Disposiciones generales. . (2023/228-5)
Orden de 15 de noviembre de 2023, por la que se establece la política de seguridad de la Consejería de Turismo, Cultura y Deporte en los ámbitos de seguridad interior, seguridad de las tecnologías de la información y comunicaciones y de la protección de datos personales.
21 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 228 - Martes, 28 de noviembre de 2023
página 18113/18
desarrollo de la actividad de la misma, en función de la cual se establecerán las medidas
de seguridad exigidas para su protección, todo ello atendiendo a los criterios que se
recojan en los distintos planes de seguridad que se elaboren y resulten de aplicación.
Artículo 24. Auditorías de seguridad.
1. Al menos cada dos años, o con carácter específico y extraordinario cuando se
lleven a cabo modificaciones sustanciales que repercutan en el cumplimiento de las
medidas implantadas, o ante la existencia de elementos que puedan evidenciar la posible
manifestación de un riesgo no evaluado o no previsto, o cuando se estime necesario
por el Comité de Seguridad, se realizarán auditorías de seguridad a fin de verificar el
cumplimiento de los requerimientos de la presente política, del ENS, o de cualquier otra
norma que así lo requiera.
Estas auditorías se llevarán a cabo de conformidad con lo establecido en las normas
de los diferentes ámbitos de seguridad aludidos en la presente orden.
El alcance de las auditorías deberá incluir la adopción de las medidas técnicas y
organizativas que se apliquen para garantizar la seguridad que se requiera para cada caso.
En relación con los sistemas de información de categoría básica, esta auditoría
podrá ser sustituida por una autoevaluación en los términos establecidos en el Esquema
Nacional de Seguridad.
2. La Unidad de Seguridad Interior, la Unidad de Seguridad TIC y, en el caso en que
le afecte, el Delegado o Delegada de Protección de Datos, supervisarán las auditorías
y emitirán las recomendaciones que estimen oportunas en sus respectivos ámbitos de
actuación.
Los informes de auditoría, bajo el conocimiento y supervisión del Comité de Seguridad,
serán presentados ante los responsables de las unidades aludidas en el párrafo anterior,
así como ante el Delegado o Delegada de Protección de Datos, para la valoración de
las medidas correctoras propuestas en sus respectivos ámbitos de competencias.
Estos, en el plazo que se estime conveniente por el Comité de Seguridad, presentarán
sus conclusiones y propuestas para que el Comité de Seguridad apruebe las medidas
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00293147
Artículo 23. Gestión de incidentes de seguridad y de la continuidad.
1. Ante incidentes de seguridad, el personal deberá actuar conforme a los mecanismos
apropiados para su correcta prevención, detección, reacción y recuperación, para ello, las
unidades competentes habilitarán un sistema de gestión que permita la mejora continua
de la política de seguridad. En el caso de que dichas incidencias exijan una respuesta
inmediata y coordinada, se convocará el Grupo de Respuesta a Incidentes de Seguridad
contemplado en el artículo 8.5.
2. En la gestión de los incidentes deberán integrarse aquellos procedimientos que
establezca el órgano competente en materia de desarrollo y ejecución de las políticas de
seguridad de los sistemas de información y telecomunicaciones y de política de seguridad
interior de la Administración de la Junta de Andalucía y del sector público andaluz.
Igualmente, la Consejería actuará de forma coordinada con el Centro de Respuesta a
Incidentes de Seguridad de la Junta de Andalucía.
3. Se implantarán los mecanismos apropiados para asegurar la disponibilidad de los
sistemas y mantener la continuidad de sus procesos, de acuerdo con las necesidades de
nivel de servicio.
4. El Comité de Seguridad deberá aprobar y revisar periódicamente un plan para
mantener la continuidad de los procesos y sistemas críticos y garantizar su recuperación
en caso de desastre.
5. En caso de que el incidente de seguridad constituya una violación de la seguridad
de los datos personales, se notificará al Consejo de Transparencia y Protección de Datos
de Andalucía.
Boletín Oficial de la Junta de Andalucía
Número 228 - Martes, 28 de noviembre de 2023
página 18113/18
desarrollo de la actividad de la misma, en función de la cual se establecerán las medidas
de seguridad exigidas para su protección, todo ello atendiendo a los criterios que se
recojan en los distintos planes de seguridad que se elaboren y resulten de aplicación.
Artículo 24. Auditorías de seguridad.
1. Al menos cada dos años, o con carácter específico y extraordinario cuando se
lleven a cabo modificaciones sustanciales que repercutan en el cumplimiento de las
medidas implantadas, o ante la existencia de elementos que puedan evidenciar la posible
manifestación de un riesgo no evaluado o no previsto, o cuando se estime necesario
por el Comité de Seguridad, se realizarán auditorías de seguridad a fin de verificar el
cumplimiento de los requerimientos de la presente política, del ENS, o de cualquier otra
norma que así lo requiera.
Estas auditorías se llevarán a cabo de conformidad con lo establecido en las normas
de los diferentes ámbitos de seguridad aludidos en la presente orden.
El alcance de las auditorías deberá incluir la adopción de las medidas técnicas y
organizativas que se apliquen para garantizar la seguridad que se requiera para cada caso.
En relación con los sistemas de información de categoría básica, esta auditoría
podrá ser sustituida por una autoevaluación en los términos establecidos en el Esquema
Nacional de Seguridad.
2. La Unidad de Seguridad Interior, la Unidad de Seguridad TIC y, en el caso en que
le afecte, el Delegado o Delegada de Protección de Datos, supervisarán las auditorías
y emitirán las recomendaciones que estimen oportunas en sus respectivos ámbitos de
actuación.
Los informes de auditoría, bajo el conocimiento y supervisión del Comité de Seguridad,
serán presentados ante los responsables de las unidades aludidas en el párrafo anterior,
así como ante el Delegado o Delegada de Protección de Datos, para la valoración de
las medidas correctoras propuestas en sus respectivos ámbitos de competencias.
Estos, en el plazo que se estime conveniente por el Comité de Seguridad, presentarán
sus conclusiones y propuestas para que el Comité de Seguridad apruebe las medidas
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00293147
Artículo 23. Gestión de incidentes de seguridad y de la continuidad.
1. Ante incidentes de seguridad, el personal deberá actuar conforme a los mecanismos
apropiados para su correcta prevención, detección, reacción y recuperación, para ello, las
unidades competentes habilitarán un sistema de gestión que permita la mejora continua
de la política de seguridad. En el caso de que dichas incidencias exijan una respuesta
inmediata y coordinada, se convocará el Grupo de Respuesta a Incidentes de Seguridad
contemplado en el artículo 8.5.
2. En la gestión de los incidentes deberán integrarse aquellos procedimientos que
establezca el órgano competente en materia de desarrollo y ejecución de las políticas de
seguridad de los sistemas de información y telecomunicaciones y de política de seguridad
interior de la Administración de la Junta de Andalucía y del sector público andaluz.
Igualmente, la Consejería actuará de forma coordinada con el Centro de Respuesta a
Incidentes de Seguridad de la Junta de Andalucía.
3. Se implantarán los mecanismos apropiados para asegurar la disponibilidad de los
sistemas y mantener la continuidad de sus procesos, de acuerdo con las necesidades de
nivel de servicio.
4. El Comité de Seguridad deberá aprobar y revisar periódicamente un plan para
mantener la continuidad de los procesos y sistemas críticos y garantizar su recuperación
en caso de desastre.
5. En caso de que el incidente de seguridad constituya una violación de la seguridad
de los datos personales, se notificará al Consejo de Transparencia y Protección de Datos
de Andalucía.
