ORDEN de 19 de julio 2022, por la que se aprueba la Política de Seguridad de la Información de esta Consejería en el ámbito de la Administración Electrónica.

• Sección: I. DISPOSICIONES GENERALES
• Emisor: Consejería de Economía, Conocimiento y Empleo
• Rango de Ley: Orden

PREÁMBULO

En los últimos años el ordenamiento jurídico, tanto estatal como autonómico, ha ido incorporando un conjunto de políticas públicas que, relacionadas intrínsecamente con el propio funcionamiento de la Administración y que, por ello, pueden ser calificadas de instrumentales, tienen todas ellas por finalidad conformar un nuevo modelo de relación del sector público con la ciudadanía que redunde en una prestación de servicios públicos de mayor calidad, más eficaz y eficiente, y adaptado a los nuevos entornos relacionales, como es la relación con la Administración a través de medios digitales, sirviendo mejor a los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia.

La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados y recoge el Esquema Nacional de Seguridad en su artículo 156.

La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13, sobre derechos de las personas en sus relaciones con las Administraciones Públicas, el relativo a la protección de datos de carácter personal y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

La ciudadanía debe confiar en que los servicios públicos disponibles por medios electrónicos se presten en unas condiciones de seguridad equivalentes a las que encuentran cuando se acercan personalmente a las oficinas de la Administración.

Para ello, el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (en adelante ENS), establece los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación. Así mismo, su artículo 12 establece que cada administración pública contará con una política de seguridad formalmente aprobada por el órgano competente.

El marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias ha sido determinado por Orden de 31 de julio de 2013, de la Consejería de Presidencia, Justicia e Igualdad. En su artículo 2 señala que cada organismo incluido en el ámbito de la aplicación de la Orden deberá desarrollar y aprobar el documento de política seguridad de la información en el ámbito de la administración electrónica del organismo, así como las normas y procedimientos que adecúen, en su caso, el marco común y las directrices básicas en la Administración Pública de la Comunidad Autónoma de Canarias a sus particularidades y determina que su aprobación se realizará mediante Orden de la persona titular de la consejería correspondiente o resolución del órgano competente de la entidad pública u organismo autónomo, que deberá publicarse en el Boletín Oficial de Canarias.

La presente Orden departamental se adecúa a los principios de buena regulación establecidos en el artículo 129.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Así, la norma es respetuosa con los principios de necesidad, eficacia y proporcionalidad, en tanto que con ella se persigue el fin pretendido, de conformidad con lo dispuesto el artículo 2.2 de la citada Orden de 31 de julio de 2013. Teniendo en cuenta el objeto de la norma, con su aprobación no se limitan derechos o imponen obligaciones a la ciudadanía ni se introducen nuevas cargas administrativas. Asimismo, la Orden garantiza el principio de seguridad jurídica, ejerciéndose la iniciativa normativa de manera coherente con el resto del ordenamiento jurídico generando un marco normativo estable, predecible, integrado, claro y de certidumbre. En aplicación del principio de transparencia, se definen claramente los objetivos de la iniciativa normativa. En virtud del principio de eficiencia, racionaliza, en su aplicación, la gestión de recursos públicos.

El artículo 32.c) de la Ley 1/1983, de 14 de abril, del Gobierno y de la Administración Pública de la Comunidad Autónoma de Canarias, atribuye a las personas titulares de las Consejerías la competencia de ejercer la potestad reglamentaria en las materias propias de su Departamento, en forma de órdenes departamentales.

Por todo ello, visto el informe de iniciativa reglamentaria de la Secretaria General Técnica de la Consejería de Economía, Conocimiento y Empleo, y en el ejercicio de las competencias atribuidas,

DISPONGO:

CAPÍTULO I

DISPOSICIONES GENERALES Artículos 1 a 21

Artículo 1 Objeto y ámbito de aplicación.

1. La presente Orden tiene por objeto establecer y aprobar la Política de Seguridad de la Información (en adelante, PSI) de la Consejería de Economía, Conocimiento y Empleo en el ámbito de la Administración Electrónica.

2. La PSI aprobada se aplicará a todos los servicios, aplicaciones o sistemas de la Consejería de Economía, Conocimiento y Empleo, por los órganos y unidades de este organismo y por todo el personal destinado en dichos órganos y unidades, así como por el personal de otros organismos o entidades que haya sido autorizado para acceder a los sistemas de información incluidos en su ámbito de aplicación.

3. Así mismo, esta PSI debe ser observada por las personas físicas, jurídicas y entes sin personalidad en sus relaciones con las entidades anteriores cuando procedan al uso de sus sistemas de información.

Artículo 2 Misión del Departamento.

Es misión de la Consejería de Economía, Conocimiento y Empleo la propuesta y ejecución de las directrices del Gobierno de Canarias y de la gestión de los servicios y competencias conforme a su Reglamento Orgánico. En especial: promover un crecimiento económico sostenible, basado en el conocimiento, que contribuya a la diversificación, la internacionalización de la economía, la mejora de la competitividad del tejido empresarial y de la empleabilidad de la ciudadanía, para impulsar la generación de un empleo estable y de calidad en Canarias.

Artículo 3 Principios de la PSI.

Sin perjuicio de los principios básicos establecidos en el Esquema Nacional de Seguridad, la PSI del Departamento se desarrollará, con carácter general, de acuerdo a los siguientes principios determinados en la Orden de 31 de julio de 2013, de la Consejería de Presidencia, Justicia e Igualdad, por la que se establece el marco común y las directrices básicas de la PSI en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias:

1. Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.

2. Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.

3. Principio de disponibilidad y continuidad: se garantizará un alto nivel de disponibilidad en los sistemas de información y se dotarán de los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.

4. Principio de gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la seguridad de los sistemas de información.

5. Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los sistemas de información deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos.

6. Principio de concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad de las tecnologías de la información y la comunicación (en adelante, TIC) de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.

7. Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad TIC.

8. Principio de mejora continua: se revisará el grado de eficacia de los controles de seguridad TIC implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública de la Comunidad Autónoma de Canarias.

9. Principio de seguridad TIC en el ciclo de vida de los sistemas de información: las especificaciones de seguridad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes...