Orden de 31 de agosto de 2020, por la que se establece la política de seguridad de las tecnologías de la información y comunicaciones y de la protección de datos personales de la Consejería de Empleo, Formación y Trabajo Autónomo.
| Sección | 1. Disposiciones Generales |
| Emisor | Consejería de Empleo, Formación y Trabajo Autónomo |
| Rango de Ley | Orden |
El artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que el objeto del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, regulado por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, es el establecimiento de la política de seguridad en la utilización de medios electrónicos y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
Su finalidad última es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a la ciudadanía y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Para dar cumplimiento a los requisitos y finalidades del Esquema Nacional de Seguridad en su propio ámbito, la Junta de Andalucía aprobó el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, cuyo artículo 10 ordena que cada Consejería, en su ámbito de aplicación, disponga formalmente de su propio documento de política de seguridad de tecnologías de la información y las comunicaciones aprobado por su persona titular.
El citado Decreto creó un Comité de Seguridad de tecnologías de la información y las comunicaciones corporativo para toda la Junta de Andalucía dependiente de la Consejería competente en materia de dirección e impulso de la política de telecomunicaciones y seguridad de los sistemas de información, junto con un grupo de personas expertas en seguridad de tecnologías de la información y las comunicaciones de la Administración de la Junta de Andalucía.
Además, estableció que cada Consejería y ente instrumental de la Administración de la Junta de Andalucía debían constituir su propio Comité de Seguridad de tecnologías de la información y las comunicaciones mediante Orden de cada Consejería.
En la elaboración de esta Orden se ha tenido en cuenta la normativa actualmente aplicable en materia de datos personales, es decir, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), así como la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
También se ha tenido en cuenta la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como «Directiva NIS».
La Orden consta de treinta y dos artículos, distribuidos en tres capítulos, dos disposiciones adicionales, una disposición derogatoria y una disposición final.
El capítulo I contiene las disposiciones generales sobre objeto y ámbito de aplicación.
El capítulo II se refiere a la política de seguridad de tecnologías de la información y las comunicaciones de la Consejería. En este capítulo se da cumplimiento en el ámbito de la Consejería de Empleo, Formación y Trabajo Autónomo a dos obligaciones en materia de seguridad de tecnologías de la información y las comunicaciones impuestas tanto por el Esquema Nacional de Seguridad como por la normativa reguladora de dicha política de seguridad en la Administración de la Junta de Andalucía.
Por un lado, establece la estructura de organización y gestión de la seguridad de tecnologías de la información y las comunicaciones de la Consejería y por otro, aprueba el Documento de Política de Seguridad en esta materia dentro del ámbito de sus competencias.
El capítulo III está dedicado a aspectos organizativos para recoger la incidencia de la normativa de protección de datos, y especialmente del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y la Ley Orgánica 3/2018, de 5 de diciembre, que afectan directamente a la seguridad TIC.
En la elaboración y tramitación de la presente orden, se ha actuado conforme a los principios de buena regulación a los que se refiere el artículo 129.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y se ha tenido en consideración el principio de transversalidad de género según se estable en el artículo 5 de la Ley 12/2007, de 26 de noviembre, para la promoción de la igualdad de género en Andalucía.
En cuanto a los principios de necesidad y eficacia, la Orden no hace sino desarrollar el artículo 10.1 del Decreto 1/2011, de 11 de enero, como estaba obligada, teniendo el rango normativo de Orden en cumplimiento de lo dispuesto en su apartado 2; cumple con el principio de proporcionalidad al desarrollar estrictamente con el mandato del Decreto, no imponiendo más obligaciones a la ciudadanía ni a la Administración que los establecidos en él y regulando figuras necesarias para el cumplimiento de la finalidad perseguida; sobre el principio de seguridad jurídica, se han tenido en cuenta todas las normas europeas, estatales y autonómicas de aplicación; acerca del de transparencia, al tratarse de una disposición de organización interna no ha habido consulta previa ni trámite de audiencia a la ciudadanía, limitándose los informes a los internos de la Administración; y, finalmente, es eficiente porque no sólo evita imponer cargas administrativas adicionales, sino que se limita a utilizar los recursos ya existentes para dar los servicios requeridos sin que suponga ningún incremento de gasto.
En su virtud, conforme a lo establecido en los artículos 44.2 y 46.4 de la Ley 6/2006, de 24 de octubre, del Gobierno de la Comunidad Autónoma de Andalucía, el artículo 26.2.a) de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía, así como en el Decreto 100/2019, de 12 de febrero, por el que se regula la estructura orgánica de la Consejería de Empleo, Formación y Trabajo Autónomo,
DISPONGO
-
La presente Orden tiene por objeto establecer la política de seguridad de las tecnologías de la información y comunicaciones, en adelante seguridad TIC, en el ámbito de la Consejería de Empleo, Formación y Trabajo Autónomo, en adelante la Consejería, de acuerdo con la normativa reguladora de la política de seguridad TIC de la Administración de la Junta de Andalucía, en el marco de la normativa reguladora del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en adelante ENS, y de la normativa en materia de protección de datos personales.
-
La presente Orden constituye el Documento de Política de Seguridad TIC de la Consejería.
-
La política de seguridad TIC se aplicará a todos los sistemas de información que son responsabilidad de la Consejería de Empleo, Formación y Trabajo Autónomo, para el ejercicio de las competencias que tiene atribuidas, siempre que sean utilizados en el ámbito de la Administración de la Junta de Andalucía, por alguno de los órganos o unidades administrativas centrales o periféricos que dependan funcionalmente de la Consejería. Asimismo, deberá ser observada por todo el personal de la Junta de Andalucía destinado en dichos órganos y unidades administrativas, así como por aquellas personas que tengan acceso a sus sistemas de información.
-
La política de seguridad TIC definida en esta orden también será de obligado cumplimiento para sus entidades vinculadas o dependientes de la Consejería, de conformidad con el artículo 10.3 del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
-
Se asume como marco regulador general el que en cada momento se defina, en virtud de la disposición adicional primera del Decreto 1/2011, de 11 de enero, por la Consejería competente en materia de coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones, a propuesta del Comité de Seguridad TIC de la Junta de Andalucía. Todo ello sin perjuicio de otra normativa aplicable a este organismo en virtud de su naturaleza legal y sus competencias.
-
La Consejería podrá ampliar y desarrollar el marco normativo en los términos previstos en la disposición adicional segunda.
Política de seguridad TIC
Son objetivos de la política de seguridad TIC, de acuerdo con el artículo 4 del Decreto 1/2011, de 11 de enero:
-
Garantizar la seguridad TIC y proteger los activos o recursos de información.
-
Crear la estructura de la organización de la seguridad TIC de la Consejería.
-
Marcar las directrices, los objetivos y los principios básicos de seguridad TIC de la Consejería.
-
Orientar la organización para la prestación de servicios basados en la gestión de riesgos.
-
Servir de base para el desarrollo de las normas, procedimientos y procesos de gestión de la seguridad TIC.
Los principios básicos que regirán la política de seguridad TIC de la Consejería serán, conforme a la normativa reguladora de la política de seguridad TIC en la Administración de la Junta de Andalucía y en el ENS, los siguientes:
-
...
Para continuar leyendo
Solicita tu prueba