3. Otras disposiciones. . (2023/74-45)
Resolución de 14 de marzo de 2023, del Servicio Andaluz de Empleo, por la que se aprueba la Política de Seguridad Interior, Seguridad TIC y de Protección de Datos de Carácter Personal en el ámbito de la Agencia.
16 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Boletín Oficial de la Junta de Andalucía
BOJA
Número 74 - Jueves, 20 de abril de 2023
página 6784/10
El Comité de Seguridad Interior y Seguridad TIC establecerá los mecanismos
necesarios para compartir la documentación derivada del desarrollo, con el propósito de
regularizarlo en la medida de lo posible, en todo el ámbito de aplicación de la política de
seguridad.
La siguiente tabla resume el marco de desarrollo y la competencia para su aprobación:
Nivel
Documento
Aprueba
Primero
Política de seguridad
Presidencia SAE
Segundo
Normas de seguridad
Comité de Seguridad Interior y Seguridad TIC
Tercero
Procedimientos
Responsable de Sistemas
Cuarto
Documentación técnica
Responsable del Sistemas
La Unidad de Seguridad TIC se encarga de la gestión de los documentos indicados,
debiendo asegurar que ésta sea completa y proporcione información suficiente para
definir las necesidades de protección de la información y los activos asociados a la misma
en el ámbito de la Agencia.
15. Gestión de riesgos.
La gestión de riesgos deberá realizarse de manera continua sobre el sistema de
información, conforme a los principios de gestión de la seguridad basada en los riesgos y
con reevaluación periódica de los mismos.
Las personas encargadas de la categorización de los sistemas serán los responsables
de la Información y de los Servicios, siendo la Unidad de Seguridad TIC la encargada de
supervisar los análisis de riesgos y proponer las medidas de seguridad a aplicar.
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta
los riesgos que presente el tratamiento de datos de carácter personal, en particular
como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, así como la comunicación
o acceso no autorizados a dichos datos.
Las personas responsables de la Información y de los Servicios son las responsables
de aceptar los riesgos residuales calculados en el análisis sobre la información y los
servicios, respectivamente, y de realizar su seguimiento y control, sin perjuicio de la
posibilidad de delegar esta tarea.
El proceso de gestión de riesgos, que comprende las fases de categorización de
los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que
deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse al menos
con periodicidad anual por parte de la Unidad de Seguridad TIC, que elevará un informe
al Comité de Seguridad Interior y Seguridad TIC.
17. Auditorías de la seguridad.
Los sistemas de información serán objeto de una auditoría regular ordinaria, al
menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS.
Estas auditorías ordinarias, así como las extraordinarias, se harán de acuerdo con lo
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00281822
16. Clasificación y control de activos.
Los recursos informáticos y la información del SAE se encontrarán inventariados, con
una persona responsable asociada, y en caso de ser necesario, una persona encargada
de la custodia de los mismos. Los inventarios se mantendrán actualizados para asegurar
su validez.
Los activos de información estarán clasificados de acuerdo con su sensibilidad y
criticidad para el desarrollo de la actividad del SAE, en función de la cual se establecerán
las medidas de seguridad exigidas para su protección.
BOJA
Número 74 - Jueves, 20 de abril de 2023
página 6784/10
El Comité de Seguridad Interior y Seguridad TIC establecerá los mecanismos
necesarios para compartir la documentación derivada del desarrollo, con el propósito de
regularizarlo en la medida de lo posible, en todo el ámbito de aplicación de la política de
seguridad.
La siguiente tabla resume el marco de desarrollo y la competencia para su aprobación:
Nivel
Documento
Aprueba
Primero
Política de seguridad
Presidencia SAE
Segundo
Normas de seguridad
Comité de Seguridad Interior y Seguridad TIC
Tercero
Procedimientos
Responsable de Sistemas
Cuarto
Documentación técnica
Responsable del Sistemas
La Unidad de Seguridad TIC se encarga de la gestión de los documentos indicados,
debiendo asegurar que ésta sea completa y proporcione información suficiente para
definir las necesidades de protección de la información y los activos asociados a la misma
en el ámbito de la Agencia.
15. Gestión de riesgos.
La gestión de riesgos deberá realizarse de manera continua sobre el sistema de
información, conforme a los principios de gestión de la seguridad basada en los riesgos y
con reevaluación periódica de los mismos.
Las personas encargadas de la categorización de los sistemas serán los responsables
de la Información y de los Servicios, siendo la Unidad de Seguridad TIC la encargada de
supervisar los análisis de riesgos y proponer las medidas de seguridad a aplicar.
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta
los riesgos que presente el tratamiento de datos de carácter personal, en particular
como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, así como la comunicación
o acceso no autorizados a dichos datos.
Las personas responsables de la Información y de los Servicios son las responsables
de aceptar los riesgos residuales calculados en el análisis sobre la información y los
servicios, respectivamente, y de realizar su seguimiento y control, sin perjuicio de la
posibilidad de delegar esta tarea.
El proceso de gestión de riesgos, que comprende las fases de categorización de
los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que
deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse al menos
con periodicidad anual por parte de la Unidad de Seguridad TIC, que elevará un informe
al Comité de Seguridad Interior y Seguridad TIC.
17. Auditorías de la seguridad.
Los sistemas de información serán objeto de una auditoría regular ordinaria, al
menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS.
Estas auditorías ordinarias, así como las extraordinarias, se harán de acuerdo con lo
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00281822
16. Clasificación y control de activos.
Los recursos informáticos y la información del SAE se encontrarán inventariados, con
una persona responsable asociada, y en caso de ser necesario, una persona encargada
de la custodia de los mismos. Los inventarios se mantendrán actualizados para asegurar
su validez.
Los activos de información estarán clasificados de acuerdo con su sensibilidad y
criticidad para el desarrollo de la actividad del SAE, en función de la cual se establecerán
las medidas de seguridad exigidas para su protección.
