3. Otras disposiciones. . (2023/74-45)
Resolución de 14 de marzo de 2023, del Servicio Andaluz de Empleo, por la que se aprueba la Política de Seguridad Interior, Seguridad TIC y de Protección de Datos de Carácter Personal en el ámbito de la Agencia.
16 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 74 - Jueves, 20 de abril de 2023
página 6784/15
7. Adquisición de productos.
Para las actividades de adquisición de nuevos productos, sistemas o servicios se
establecen actuaciones de análisis de riesgos con proveedores y se mantendrán
actualizados los listados de proveedores habituales. Las adquisiciones se autorizarán por
las personas responsables del área implicada y el Servicio de Contratación a través de
informes favorables del proveedor, en caso de requerirse.
8. Seguridad por defecto.
Los sistemas y aplicaciones se diseñarán y construirán bajo el principio de seguridad
por defecto, de tal forma que:
a) El sistema ofrecerá la funcionalidad mínima necesaria y ninguna adicional.
Cualquier función que no sea de interés o innecesaria será deshabilitada o no implantada.
b) La operación y explotación de los sistemas estará limitada a aquellas personas o
ubicaciones que se autoricen, quedando prohibidas para el resto.
c) El uso del sistema ha de ser seguro, de tal forma que el uso inseguro requerirá
intención expresa por parte del usuario.
La seguridad estará presente desde la concepción de un sistema o aplicación, y
permanecerá presente durante todo su ciclo de vida.
En la concepción de un nuevo sistema o aplicación, o modificación sustancial de un
sistema o aplicación existentes, se contará siempre, y desde el inicio, con la participación
de la persona responsable de Seguridad de la Información.
9. Integridad y actualización del sistema.
Se deberán seguir en todo momento las informaciones acerca de la vulnerabilidades
que afectan a los sistemas de información.
Se seguirán las recomendaciones de los fabricantes de equipos y software en cuanto
a actualizaciones de seguridad, que deberán ser analizadas en cuanto a su idoneidad y
conveniencia, y aplicadas en caso positivo con la menor dilación.
10. Protección de la información almacenada y en tránsito.
Se protegerán los entornos que contienen información almacenada y en tránsito
entre entornos inseguros. En este sentido se protegerán convenientemente los equipos
portátiles que puedan contener información, así como los soportes extraíbles (lápices de
memoria, discos duros extraíbles, etc.).
11. Prevención ante otros sistemas de información interconectados.
Se desplegarán las protecciones necesarias para proteger el perímetro de la red
corporativa del SAE, de forma que se neutralicen las posibles intrusiones procedentes
del exterior, ya sea iniciadas malintencionadamente por terceros o como consecuencia
de la interconexión con sistemas de terceros.
13. Gestión de incidentes de seguridad.
El SAE definirá e implantará procedimientos de gestión de incidencias de seguridad,
que aseguren la correcta gestión y respuesta efectiva que permita anular o minimizar
el impacto del incidente en la información, los servicios, los empleados, las personas
usuarias y en general, en la actividad del SAE.
El procedimiento de gestión y respuesta a incidentes de seguridad contemplará
la comunicación y notificación de los incidentes a los organismos receptores de dicha
información de acuerdo con la legalidad vigente.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00281822
12. Registros de actividad.
Los sistemas y aplicaciones generarán los registros de actividad necesarios para
conocer su actividad, de forma que se pueda determinar en todo momento qué persona
actúa, sobre qué datos, con qué operaciones y sus privilegios de acceso.
Boletín Oficial de la Junta de Andalucía
Número 74 - Jueves, 20 de abril de 2023
página 6784/15
7. Adquisición de productos.
Para las actividades de adquisición de nuevos productos, sistemas o servicios se
establecen actuaciones de análisis de riesgos con proveedores y se mantendrán
actualizados los listados de proveedores habituales. Las adquisiciones se autorizarán por
las personas responsables del área implicada y el Servicio de Contratación a través de
informes favorables del proveedor, en caso de requerirse.
8. Seguridad por defecto.
Los sistemas y aplicaciones se diseñarán y construirán bajo el principio de seguridad
por defecto, de tal forma que:
a) El sistema ofrecerá la funcionalidad mínima necesaria y ninguna adicional.
Cualquier función que no sea de interés o innecesaria será deshabilitada o no implantada.
b) La operación y explotación de los sistemas estará limitada a aquellas personas o
ubicaciones que se autoricen, quedando prohibidas para el resto.
c) El uso del sistema ha de ser seguro, de tal forma que el uso inseguro requerirá
intención expresa por parte del usuario.
La seguridad estará presente desde la concepción de un sistema o aplicación, y
permanecerá presente durante todo su ciclo de vida.
En la concepción de un nuevo sistema o aplicación, o modificación sustancial de un
sistema o aplicación existentes, se contará siempre, y desde el inicio, con la participación
de la persona responsable de Seguridad de la Información.
9. Integridad y actualización del sistema.
Se deberán seguir en todo momento las informaciones acerca de la vulnerabilidades
que afectan a los sistemas de información.
Se seguirán las recomendaciones de los fabricantes de equipos y software en cuanto
a actualizaciones de seguridad, que deberán ser analizadas en cuanto a su idoneidad y
conveniencia, y aplicadas en caso positivo con la menor dilación.
10. Protección de la información almacenada y en tránsito.
Se protegerán los entornos que contienen información almacenada y en tránsito
entre entornos inseguros. En este sentido se protegerán convenientemente los equipos
portátiles que puedan contener información, así como los soportes extraíbles (lápices de
memoria, discos duros extraíbles, etc.).
11. Prevención ante otros sistemas de información interconectados.
Se desplegarán las protecciones necesarias para proteger el perímetro de la red
corporativa del SAE, de forma que se neutralicen las posibles intrusiones procedentes
del exterior, ya sea iniciadas malintencionadamente por terceros o como consecuencia
de la interconexión con sistemas de terceros.
13. Gestión de incidentes de seguridad.
El SAE definirá e implantará procedimientos de gestión de incidencias de seguridad,
que aseguren la correcta gestión y respuesta efectiva que permita anular o minimizar
el impacto del incidente en la información, los servicios, los empleados, las personas
usuarias y en general, en la actividad del SAE.
El procedimiento de gestión y respuesta a incidentes de seguridad contemplará
la comunicación y notificación de los incidentes a los organismos receptores de dicha
información de acuerdo con la legalidad vigente.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00281822
12. Registros de actividad.
Los sistemas y aplicaciones generarán los registros de actividad necesarios para
conocer su actividad, de forma que se pueda determinar en todo momento qué persona
actúa, sobre qué datos, con qué operaciones y sus privilegios de acceso.
