3. Otras disposiciones. . (2023/239-39)
Orden de 7 de diciembre de 2023, por la que se establece la política de seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería.
17 páginas totales
Página
Número 239 - Viernes, 15 de diciembre de 2023
página 18861/13
sobre el activo para garantizar la confidencialidad, la integridad y la disponibilidad de la
información.
b) Tratamientos de datos de carácter personal: Los tratamientos de datos de carácter
personal que se efectúen en el marco de la actividad de los diferentes órganos directivos
de la Consejería se ajustarán a lo dispuesto en el Reglamento General de Protección de
Datos, en la Ley Orgánica 3/2018, de 5 de diciembre, y en su normativa de desarrollo. La
gestión de la seguridad de los datos de carácter personal se basará en la aplicación de las
medidas técnicas y organizativas apropiadas teniendo en cuenta la naturaleza, el ámbito,
el contexto y los fines de los tratamientos realizados, los riesgos para los derechos y
libertades de las personas físicas y el estado de la técnica y los costes de aplicación de
conformidad con el artículo 32 del Reglamento General de Protección de Datos.
c) Acceso y uso de activos TIC: Para un uso correcto, ordenado y seguro de los
activos TIC puestos a disposición del personal que presta sus servicios bajo el ámbito
de aplicación de esta orden, se deberá contemplar lo dispuesto por las instrucciones y
normas de carácter horizontal que regulen el comportamiento del personal empleado
público en el uso de los sistemas informáticos y redes de comunicaciones de la
Administración de la Junta de Andalucía.
d) Seguridad física y ambiental: Los activos TIC se emplazarán en áreas seguras,
protegidas mediante controles de acceso físicos acordes a su nivel de criticidad que
impidan la interferencia humana, sea esta intencionada o accidental. Igualmente, se
dispondrán medidas de protección contra factores externos y ambientales adversos.
e) Seguridad ligada al personal: Todas las personas que presten servicios en la
Consejería tendrán la obligación de conocer y cumplir la presente política de seguridad
TIC y su normativa de desarrollo. Se implantarán los mecanismos necesarios para que
cualquier persona que se incorpore a la Consejería o pueda acceder a alguno de sus
activos TIC sea informado del marco regulador de seguridad aplicable y conozca sus
responsabilidades, reduciendo de este modo el riesgo derivado de usos indebidos.
El incumplimiento manifiesto de la presente política de seguridad TIC o la normativa
de seguridad derivada de ésta podrá acarrear el inicio de las medidas disciplinarias
oportunas y, en su caso, las responsabilidades legales que correspondan. Se dispondrán
los medios necesarios para la articulación de iniciativas y actividades de formación y
concienciación en seguridad TIC destinadas a lograr la adecuada capacitación de
las personas empleadas públicas de los órganos alcanzados por esta norma. Entre
tales actividades se incluirán las de difusión de esta política de seguridad TIC y de su
desarrollo regulador, las dirigidas a la prevención de amenazas o aquellas relativas a la
protección de datos personales. Las personas con responsabilidad en el uso, operación
o administración de sistemas de información tendrán derecho a recibir formación para su
uso seguro y a ser informados de sus deberes y obligaciones en materia de seguridad en
la medida en que la necesiten para realizar su trabajo.
f) Control de acceso: Se limitará el acceso lógico a los activos TIC de acuerdo a
su criticidad, implantando para ello mecanismos de identificación, autenticación y
autorización de usuarios en relación a las funciones que estos tengan permitidas,
poniendo en práctica el principio de menor privilegio o de asignación solo de los
privilegios de uso necesarios para el desempeño de las tareas encomendadas. Además,
cuando sea necesario, se contemplará el registro de la utilización del sistema para
asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de
la Consejería.
g) Seguridad en la gestión de comunicaciones y operaciones: Se definirán los
mecanismos necesarios para lograr una adecuada gestión de la seguridad, operación
y actualización de las TIC, supervisándose su estado y reportando incidencias. La
información transmitida a través de redes de comunicaciones deberá protegerse de
forma adecuada, teniendo en cuenta su nivel de sensibilidad y criticidad.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00293978
BOJA
Boletín Oficial de la Junta de Andalucía
página 18861/13
sobre el activo para garantizar la confidencialidad, la integridad y la disponibilidad de la
información.
