BOJA

Boletín Oficial de la Junta de Andalucía
Número 36 - Martes, 20 de febrero de 2024

página 1358/12

Artículo 14. Obligaciones del personal.
1. Todos los miembros de la Cámara de Cuentas, así como el personal a su servicio,
tienen la obligación de conocer y cumplir la presente PSI y su normativa de desarrollo,
así como las guías y procedimientos de seguridad aplicables a su ámbito de actuación,
siendo responsabilidad del CDSI disponer los medios necesarios para que la información
llegue a todos los afectados. Igualmente, esta obligación se aplicará a las personas que
ocasionalmente presten servicios a la Cámara de Cuentas de Andalucía mediante una
relación contractual sometida a la legislación de contratos públicos.
2. El incumplimiento manifiesto de la PSI o su normativa de desarrollo, así como de
los protocolos y procedimientos de seguridad aprobados, podrá acarrear, en su caso, las
responsabilidades disciplinarias que correspondan.
Depósito Legal: SE-410/1979. ISSN: 2253-802X

https://www.juntadeandalucia.es/eboja

00297181

2. La documentación relativa a la seguridad de la información estará clasificada en
cuatro niveles, de manera que los documentos de nivel inferior estén siempre alineados
con los de nivel superior:
a) Primer nivel: PSI y normativa de desarrollo.
Documentos de obligado cumplimiento para todo el personal, interno y externo de la
Cámara de Cuentas de Andalucía.
La normativa de desarrollo debe estar alineada con la PSI y, al igual que ésta, debe
ser aprobada por acuerdo del Pleno de la Cámara de Cuentas.
b) Segundo nivel: Guías de seguridad.
Documentos de carácter eminentemente formativo que tienen por objeto ayudar a los
usuarios a aplicar correctamente las medidas de seguridad adoptadas, proporcionando
razonamientos donde no existen procedimientos precisos.
La responsabilidad de la aprobación de los documentos redactados en este nivel será
competencia del Comité de Dirección de Seguridad de la Información, a propuesta de la
persona Responsable de Seguridad.
c) Tercer nivel: Procedimientos de seguridad.
Documentos orientados a resolver las tareas, consideradas críticas por el perjuicio
que causaría una actuación inadecuada, de seguridad, desarrollo, mantenimiento y
explotación de los sistemas de información.
Corresponde elaborar estos procedimientos a la persona Responsable de Seguridad,
con la colaboración de la persona Responsable del Sistema de Información.
d) Cuarto nivel: Informes, registros y evidencias electrónicas. Se definen,
respectivamente, como:
i) Documentos de carácter técnico que recogen el resultado y las conclusiones de
un estudio o una valoración.
ii) Documentos de carácter técnico que recogen amenazas y vulnerabilidades de
los sistemas de información.
iii) Evidencias electrónicas generadas durante todas las fases del ciclo de vida del
sistema de información.
3. En la elaboración de la normativa, guías y procedimientos en materia de seguridad
de la información, se tendrán en cuenta:
a) Las guías de seguridad de las tecnologías de la información y la comunicación
elaboradas por el Centro Criptológico Nacional (guías CCN-STIC).
b) Las normas o recomendaciones aprobadas por órganos y organismos con
competencias en materia de seguridad o de protección de datos, como son el Centro
Criptológico Nacional, la Agencia Española de Protección de Datos, el Centro de
Seguridad TIC de Andalucía (Andalucía-CERT) o el Consejo de Transparencia y
Protección de Datos de Andalucía.
c) Las recomendaciones, guías de configuración y buenas prácticas publicadas
por organismos u organizaciones internacionales y por los fabricantes de productos de
seguridad.