3. Otras disposiciones. . (2023/239-39)
Orden de 7 de diciembre de 2023, por la que se establece la política de seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería.
17 páginas totales
Página
Número 239 - Viernes, 15 de diciembre de 2023
página 18861/6
desarrollen, sobre la base de los mínimos establecidos, las resoluciones que se aprueben
por parte de la Dirección Gerencia de la Agencia Digital de Andalucía, de conformidad
con el artículo 2.5 de la Orden de 9 de junio de 2016, por la que se efectúa el desarrollo
de la política de seguridad de las tecnologías de la información y comunicaciones en la
Administración de la Junta de Andalucía.
b) Coordinar a alto nivel todas las actuaciones de seguridad, velando para que la
definición y el desarrollo de las mismas se adecúen en todo momento a las directrices
marcadas por la política de seguridad TIC, involucrando a las diferentes áreas implicadas.
c) Definir, aprobar y realizar el seguimiento de los objetivos, iniciativas y planes
estratégicos en materia de seguridad TIC.
d) Velar para que todos los ámbitos de responsabilidad y actuación en relación a
la seguridad TIC y su tratamiento queden perfectamente definidos. Especialmente, para
asegurar que todos y cada uno de los miembros de la estructura de seguridad definida
conozcan sus funciones y responsabilidades.
e) Proporcionar, dentro de los límites establecidos en los programas asignados por
las leyes anuales de presupuestos a la Consejería, los medios y recursos necesarios
para posibilitar la realización de las iniciativas planificadas. Entre ellas, la evaluación por
parte de la Unidad de Seguridad TIC de los aspectos de seguridad de nuevos sistemas
de información o de evolutivos de los existentes antes de su puesta en producción, como
se recoge en la letra e) del artículo 11.1 del Decreto 1/2011, de 11 de enero.
f) Velar por el desarrollo, aprobación, implantación, concienciación, formación y
divulgación, así como por el cumplimiento y actualización de la política de seguridad TIC
en la Consejería. Para su actualización, elevará las propuestas de revisión de la política de
seguridad TIC de la Consejería, o de revisión del marco regulador de seguridad TIC de la
Junta de Andalucía, a los órganos competentes para su tramitación reglamentaria.
g) Nombrar a los miembros de la Unidad de Seguridad TIC de la Consejería, así como
a su responsable.
h) Velar porque la seguridad TIC se tenga en cuenta en todos los proyectos TIC desde
su especificación inicial hasta su puesta en operación. En particular deberá velar por la
creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un
funcionamiento homogéneo de todos los sistemas TIC.
i) Aprobar las medidas correctoras que correspondan, derivadas de las conclusiones
elaboradas por la Unidad de Seguridad TIC, de las auditorías de seguridad internas o
externas que se realicen.
j) Promover la formación y concienciación en materia de seguridad TIC entre el
personal de la Consejería, así como la formación continua y especializada de los miembros
de la Unidad de Seguridad TIC y del delegado o delegada de protección de datos.
k) Planificar y priorizar las iniciativas necesarias para cumplir con las directrices, los
objetivos y los principios marcados en la presente política de seguridad TIC. En especial,
la elaboración, actualización y evaluación periódica de los análisis de riesgos necesarios.
l) Impulsar los preceptivos análisis de riesgos junto a la Unidad de Seguridad TIC y los
perfiles responsable de la información, responsable del servicio y delegado o delegada
de protección de datos. Para ello, se deberá impulsar la determinación de los niveles de
seguridad de la información tratada y de los servicios prestados, usando la valoración de
los impactos que tendrían los incidentes que afectaran a la seguridad TIC.
m) Gestionar la aceptación, en su caso, de los riesgos residuales por sus responsables
correspondientes respecto de la información y/o de los servicios de su competencia,
obtenidos en el análisis de riesgos.
n) Monitorizar el desempeño del proceso de gestión de incidentes de seguridad TIC,
así como la toma de decisiones en respuesta a incidentes de seguridad críticos.
