Orden de 22 de diciembre de 2014, por la que se establece la política de la seguridad de la información en el ámbito de la Administración Electrónica de la Consejería de Justicia e Interior, así como el marco organizativo y tecnológico.
Sección | 3. Otras Disposiciones |
Emisor | Consejería de Justicia e Interior |
Rango de Ley | Orden |
En aras de ofrecer a la ciudadanía las condiciones de confianza necesarias en el uso de los medios electrónicos, se pretenden establecer las medidas necesarias para la preservación de la integridad de los derechos fundamentales y, en especial, los relacionados con la intimidad y la protección de datos de carácter personal. En relación con lo anterior, la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, indica que es preciso garantizar la seguridad de los sistemas de información, de las comunicaciones y de los datos y servicios por ellos manejados.
En el ámbito de la Administración Electrónica se entiende por seguridad la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes y las acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad de los datos almacenados o transmitidos y de los servicios que dichas redes o sistemas ofrecen, o a través de los cuales se realiza el acceso.
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas.
El Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica establece el marco regulador de la política de seguridad de la información, el cual debe plasmarse en un documento accesible y comprensible para todos los miembros de la organización. Dicho documento definirá lo que significa seguridad de la información y establecerá la forma en que la organización gestiona y protege la información y los servicios que considera críticos. Además, la política de seguridad de la información debe ser coherente con lo establecido en el Documento de Seguridad que exige el artículo 88 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre.
La Consejería de Justicia e Interior es consciente de la necesidad y la importancia de avanzar en esta regulación para proteger los activos de información que se gestionan en el ámbito de la administración electrónica, dado el creciente peso de los tratamientos plenamente automatizados y el carácter sensible de los datos manejados en su ámbito de gestión.
De una parte, el artículo 10 del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, dispone que en cada entidad incluida en su ámbito de aplicación se creará un Comité de Seguridad TIC, como órgano colegiado de dirección y seguimiento en materia de seguridad de los activos TIC de su titularidad o cuya gestión tenga encomendada. La composición, atribuciones, funcionamiento y método de trabajo del Comité de Seguridad TIC deberá ser aprobada por el máximo órgano de dirección de la entidad, en el caso de las Consejerías mediante Orden de la persona titular.
De otra parte, el artículo 11.1 del Real Decreto 3/2010, de 8 de enero, establece que todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente, entendiendo a estos efectos, en su apartado 2, como órganos superiores a los responsables directos de la ejecución del gobierno autonómico de acuerdo con lo previsto en los estatutos de autonomía correspondiente y normas de desarrollo. De este modo, según se dispone en el artículo 16 de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía, la Consejería de Justicia e Interior es un órgano superior que integra la estructura básica de la Administración de la Junta de Andalucía, bajo la superior dirección del Consejo de Gobierno.
De acuerdo con lo anterior, mediante esta Orden se establece la política de seguridad de la información en el ámbito de la Administración electrónica de la Consejería de Justicia e Interior, así como el marco organizativo y tecnológico.
En su virtud, de acuerdo con lo dispuesto en el artículo 44.2 de la Ley 6/2006, de 24 de octubre, del Gobierno de la Comunidad Autónoma de Andalucía, en el artículo 26.2.a) de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía, y en el Decreto 148/2012, de 5 de junio, por el que se establece la estructura orgánica de la Consejería de Justicia e Interior,
DISPONGO
El objeto de esta Orden es establecer la política de seguridad de la información en el ámbito de la Administración Electrónica de la Consejería de Justicia e Interior, así como el marco organizativo y tecnológico.
Son objetivos de la política de seguridad de la información:
-
Garantizar la seguridad de la información, proteger los activos o recursos de información.
-
Crear la estructura de seguridad de la Consejería de Justicia e Interior.
-
Marcar las directrices, los objetivos y los principios básicos de seguridad de la información de la organización.
-
Orientar la organización para la prestación de servicios basados en la gestión de riesgos.
-
Servir de base para el desarrollo de las normas, procedimientos y procesos de gestión de la seguridad de la información.
La política de seguridad de la información se aplicará a todos los sistemas de información gestionados por la Consejería de Justicia e Interior, siempre que sean utilizados en el ámbito de la Administración General, por alguno de los órganos o unidades administrativas, centrales o periféricos, de la Consejería de Justicia e Interior. Asimismo, deberá ser observada por todo el personal de la Administración General destinado en dichos órganos y unidades administrativas, así como por aquellas personas que, aunque no destinadas en ellos, tengan acceso a sus sistemas de información.
Los principios básicos que regirán la política de seguridad de la información de la Consejería de Justicia e Interior, además de los establecidos en el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, son los siguientes:
-
Principio de prevención. Se evitará, o al menos prevendrá en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello, se deben implementar las medidas mínimas de seguridad determinadas por las normas y leyes que le sean de aplicación, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, estarán claramente definidos y documentados.
-
Principio de detección. Dado que los servicios se pueden degradar rápidamente debido a incidentes que, en función de su gravedad, pueden producir desde una simple...
Para continuar leyendo
Solicita tu prueba