3. Otras disposiciones. . (2023/239-39)
Orden de 7 de diciembre de 2023, por la que se establece la política de seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería.
17 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 239 - Viernes, 15 de diciembre de 2023
página 18861/14
Artículo 20. Desarrollo normativo de la seguridad TIC.
1. Las medidas contenidas en el cuerpo normativo de seguridad TIC se desarrollarán
en cuatro niveles con diferente ámbito de aplicación, detalle técnico y obligatoriedad de
cumplimiento, pero de manera que cada elemento de desarrollo se fundamente en el
nivel superior. Todos estos niveles prestarán especial atención a las exigencias derivadas
del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, así
como a la normativa aplicable en materia de protección de datos de carácter personal.
2. Los niveles de desarrollo son los siguientes:
a) Primer nivel: Política de seguridad TIC, constituido por esta orden. Será de obligado
cumplimiento en toda la Consejería.
b) Segundo nivel: Normas de seguridad. Describirán de forma general los principios
y ámbitos de seguridad que serán concretados en los niveles posteriores y serán
de obligado cumplimiento en toda la Consejería. En general serán resoluciones de
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00293978
h) Planificación, desarrollo y mantenimiento de sistemas de información: Los sistemas
se diseñarán y configurarán de forma que la seguridad TIC se garantice por defecto y
se contemple en todas las fases de su ciclo de vida, desde su planificación y diseño,
pasando por las fases de desarrollo y mantenimiento y alcanzando hasta su retirada.
Se contemplará la operativa que permita gestionar el conocimiento de la configuración
de los sistemas así como las relaciones y conexiones entre ellos, lo que propiciará la
planificación y gestión de su seguridad.
i) Gestión de incidentes de seguridad y de la continuidad: Ante incidentes de seguridad
TIC, el personal deberá actuar conforme a los mecanismos apropiados para su correcta
identificación, registro y resolución, habilitando un sistema de gestión que permita la
mejora continua de la seguridad del sistema. En la gestión de los incidentes deberán
integrarse aquellos procedimientos que establezca la Dirección Gerencia de la Agencia
Digital de Andalucía o el Comité de Seguridad Interior y Seguridad TIC Corporativo de la
Junta de Andalucía. Igualmente, la Consejería estará integrada en el grupo atendido por
el Equipo de Respuesta a Incidentes de Seguridad Informática de la Junta de Andalucía,
con el que coordinará su actuación ante incidentes. Se implantarán los mecanismos
apropiados para asegurar la disponibilidad de los sistemas y mantener la continuidad de
sus procesos, de acuerdo a las necesidades de nivel de servicio.
j) Relaciones con terceros: Cuando la Consejería preste servicios a otros organismos
o trate información de otros organismos, se les hará partícipes de esta política de
seguridad TIC, estableciendo los mecanismos de coordinación entre las organizaciones y
los procedimientos de actuación frente a incidentes de seguridad que procedan.
Cuando la Consejería utilice servicios de terceros o ceda información a terceros,
se les hará partícipes de esta política de seguridad TIC y de la normativa de seguridad
que aplique. Dicha tercera parte quedará sujeta, a través de cláusulas contractuales
o acuerdos de nivel de servicio, a las obligaciones generales establecidas en dicha
normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Se establecerán mecanismos de comunicación y resolución de incidencias. Se deberá
garantizar que el personal de terceros esté adecuadamente concienciado en materia de
seguridad, al menos, al mismo nivel que el establecido en esta política.
Cuando algún aspecto de esta política de seguridad TIC no pueda ser satisfecho
por el tercero, la Unidad de Seguridad TIC emitirá un informe que precise los riesgos
en que se incurre y la forma de tratarlos, requiriendo la aceptación, en su caso, de las
personas responsables de la información y responsables de los servicios afectados. Los
referidos responsables deberán responder al informe en un plazo no superior a treinta
días, entendiéndose rechazado de no responderse en el plazo señalado.
La Consejería podrá contar con la ayuda de terceros para mejorar sus sistemas de
seguridad, mediante la contratación de auditorías, asistencias técnicas o desarrollos
especializados.
