Resolución de 27 de marzo de 2024, de la Intervención General de la Administración del Estado, por la que se regula la política de seguridad de la información de la Secretaría de Estado de Presupuestos y Gastos, de la Secretaría General de Fondos Europeos y de la Intervención General de la Administración del Estado.

• Marginal: BOE-A-2024-7943
• Sección: III - Otras Disposiciones
• Emisor: Ministerio de Hacienda
• Rango de Ley: Resolución

En un contexto en el que la tramitación electrónica de los procedimientos ha dejado de ser una excepcionalidad, la relación de las Administraciones Públicas con las personas jurídicas, entes sin personalidad y, en algunos supuestos, con las personas físicas ha de ser obligatoriamente electrónica, debiendo garantizar que se sustentan en redes y sistemas de información seguros y fiables, al objeto de trasladar confianza a las partes concernidas.

Es por ello que la Secretaría de Estado de Presupuestos y Gastos, la Secretaría General de Fondos Europeos y la Intervención General de la Administración del Estado, ámbito funcional conjunto, al que, en adelante, esta resolución se refiere como Administración presupuestaria, consideran la información un activo esencial para el cumplimiento adecuado de sus funciones. Asume, por tanto, la seguridad de la información como una responsabilidad asociada a su protección frente a las amenazas que puedan afectar a su autenticidad, integridad, disponibilidad, confidencialidad y trazabilidad.

La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas regula en su artículo 13 los derechos de las personas en sus relaciones con las Administraciones Públicas, incluyendo en su apartado h) el relativo a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

Por otra parte, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, al regular en su artículo 3 los principios generales que las Administraciones Públicas deben respetar en su actuación y relaciones, establece en su apartado 2 que aquellas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la presentación conjunta de servicios a los interesados.

El artículo 156.2 de la Ley 40/2015 regula el Esquema Nacional de Seguridad (en adelante, ENS) cuyo objeto es establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de las Administraciones Públicas y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.

El ENS está regulado por el Real Decreto 311/2022, de 3 de mayo. En el punto 1 del artículo 3 establece que cuando un sistema de información trate datos personales le será de aplicación lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDyGDD).

En el punto 2 del artículo 12 del ENS establece que todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad y que será aprobada por el titular del órgano superior correspondiente. La Política de Seguridad de la Información del Ministerio de Hacienda está regulada por la Orden HFP/873/2021, de 29 de julio.

La Política de Seguridad regulada en esta resolución se redacta tomando en consideración el punto 3 del antedicho artículo 12 del ENS («También podrán contar con su propia política de seguridad, aprobada por el órgano competente, coherente con la del Departamento del que dependan o al que estén adscritos, los centros directivos de la propia Administración General del Estado que gestionen servicios bajo la declaración de servicios compartidos»), habiéndose asegurado su coherencia con la Política de Seguridad de la Información del Ministerio de Hacienda.

La primera política de seguridad de la Administración presupuestaria data del año 2009 y se reguló mediante la Resolución de 27 de febrero de 2009, de la Secretaría de Estado de Hacienda y Presupuestos. Su redacción se cimentó en las Resoluciones de la Secretaría de Estado de Presupuestos y Gastos, de 8 de julio de 2002 y de la Secretaría de Estado de Hacienda y Presupuestos de 24 de mayo de 2005, de acceso a las bases de datos de la Secretaría General de Presupuestos y Gastos y de la Intervención General de la Administración del Estado que sentaron las bases organizativas y técnicas para la instrumentación de la seguridad informática en la vertiente del control de accesos a las bases de datos, en el ámbito de la Administración presupuestaria. Posteriormente, la política de seguridad fue actualizada mediante la Resolución de 21 de diciembre de 2015, de la Secretaría de Estado de Presupuestos y Gastos, por la que se regula la política de seguridad de los sistemas de información de la Secretaría de Estado de Presupuestos y Gastos y de la Intervención General de la Administración del Estado.

La seguridad es una función transversal en las Administraciones Públicas, habiéndose convertido en un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con un sistema. Es por ello que la seguridad debe abarcar cada etapa del ciclo de vida del sistema (análisis, diseño, desarrollo, implementación, operación, mantenimiento y obsolescencia) y sus documentos (generación, distribución, almacenamiento, procesamiento, transporte, consulta y destrucción).

En este contexto, la presente Política de Seguridad de la Información constituye el marco normativo y organizativo orientado a facilitar la definición, gestión, administración e implementación de los mecanismos y procedimientos de seguridad en el ámbito de la Administración presupuestaria, adaptados al ENS, dentro del marco de referencia establecido por la política de seguridad del Ministerio de Hacienda.

El Real Decreto 206/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda, establece en su artículo 11, apartado 1.h), que la Intervención General de la Administración del Estado es el centro directivo encargado de la planificación, diseño y ejecución de la política informática de la Secretaría de Estado de Presupuestos y Gastos, de la Secretaría General de Fondos Europeos y de la Intervención General de la Administración del Estado, el soporte informático de sus respectivas actividades y el asesoramiento, coordinación e instrumentación de los proyectos informáticos de sus órganos.

Así mismo, el antedicho Real Decreto en el artículo 11, apartado 5.f)1.º le atribuye a la Oficina de Informática Presupuestaria la función de la seguridad de la información.

Esta norma se ajusta a los principios de buena regulación contenidos en el artículo 129 de la Ley 39/2015, de 1 de octubre. En particular, a los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia.

En virtud de lo anterior, esta Intervención General de la Administración del Estado adopta la siguiente resolución:

Primero. Objeto.

Constituye el objeto de la presente resolución la aprobación de la Política de Seguridad de la Información (en adelante, PSI) en el ámbito de la Administración presupuestaria.

El objetivo de la PSI es lograr la protección, proporcional al riesgo, de la información y documentos manejados en la Administración presupuestaria, y de los sistemas, dispositivos y elementos que la elaboran, presentan, almacenan, procesan, transportan o destruyen, mediante la preservación de las dimensiones de seguridad de la información o de los servicios, es decir, su autenticidad, confidencialidad, integridad, disponibilidad y trazabilidad.

Los activos tecnológicos asignados por la Administración presupuestaria para el desempeño de...