ñ) Establecer los mecanismos necesarios para compartir la documentación del marco
regulador con el propósito de normalizarlo en todo el ámbito de aplicación y determinar
los medios de difusión de la política de seguridad TIC.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00293978
BOJA
Boletín Oficial de la Junta de Andalucía
página 18861/6
desarrollen, sobre la base de los mínimos establecidos, las resoluciones que se aprueben
por parte de la Dirección Gerencia de la Agencia Digital de Andalucía, de conformidad
con el artículo 2.5 de la Orden de 9 de junio de 2016, por la que se efectúa el desarrollo
de la política de seguridad de las tecnologías de la información y comunicaciones en la
Administración de la Junta de Andalucía.
b) Coordinar a alto nivel todas las actuaciones de seguridad, velando para que la
definición y el desarrollo de las mismas se adecúen en todo momento a las directrices
marcadas por la política de seguridad TIC, involucrando a las diferentes áreas implicadas.
c) Definir, aprobar y realizar el seguimiento de los objetivos, iniciativas y planes
estratégicos en materia de seguridad TIC.
d) Velar para que todos los ámbitos de responsabilidad y actuación en relación a
la seguridad TIC y su tratamiento queden perfectamente definidos. Especialmente, para
asegurar que todos y cada uno de los miembros de la estructura de seguridad definida
conozcan sus funciones y responsabilidades.
e) Proporcionar, dentro de los límites establecidos en los programas asignados por
las leyes anuales de presupuestos a la Consejería, los medios y recursos necesarios
para posibilitar la realización de las iniciativas planificadas. Entre ellas, la evaluación por
parte de la Unidad de Seguridad TIC de los aspectos de seguridad de nuevos sistemas
de información o de evolutivos de los existentes antes de su puesta en producción, como
se recoge en la letra e) del artículo 11.1 del Decreto 1/2011, de 11 de enero.
f) Velar por el desarrollo, aprobación, implantación, concienciación, formación y
divulgación, así como por el cumplimiento y actualización de la política de seguridad TIC
en la Consejería. Para su actualización, elevará las propuestas de revisión de la política de
seguridad TIC de la Consejería, o de revisión del marco regulador de seguridad TIC de la
Junta de Andalucía, a los órganos competentes para su tramitación reglamentaria.
g) Nombrar a los miembros de la Unidad de Seguridad TIC de la Consejería, así como
a su responsable.
h) Velar porque la seguridad TIC se tenga en cuenta en todos los proyectos TIC desde
su especificación inicial hasta su puesta en operación. En particular deberá velar por la
creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un
funcionamiento homogéneo de todos los sistemas TIC.
i) Aprobar las medidas correctoras que correspondan, derivadas de las conclusiones
elaboradas por la Unidad de Seguridad TIC, de las auditorías de seguridad internas o
externas que se realicen.
j) Promover la formación y concienciación en materia de seguridad TIC entre el
personal de la Consejería, así como la formación continua y especializada de los miembros
de la Unidad de Seguridad TIC y del delegado o delegada de protección de datos.
k) Planificar y priorizar las iniciativas necesarias para cumplir con las directrices, los
objetivos y los principios marcados en la presente política de seguridad TIC. En especial,
la elaboración, actualización y evaluación periódica de los análisis de riesgos necesarios.
l) Impulsar los preceptivos análisis de riesgos junto a la Unidad de Seguridad TIC y los
perfiles responsable de la información, responsable del servicio y delegado o delegada
de protección de datos. Para ello, se deberá impulsar la determinación de los niveles de
seguridad de la información tratada y de los servicios prestados, usando la valoración de
los impactos que tendrían los incidentes que afectaran a la seguridad TIC.
m) Gestionar la aceptación, en su caso, de los riesgos residuales por sus responsables
correspondientes respecto de la información y/o de los servicios de su competencia,
obtenidos en el análisis de riesgos.
n) Monitorizar el desempeño del proceso de gestión de incidentes de seguridad TIC,
así como la toma de decisiones en respuesta a incidentes de seguridad críticos.
ñ) Establecer los mecanismos necesarios para compartir la documentación del marco
regulador con el propósito de normalizarlo en todo el ámbito de aplicación y determinar
los medios de difusión de la política de seguridad TIC.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00293978
BOJA
Boletín Oficial de la Junta de Andalucía