Boletín Oficial de la Junta de Andalucía
Número 239 - Viernes, 15 de diciembre de 2023
página 18861/14
Artículo 20. Desarrollo normativo de la seguridad TIC.
1. Las medidas contenidas en el cuerpo normativo de seguridad TIC se desarrollarán
en cuatro niveles con diferente ámbito de aplicación, detalle técnico y obligatoriedad de
cumplimiento, pero de manera que cada elemento de desarrollo se fundamente en el
nivel superior. Todos estos niveles prestarán especial atención a las exigencias derivadas
del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, así
como a la normativa aplicable en materia de protección de datos de carácter personal.
2. Los niveles de desarrollo son los siguientes:
a) Primer nivel: Política de seguridad TIC, constituido por esta orden. Será de obligado
cumplimiento en toda la Consejería.
b) Segundo nivel: Normas de seguridad. Describirán de forma general los principios
y ámbitos de seguridad que serán concretados en los niveles posteriores y serán
de obligado cumplimiento en toda la Consejería. En general serán resoluciones de
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00293978
h) Planificación, desarrollo y mantenimiento de sistemas de información: Los sistemas
se diseñarán y configurarán de forma que la seguridad TIC se garantice por defecto y
se contemple en todas las fases de su ciclo de vida, desde su planificación y diseño,
pasando por las fases de desarrollo y mantenimiento y alcanzando hasta su retirada.
Se contemplará la operativa que permita gestionar el conocimiento de la configuración
de los sistemas así como las relaciones y conexiones entre ellos, lo que propiciará la
planificación y gestión de su seguridad.
i) Gestión de incidentes de seguridad y de la continuidad: Ante incidentes de seguridad
TIC, el personal deberá actuar conforme a los mecanismos apropiados para su correcta
identificación, registro y resolución, habilitando un sistema de gestión que permita la
mejora continua de la seguridad del sistema. En la gestión de los incidentes deberán
integrarse aquellos procedimientos que establezca la Dirección Gerencia de la Agencia
Digital de Andalucía o el Comité de Seguridad Interior y Seguridad TIC Corporativo de la
Junta de Andalucía. Igualmente, la Consejería estará integrada en el grupo atendido por
el Equipo de Respuesta a Incidentes de Seguridad Informática de la Junta de Andalucía,
con el que coordinará su actuación ante incidentes. Se implantarán los mecanismos
apropiados para asegurar la disponibilidad de los sistemas y mantener la continuidad de
sus procesos, de acuerdo a las necesidades de nivel de servicio.
j) Relaciones con terceros: Cuando la Consejería preste servicios a otros organismos
o trate información de otros organismos, se les hará partícipes de esta política de
seguridad TIC, estableciendo los mecanismos de coordinación entre las organizaciones y
los procedimientos de actuación frente a incidentes de seguridad que procedan.
Cuando la Consejería utilice servicios de terceros o ceda información a terceros,
se les hará partícipes de esta política de seguridad TIC y de la normativa de seguridad
que aplique. Dicha tercera parte quedará sujeta, a través de cláusulas contractuales
o acuerdos de nivel de servicio, a las obligaciones generales establecidas en dicha
normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Se establecerán mecanismos de comunicación y resolución de incidencias. Se deberá
garantizar que el personal de terceros esté adecuadamente concienciado en materia de
seguridad, al menos, al mismo nivel que el establecido en esta política.
Cuando algún aspecto de esta política de seguridad TIC no pueda ser satisfecho
por el tercero, la Unidad de Seguridad TIC emitirá un informe que precise los riesgos
en que se incurre y la forma de tratarlos, requiriendo la aceptación, en su caso, de las
personas responsables de la información y responsables de los servicios afectados. Los
referidos responsables deberán responder al informe en un plazo no superior a treinta
días, entendiéndose rechazado de no responderse en el plazo señalado.
La Consejería podrá contar con la ayuda de terceros para mejorar sus sistemas de
seguridad, mediante la contratación de auditorías, asistencias técnicas o desarrollos
especializados.
