3. Otras disposiciones. . (2023/239-39)
Orden de 7 de diciembre de 2023, por la que se establece la política de seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería.
17 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 239 - Viernes, 15 de diciembre de 2023
página 18861/15
la Dirección Gerencia de la Agencia Digital de Andalucía. Sin embargo, el Comité de
Seguridad Interior y Seguridad TIC de la Consejería podrá aprobar normas propias para
la Consejería, sobre la base de los mínimos establecidos, desarrollando o ampliando
dichas resoluciones.
c) Tercer nivel: Procedimientos. Describirán las acciones a realizar, de una manera
más específica, en un proceso relacionado con la seguridad. Serán dependientes de las
normas de seguridad.
d) Cuarto nivel: Guías técnicas. En este último nivel se podrá incluir todo tipo de
documentación técnica o especializada que se considere necesario para completar y
facilitar el desarrollo de las medidas de seguridad.
3. Además de los documentos que conforman los niveles anteriores, la documentación
de seguridad TIC podrá contar con las guías e instrucciones que publiquen los centros
expertos para la gestión de la seguridad de ámbito estatal y autonómico así como
con otros documentos de carácter no vinculante, como pueden ser recomendaciones,
informes, registros o evidencias electrónicas.
4. En virtud del apartado 4 del artículo 2 de la Orden de 9 de junio de 2016, por la que
se efectúa el desarrollo de la política de seguridad TIC en la Administración de la Junta
de Andalucía, la Consejería desarrollará los procedimientos y guías técnicas, que tendrán
el carácter de recomendaciones.
5. La Unidad de Seguridad TIC será la encargada de la gestión de la documentación
de seguridad TIC.
6. El Comité de Seguridad Interior y Seguridad TIC de la Consejería establecerá los
mecanismos necesarios para compartir la documentación del marco regulador con el
propósito de normalizarlo, en la medida de lo posible, en todo el ámbito de aplicación.
7. La siguiente tabla resume el marco de desarrollo y la responsabilidad de su
aprobación dentro de la Consejería:
DOCUMENTO
APRUEBA
Política de seguridad
Persona titular de la Consejería
Segundo
Normas de seguridad
Comité de Seguridad Interior y Seguridad TIC de la Consejería
Tercero
Procedimientos
Persona titular de la Secretaría General Técnica
Cuarto
Guías técnicas
Persona titular de la jefatura del Servicio de Sistemas de Información
Sectoriales de la Agencia Digital de Andalucía destacado en la Consejería
Artículo 21. Gestión de riesgos.
1. La Consejería asume el compromiso de controlar los riesgos de seguridad y dar
cumplimiento a la normativa vigente mediante un proceso continuo de gestión de riesgos.
El establecimiento de dicho proceso seguirá las normas, guías y recomendaciones
establecidas a tal efecto por el Centro Criptológico Nacional.
2. El proceso de gestión de riesgos comprende las fases de categorización de los
sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán
ser proporcionales a los riesgos y estar justificadas.
3. Según lo dispuesto por el Reglamento General de Protección de Datos, en el análisis
de riesgos también se deberán contemplar aquellos específicos de los tratamientos de
datos de carácter personal.
4. Las personas encargadas de la categorización de los sistemas serán los
responsables de la información y de los servicios, siendo la Unidad de Seguridad TIC la
responsable de supervisar los análisis de riesgos y proponer las medidas de seguridad
necesarias para su tratamiento, pudiendo recabar para ello información y ayuda del
responsable del sistema.
5. Los responsables de la información y de los servicios son los responsables de aceptar
los riesgos residuales calculados en el análisis y de realizar su seguimiento y control.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00293978
NIVEL
Primero
Boletín Oficial de la Junta de Andalucía
Número 239 - Viernes, 15 de diciembre de 2023
página 18861/15
la Dirección Gerencia de la Agencia Digital de Andalucía. Sin embargo, el Comité de
Seguridad Interior y Seguridad TIC de la Consejería podrá aprobar normas propias para
la Consejería, sobre la base de los mínimos establecidos, desarrollando o ampliando
dichas resoluciones.
c) Tercer nivel: Procedimientos. Describirán las acciones a realizar, de una manera
más específica, en un proceso relacionado con la seguridad. Serán dependientes de las
normas de seguridad.
d) Cuarto nivel: Guías técnicas. En este último nivel se podrá incluir todo tipo de
documentación técnica o especializada que se considere necesario para completar y
facilitar el desarrollo de las medidas de seguridad.
3. Además de los documentos que conforman los niveles anteriores, la documentación
de seguridad TIC podrá contar con las guías e instrucciones que publiquen los centros
expertos para la gestión de la seguridad de ámbito estatal y autonómico así como
con otros documentos de carácter no vinculante, como pueden ser recomendaciones,
informes, registros o evidencias electrónicas.
4. En virtud del apartado 4 del artículo 2 de la Orden de 9 de junio de 2016, por la que
se efectúa el desarrollo de la política de seguridad TIC en la Administración de la Junta
de Andalucía, la Consejería desarrollará los procedimientos y guías técnicas, que tendrán
el carácter de recomendaciones.
5. La Unidad de Seguridad TIC será la encargada de la gestión de la documentación
de seguridad TIC.
6. El Comité de Seguridad Interior y Seguridad TIC de la Consejería establecerá los
mecanismos necesarios para compartir la documentación del marco regulador con el
propósito de normalizarlo, en la medida de lo posible, en todo el ámbito de aplicación.
7. La siguiente tabla resume el marco de desarrollo y la responsabilidad de su
aprobación dentro de la Consejería:
DOCUMENTO
APRUEBA
Política de seguridad
Persona titular de la Consejería
Segundo
Normas de seguridad
Comité de Seguridad Interior y Seguridad TIC de la Consejería
Tercero
Procedimientos
Persona titular de la Secretaría General Técnica
Cuarto
Guías técnicas
Persona titular de la jefatura del Servicio de Sistemas de Información
Sectoriales de la Agencia Digital de Andalucía destacado en la Consejería
Artículo 21. Gestión de riesgos.
1. La Consejería asume el compromiso de controlar los riesgos de seguridad y dar
cumplimiento a la normativa vigente mediante un proceso continuo de gestión de riesgos.
El establecimiento de dicho proceso seguirá las normas, guías y recomendaciones
establecidas a tal efecto por el Centro Criptológico Nacional.
2. El proceso de gestión de riesgos comprende las fases de categorización de los
sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán
ser proporcionales a los riesgos y estar justificadas.
3. Según lo dispuesto por el Reglamento General de Protección de Datos, en el análisis
de riesgos también se deberán contemplar aquellos específicos de los tratamientos de
datos de carácter personal.
4. Las personas encargadas de la categorización de los sistemas serán los
responsables de la información y de los servicios, siendo la Unidad de Seguridad TIC la
responsable de supervisar los análisis de riesgos y proponer las medidas de seguridad
necesarias para su tratamiento, pudiendo recabar para ello información y ayuda del
responsable del sistema.
5. Los responsables de la información y de los servicios son los responsables de aceptar
los riesgos residuales calculados en el análisis y de realizar su seguimiento y control.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00293978
NIVEL
Primero