b) Tratamientos de datos de carácter personal: Los tratamientos de datos de carácter
personal que se efectúen en el marco de la actividad de los diferentes órganos directivos
de la Consejería se ajustarán a lo dispuesto en el Reglamento General de Protección de
Datos, en la Ley Orgánica 3/2018, de 5 de diciembre, y en su normativa de desarrollo. La
gestión de la seguridad de los datos de carácter personal se basará en la aplicación de las
medidas técnicas y organizativas apropiadas teniendo en cuenta la naturaleza, el ámbito,
el contexto y los fines de los tratamientos realizados, los riesgos para los derechos y
libertades de las personas físicas y el estado de la técnica y los costes de aplicación de
conformidad con el artículo 32 del Reglamento General de Protección de Datos.
c) Acceso y uso de activos TIC: Para un uso correcto, ordenado y seguro de los
activos TIC puestos a disposición del personal que presta sus servicios bajo el ámbito
de aplicación de esta orden, se deberá contemplar lo dispuesto por las instrucciones y
normas de carácter horizontal que regulen el comportamiento del personal empleado
público en el uso de los sistemas informáticos y redes de comunicaciones de la
Administración de la Junta de Andalucía.
d) Seguridad física y ambiental: Los activos TIC se emplazarán en áreas seguras,
protegidas mediante controles de acceso físicos acordes a su nivel de criticidad que
impidan la interferencia humana, sea esta intencionada o accidental. Igualmente, se
dispondrán medidas de protección contra factores externos y ambientales adversos.
e) Seguridad ligada al personal: Todas las personas que presten servicios en la
Consejería tendrán la obligación de conocer y cumplir la presente política de seguridad
TIC y su normativa de desarrollo. Se implantarán los mecanismos necesarios para que
cualquier persona que se incorpore a la Consejería o pueda acceder a alguno de sus
activos TIC sea informado del marco regulador de seguridad aplicable y conozca sus
responsabilidades, reduciendo de este modo el riesgo derivado de usos indebidos.
El incumplimiento manifiesto de la presente política de seguridad TIC o la normativa
de seguridad derivada de ésta podrá acarrear el inicio de las medidas disciplinarias
oportunas y, en su caso, las responsabilidades legales que correspondan. Se dispondrán
los medios necesarios para la articulación de iniciativas y actividades de formación y
concienciación en seguridad TIC destinadas a lograr la adecuada capacitación de
las personas empleadas públicas de los órganos alcanzados por esta norma. Entre
tales actividades se incluirán las de difusión de esta política de seguridad TIC y de su
desarrollo regulador, las dirigidas a la prevención de amenazas o aquellas relativas a la
protección de datos personales. Las personas con responsabilidad en el uso, operación
o administración de sistemas de información tendrán derecho a recibir formación para su
uso seguro y a ser informados de sus deberes y obligaciones en materia de seguridad en
la medida en que la necesiten para realizar su trabajo.
f) Control de acceso: Se limitará el acceso lógico a los activos TIC de acuerdo a
su criticidad, implantando para ello mecanismos de identificación, autenticación y
autorización de usuarios en relación a las funciones que estos tengan permitidas,
poniendo en práctica el principio de menor privilegio o de asignación solo de los
privilegios de uso necesarios para el desempeño de las tareas encomendadas. Además,
cuando sea necesario, se contemplará el registro de la utilización del sistema para
asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de
la Consejería.
g) Seguridad en la gestión de comunicaciones y operaciones: Se definirán los
mecanismos necesarios para lograr una adecuada gestión de la seguridad, operación
y actualización de las TIC, supervisándose su estado y reportando incidencias. La
información transmitida a través de redes de comunicaciones deberá protegerse de
forma adecuada, teniendo en cuenta su nivel de sensibilidad y criticidad.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00293978
BOJA
Boletín Oficial de la Junta de Andalucía
