido en esta Política.
Cuando algún aspecto de esta política de seguridad TIC no pueda ser satisfecho por el tercero, la unidad de seguridad TIC realizará un informe que precise los riesgos en que se incurre y la forma de tratarlos, el cual deberá ser aprobado por los responsables de la información y de los Servicios afectados.
La Consejería podrá contar con la ayuda de terceros para mejorar sus sistemas de seguridad, mediante la contratación de auditorías, asistencias técnicas o desarrollos especializados.
Artículo 19. Desarrollo normativo de la seguridad TIC.
1. Las medidas contenidas en el cuerpo normativo de seguridad TIC se desarrollarán en cuatro niveles con diferente ámbito de aplicación, detalle técnico y obligatoriedad de cumplimiento, pero de manera que cada elemento de desarrollo se fundamente en el nivel superior. Todos estos niveles prestarán especial atención a las exigencias derivadas del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, así como a la normativa aplicable en materia de protección de datos de carácter personal.
2. Los niveles de desarrollo son los siguientes:
a) Primer nivel: Política de seguridad TIC, constituido por esta orden. Es de obligado cumplimiento en toda la Consejería.
b) Segundo nivel: Normas de seguridad. Describen de forma general los principios y ámbitos de seguridad que serán concretados en los niveles posteriores y son de obligado cumplimiento en toda la Consejería. En general serán resoluciones de la Dirección General competente en materia de coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones de la Administración de la Junta de Andalucía. Sin embargo el comité de seguridad TIC de la Consejería podrá aprobar normas propias para la Consejería, sobre la base de los mínimos establecidos, desarrollando o ampliando dichas resoluciones.
c) Tercer nivel: Procedimientos. Describen las acciones a realizar, de una manera más específica, en un proceso relacionado con la seguridad. Son dependientes de las normas de seguridad.
d) Cuarto nivel: Guías técnicas. En este último nivel se puede incluir todo tipo de documentación técnica o especializada que se considere necesario para completar y facilitar el desarrollo de las medidas de seguridad.
3. Además de los documentos que conforman los niveles anteriores, la documentación de seguridad TIC podrá contar con las guías e instrucciones que publiquen los centros expertos para la gestión de la seguridad de ámbito estatal y autonómico así como con otros documentos de carácter no vinculante, como pueden ser recomendaciones, informes, registros o evidencias electrónicas.
4. En virtud del apartado 4 del artículo 2 de la Orden de 9 de junio de 2016, por la que se efectúa el desarrollo de la política de seguridad TIC en la Administración de la Junta de Andalucía, la Consejería desarrollará los procedimientos y guías técnicas, que tendrán el carácter de recomendaciones.
5. La unidad de seguridad TIC será la encargada de la gestión de la documentación de seguridad TIC.
6. El comité de seguridad TIC de la Consejería establecerá los mecanismos necesarios para compartir la documentación del marco regulador con el propósito de normalizarlo, en la medida de lo posible, en todo el ámbito de aplicación.
7. La siguiente tabla resume el marco de desarrollo y la responsabilidad de su aprobación dentro de la Consejería:
Nivel | Documento | Aprueba |
Primero | Política de seguridad | Persona titular de la Consejería |
Segundo | Normas de seguridad | Comité de seguridad TIC de la Consejería |
Tercero | Procedimientos | Persona titular de la Secretaría General Técnica |
Cuarto | Guías técnicas | Persona titular de la jefatura del Servicio de Informática |
Artículo 20. Gestión de riesgos.
1. La Consejería asume el compromiso de controlar los riesgos de seguridad y dar cumplimiento a la normativa vigente mediante un proceso continuo de gestión de riesgos. El establecimiento de dicho proceso seguirá las normas, guías y recomendaciones establecidas a tal efecto por el Centro Criptológico Nacional.
2. El proceso de gestión de riesgos comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas.
3. Según lo dispuesto por el Reglamento General de Protección de Datos, en el análisis de riesgos también se deberán contemplar aquellos específicos de los tratamientos de datos de carácter personal.
4. Las personas encargadas de la categorización de los sistemas serán los responsables de la información y de los Servicios, siendo la unidad de seguridad TIC la responsable de supervisar los análisis de riesgos y proponer las medidas de seguridad necesarias para su tratamiento, pudiendo recabar para ello información y ayuda del responsable del sistema.
