3. Otras disposiciones. Consejería de Empleo, Formación y Trabajo Autónomo. (2022/4-22)
Resolución de 21 de diciembre de 2021, del Servicio Andaluz de Empleo, por la que se aprueba la Política de Seguridad TIC y de Protección de Datos de Carácter Personal en el ámbito de la Agencia.
14 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 4 - Viernes, 7 de enero de 2022
página 20888/9
con periodicidad anual por parte de la Unidad de Seguridad TIC, que elevará un informe
al Comité de Seguridad TIC.
15. Clasificación y control de activos.
Los recursos informáticos y la información del SAE se encontrarán inventariados, con
una persona responsable asociada y, en caso de ser necesario, una persona custodia de
los mismos. Los inventarios se mantendrán actualizados para asegurar su validez.
Los activos de información estarán clasificados de acuerdo con su sensibilidad y
criticidad para el desarrollo de la actividad del SAE, en función de la cual se establecerán
las medidas de seguridad exigidas para su protección.
17. Protección de datos de carácter personal.
17.1. Incidencia de la normativa de protección de datos de carácter personal.
Todos los sistemas de información del SAE se ajustarán a lo exigido por el
Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
por el que se aprueba el Reglamento General de Protección de Datos (en adelante,
RGPD); la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), que adapta el ordenamiento
jurídico español al RGPD y completa y desarrolla sus disposiciones, así como el resto
de la normativa general o sectorial de protección de datos de carácter personal que sea
de aplicación. Todos los tratamientos de datos de carácter personal, automatizados o
no automatizados, se sujetarán a la citada norma cuando se encuentren dentro de su
ámbito de aplicación.
En dicho ámbito cada Responsable del Tratamiento de datos de carácter personal
aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y ser capaz
de demostrar que los tratamientos de datos de carácter personal son conformes con dicha
normativa, de acuerdo con el principio de responsabilidad proactiva, de conformidad con
el artículo 24 del RGPD. En caso de conflicto con la normativa de seguridad prevalecerá
el criterio que presente un mayor nivel de exigencia respecto a la protección de los datos
de carácter personal.
Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza,
el alcance, el contexto y los fines del tratamiento de datos de carácter personal, así
como riesgos de probabilidad y gravedad variables para los derechos y libertades de
Depósito Legal: SE-410/1979. ISSN: 2253 - 802X
http://www.juntadeandalucia.es/eboja
00253156
16. Auditorías de la seguridad.
Los sistemas de información serán objeto de una auditoría regular ordinaria, al
menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS.
Estas auditorías ordinarias, así como las extraordinarias se harán de acuerdo con lo
establecido en el art. 34 del Real Decreto 3/2010, de 8 de enero, y la Instrucción Técnica
de Seguridad de Auditoría de la Seguridad de los Sistemas de Información, aprobada por
Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública.
Los informes de auditoría serán presentados a la persona Responsable del Sistema
competente, al Delegado de Protección de Datos, si afectara a estos, y a la persona
responsable de la Unidad de Seguridad TIC. Estos informes serán analizados por
esta última persona que presentará sus conclusiones a la persona Responsable del
Sistema para que adopte las medidas correctoras adecuadas. Los resultados obtenidos
determinarán las líneas de actuación a seguir y las posibles modificaciones a realizar
sobre los controles y la normativa de seguridad.
Con el fin de optimizar la utilización de los recursos públicos y garantizar una mejor
coordinación entre seguridad TIC y seguridad de protección de datos, siempre que
sea posible, las auditorías de seguridad de sistemas de información y las auditorías
de protección de datos o medidas análogas de verificación, evaluación y valoración de
seguridad de los tratamientos se realizarán de manera conjunta.
Boletín Oficial de la Junta de Andalucía
Número 4 - Viernes, 7 de enero de 2022
página 20888/9
con periodicidad anual por parte de la Unidad de Seguridad TIC, que elevará un informe
al Comité de Seguridad TIC.
15. Clasificación y control de activos.
Los recursos informáticos y la información del SAE se encontrarán inventariados, con
una persona responsable asociada y, en caso de ser necesario, una persona custodia de
los mismos. Los inventarios se mantendrán actualizados para asegurar su validez.
Los activos de información estarán clasificados de acuerdo con su sensibilidad y
criticidad para el desarrollo de la actividad del SAE, en función de la cual se establecerán
las medidas de seguridad exigidas para su protección.
17. Protección de datos de carácter personal.
17.1. Incidencia de la normativa de protección de datos de carácter personal.
Todos los sistemas de información del SAE se ajustarán a lo exigido por el
Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
por el que se aprueba el Reglamento General de Protección de Datos (en adelante,
RGPD); la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), que adapta el ordenamiento
jurídico español al RGPD y completa y desarrolla sus disposiciones, así como el resto
de la normativa general o sectorial de protección de datos de carácter personal que sea
de aplicación. Todos los tratamientos de datos de carácter personal, automatizados o
no automatizados, se sujetarán a la citada norma cuando se encuentren dentro de su
ámbito de aplicación.
En dicho ámbito cada Responsable del Tratamiento de datos de carácter personal
aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y ser capaz
de demostrar que los tratamientos de datos de carácter personal son conformes con dicha
normativa, de acuerdo con el principio de responsabilidad proactiva, de conformidad con
el artículo 24 del RGPD. En caso de conflicto con la normativa de seguridad prevalecerá
el criterio que presente un mayor nivel de exigencia respecto a la protección de los datos
de carácter personal.
Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza,
el alcance, el contexto y los fines del tratamiento de datos de carácter personal, así
como riesgos de probabilidad y gravedad variables para los derechos y libertades de
Depósito Legal: SE-410/1979. ISSN: 2253 - 802X
http://www.juntadeandalucia.es/eboja
00253156
16. Auditorías de la seguridad.
Los sistemas de información serán objeto de una auditoría regular ordinaria, al
menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS.
Estas auditorías ordinarias, así como las extraordinarias se harán de acuerdo con lo
establecido en el art. 34 del Real Decreto 3/2010, de 8 de enero, y la Instrucción Técnica
de Seguridad de Auditoría de la Seguridad de los Sistemas de Información, aprobada por
Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública.
Los informes de auditoría serán presentados a la persona Responsable del Sistema
competente, al Delegado de Protección de Datos, si afectara a estos, y a la persona
responsable de la Unidad de Seguridad TIC. Estos informes serán analizados por
esta última persona que presentará sus conclusiones a la persona Responsable del
Sistema para que adopte las medidas correctoras adecuadas. Los resultados obtenidos
determinarán las líneas de actuación a seguir y las posibles modificaciones a realizar
sobre los controles y la normativa de seguridad.
Con el fin de optimizar la utilización de los recursos públicos y garantizar una mejor
coordinación entre seguridad TIC y seguridad de protección de datos, siempre que
sea posible, las auditorías de seguridad de sistemas de información y las auditorías
de protección de datos o medidas análogas de verificación, evaluación y valoración de
seguridad de los tratamientos se realizarán de manera conjunta.
