3. Otras disposiciones. . (2024/36-25)
Resolución de 13 de febrero de 2024, de la Presidenta de la Cámara de Cuentas de Andalucía, por la que se da publicidad al Acuerdo de 9 de noviembre de 2023, del Pleno de la Cámara de Cuentas de Andalucía, por el que se aprueban las normas que regulan la política de seguridad de la información en la Cámara de Cuentas de Andalucía.
13 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 36 - Martes, 20 de febrero de 2024
página 1358/10
d) Aceptar los riesgos residuales calculados en el análisis de riesgos y realizar su
seguimiento y control, sin perjuicio de la posibilidad de delegar esta última tarea.
e) Impulsar la ejecución de auditorías de seguridad.
2. A los efectos previstos en el RGPD, las personas Responsables de la Información
y de los Servicios determinan los fines y medios del correspondiente tratamiento de
datos personales. En consecuencia, la Cámara de Cuentas ostenta la consideración
de responsable del tratamiento respecto de los datos personales contenidos en la
información incluida en su ámbito de actuación.
3. Las personas Responsables de la Información y de los Servicios serán designadas
por la persona titular de la Presidencia de la Cámara de Cuentas.
Artículo 11. Gestión de los Riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre los sistemas de
información, conforme a los principios de gestión de la seguridad basada en los riesgos,
vigilancia continua y reevaluación periódica, previstos en los artículos 7 y 10 del Real
Decreto 311/2022, de 3 de mayo.
2. El Proceso de Gestión de Riesgos, que comprende la definición de las fases de
categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad
a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá
revisarse y aprobarse cada año por el CDSI. El Proceso de Gestión de Riesgos aprobado
conformará la guía metodológica básica para la elaboración de los respectivos análisis
de riesgos, y por lo tanto facilitará la homogenización y comparación de los resultados de
cada uno de los análisis de riesgos que se realicen.
3. Las indicadas fases del proceso de gestión de riesgos se realizarán según lo
dispuesto en los anexos I y II del Real Decreto 311/2022, de 3 de mayo, y siguiendo las
normas, instrucciones, guías CCN-STIC y recomendaciones para la aplicación del mismo
elaboradas por el Centro Criptológico Nacional.
4. Las personas Responsables de la Información y de los Servicios solicitarán al
Responsable de la Seguridad el preceptivo análisis de riesgos para que se proponga
el tratamiento adecuado, calculando los riesgos residuales, identificando carencias y
debilidades.
5. Se realizará un análisis de riesgos:
a) Regularmente, una vez al año.
b) Cuando haya cambios en los servicios esenciales prestados o cambios
significativos en las infraestructuras que los soportan.
c) Cuando ocurra un incidente de seguridad grave.
d) Cuando se identifiquen amenazas severas que no hubieran sido tenidas en cuenta
o vulnerabilidades graves que no estén contrarrestadas por las medidas de protección
implantadas.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00297181
Artículo 10. Delegado de Protección de Datos.
1. El Delegado de Protección de Datos tiene carácter asesor y supervisor para el
cumplimiento de lo dispuesto en el RGPD, en la Ley Orgánica 3/2018, de 5 de diciembre,
y demás normativa aplicable sobre protección de datos personales.
2. Sin perjuicio de las funciones que le atribuye el RGPD, en el ámbito de la presente
norma, el asesoramiento y supervisión del Delegado de Protección de Datos se extiende
a aquellas medidas de seguridad que se quieran implementar con finalidades distintas a
garantizar la protección de datos, en la medida que impliquen un tratamiento adicional de
datos personales.
3. Dentro de la gestión general de incidentes, el Delegado de Protección de Datos
intervendrá en la gestión de las brechas de datos personales, principalmente en su
posición de interlocutor de Cámara de Cuentas ante la Agencia Española de Protección
de Datos o el Consejo de Transparencia y Protección de Datos de Andalucía.
Boletín Oficial de la Junta de Andalucía
Número 36 - Martes, 20 de febrero de 2024
página 1358/10
d) Aceptar los riesgos residuales calculados en el análisis de riesgos y realizar su
seguimiento y control, sin perjuicio de la posibilidad de delegar esta última tarea.
e) Impulsar la ejecución de auditorías de seguridad.
2. A los efectos previstos en el RGPD, las personas Responsables de la Información
y de los Servicios determinan los fines y medios del correspondiente tratamiento de
datos personales. En consecuencia, la Cámara de Cuentas ostenta la consideración
de responsable del tratamiento respecto de los datos personales contenidos en la
información incluida en su ámbito de actuación.
3. Las personas Responsables de la Información y de los Servicios serán designadas
por la persona titular de la Presidencia de la Cámara de Cuentas.
Artículo 11. Gestión de los Riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre los sistemas de
información, conforme a los principios de gestión de la seguridad basada en los riesgos,
vigilancia continua y reevaluación periódica, previstos en los artículos 7 y 10 del Real
Decreto 311/2022, de 3 de mayo.
2. El Proceso de Gestión de Riesgos, que comprende la definición de las fases de
categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad
a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá
revisarse y aprobarse cada año por el CDSI. El Proceso de Gestión de Riesgos aprobado
conformará la guía metodológica básica para la elaboración de los respectivos análisis
de riesgos, y por lo tanto facilitará la homogenización y comparación de los resultados de
cada uno de los análisis de riesgos que se realicen.
3. Las indicadas fases del proceso de gestión de riesgos se realizarán según lo
dispuesto en los anexos I y II del Real Decreto 311/2022, de 3 de mayo, y siguiendo las
normas, instrucciones, guías CCN-STIC y recomendaciones para la aplicación del mismo
elaboradas por el Centro Criptológico Nacional.
4. Las personas Responsables de la Información y de los Servicios solicitarán al
Responsable de la Seguridad el preceptivo análisis de riesgos para que se proponga
el tratamiento adecuado, calculando los riesgos residuales, identificando carencias y
debilidades.
5. Se realizará un análisis de riesgos:
a) Regularmente, una vez al año.
b) Cuando haya cambios en los servicios esenciales prestados o cambios
significativos en las infraestructuras que los soportan.
c) Cuando ocurra un incidente de seguridad grave.
d) Cuando se identifiquen amenazas severas que no hubieran sido tenidas en cuenta
o vulnerabilidades graves que no estén contrarrestadas por las medidas de protección
implantadas.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00297181
Artículo 10. Delegado de Protección de Datos.
1. El Delegado de Protección de Datos tiene carácter asesor y supervisor para el
cumplimiento de lo dispuesto en el RGPD, en la Ley Orgánica 3/2018, de 5 de diciembre,
y demás normativa aplicable sobre protección de datos personales.
2. Sin perjuicio de las funciones que le atribuye el RGPD, en el ámbito de la presente
norma, el asesoramiento y supervisión del Delegado de Protección de Datos se extiende
a aquellas medidas de seguridad que se quieran implementar con finalidades distintas a
garantizar la protección de datos, en la medida que impliquen un tratamiento adicional de
datos personales.
3. Dentro de la gestión general de incidentes, el Delegado de Protección de Datos
intervendrá en la gestión de las brechas de datos personales, principalmente en su
posición de interlocutor de Cámara de Cuentas ante la Agencia Española de Protección
de Datos o el Consejo de Transparencia y Protección de Datos de Andalucía.