5. Los responsables de la información y de los Servicios son los responsables de aceptar los riesgos residuales calculados en el análisis y de realizar su seguimiento y control.
6. La unidad de seguridad TIC revisará el análisis de riesgos con periodicidad anual o cuando existan cambios sustanciales en la información tratada y/o los servicios prestados, ocurra un incidente de seguridad grave o se reporten vulnerabilidades graves, elevando el correspondiente informe al comité de seguridad TIC de la Consejería.
Artículo 21. Auditorías de la seguridad.
1. Los sistemas de información serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos de la presente política, del ENS o de cualquier otra norma que así lo requiera. Con carácter extraordinario, se realizará dicha auditoría cuando existan cambios sustanciales en la información tratada y/o los servicios prestados, ocurra un incidente de seguridad grave o se reporten vulnerabilidades graves.
2. Los informes de auditoría quedarán a disposición del comité de seguridad TIC de la Consejería. Estos informes serán analizados por la unidad de seguridad TIC que elevará al comité de seguridad TIC de la Consejería las conclusiones que procedan para que éste adopte las medidas correctoras adecuadas.
Artículo 22. Cooperación con otros órganos y administraciones en materia de seguridad.
1. En atención a la mejora continua de la gestión de la seguridad TIC, se fomentará (en coordinación con la unidad de seguridad TIC corporativa para los agentes externos a la Junta de Andalucía) el establecimiento de mecanismos de comunicación con otros agentes especializados en esta materia, como pueden ser:
a) Comité de seguridad TIC y unidad de seguridad TIC Corporativos de la Junta de Andalucía.
b) AndalucíaCERT: Equipo de Respuesta a Incidentes de Seguridad TIC de la Junta de Andalucía.
c) CCN-CERT: Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional.
d) INCIBE: Instituto Nacional de Ciberseguridad.
e) AEPD: Agencia Española de Protección de Datos.
f) Grupo de Delitos Telemáticos de la Guardia Civil y Brigada Central de Investigación Tecnológica del Cuerpo Nacional de Policía, para la investigación de acciones relacionadas con la delincuencia informática y los fraudes en el sector de las telecomunicaciones.
g) Asociaciones y organizaciones de expertos, especializados en Seguridad TIC o protección de datos.
2. Adicionalmente, se mantendrán contactos con otros organismos de la Junta de Andalucía para compartir experiencias y ampliar conocimientos en esta materia.
Disposición adicional primera. Constitución del comité de seguridad TIC.
La primera reunión del comité de seguridad TIC de la Consejería tendrá por objeto, entre otros puntos establecidos, en su caso, en el orden del día, la constitución del mismo, y se celebrará en un plazo máximo de un mes a partir de la entrada en vigor de la presente orden.
Disposición adicional segunda. Deber de colaboración de órganos y unidades de la Consejería.
Todos los órganos y unidades de la Consejería prestarán su colaboración en las actuaciones de implementación de la presente política de seguridad TIC.
Disposición derogatoria única. Derogación de normas.
Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo establecido en esta orden y, en particular, la Orden de 26 de noviembre de 2014, de la Consejería de Turismo y Comercio, por la que se crea y regula la composición, atribuciones, funcionamiento y método de trabajo del comité de seguridad TIC, y la Orden de 22 de diciembre de 2014, por la que se establece la política de la seguridad de la información en el ámbito de la Administración Electrónica de la Consejería de Justicia e Interior, así como el marco organizativo y tecnológico.
Disposición final primera. Habilitación para ejecución y desarrollo.
Se faculta a la persona titular de la Secretaría General Técnica de la Consejería para dictar cuantas instrucciones sean necesarias y adoptar cuantas medidas técnicas sean oportunas para la ejecución y desarrollo de esta orden.
Disposición final segunda. Entrada en vigor.
Esta orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de la Junta de Andalucía.
Sevilla, 16 de diciembre de 2019
JUAN ANTONIO MARÍN LOZANO | |
Vicepresidente de la Junta de Andalucía y Consejero de Turismo, Regeneración, Justicia y Administración Local |