3. Otras disposiciones. . (2024/36-25)
Resolución de 13 de febrero de 2024, de la Presidenta de la Cámara de Cuentas de Andalucía, por la que se da publicidad al Acuerdo de 9 de noviembre de 2023, del Pleno de la Cámara de Cuentas de Andalucía, por el que se aprueban las normas que regulan la política de seguridad de la información en la Cámara de Cuentas de Andalucía.
13 páginas totales
Página
Número 36 - Martes, 20 de febrero de 2024
página 1358/4
b) Responsabilidad diferenciada: En los sistemas de información se diferenciará
el responsable de la información, que determina los requisitos de seguridad de la
información tratada; el responsable del servicio, que determina los requisitos de seguridad
de los servicios prestados; el responsable del sistema, que tiene la responsabilidad
de desarrollar la forma concreta de implementar la seguridad en el sistema y de la
supervisión de la operación diaria del mismo, pudiendo delegar en administradores u
operadores bajo su responsabilidad; y el responsable de la seguridad, que será distinto
del responsable del sistema, que determinará las decisiones para satisfacer los requisitos
de seguridad de la información y de los servicios, supervisará la implantación de las
medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre
estas cuestiones. En los supuestos de tratamientos de datos personales se identificará
además a la persona o unidad responsable del tratamiento y, en su caso, al encargado
de tratamiento, de acuerdo con las definiciones del artículo 4, apartados 7 y 8, del RGPD.
c) Seguridad integral: La seguridad se entenderá como un proceso integral constituido
por todos los elementos técnicos, humanos, materiales y organizativos, relacionados
con el sistema de información, evitando, salvo casos de urgencia o necesidad, cualquier
actuación puntual o tratamiento coyuntural. La seguridad de la información debe
considerarse como parte de la operativa habitual, estando presente y aplicándose desde
el diseño inicial de los sistemas de información.
d) Gestión de los Riesgos: El análisis y gestión de riesgos será parte esencial del
proceso de seguridad. La gestión de los riesgos permitirá el mantenimiento de un entorno
controlado, minimizando los riesgos hasta niveles aceptables. La reducción a estos
niveles se realizará mediante el despliegue de medidas de seguridad, que establecerán
un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad
de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de
seguridad. Además, las medidas de seguridad deberán garantizar el cumplimiento de lo
previsto en el artículo 32 del RGPD, por lo que el responsable del tratamiento de datos
personales, y en su caso, los encargados del tratamiento, podrán adoptar todas aquellas
medidas adicionales con el fin de garantizar la seguridad de los datos personales, en
virtud de lo dispuesto en los artículos 24 y 25 del RGPD, en el artículo 28 de la Ley
Orgánica 3/2018, de 5 de diciembre, y en el artículo 3 del Real Decreto 311/2022, de 3 de
mayo.
e) Proporcionalidad: El establecimiento de medidas de protección, detección y
recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de
la información y de los servicios afectados.
f) Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán
periódicamente para adecuar su eficacia a la constante evolución de los riesgos y
sistemas de protección. La seguridad de la información será atendida, revisada y auditada
por personal cualificado, instruido y con dichas competencias entre sus funciones.
g) Seguridad desde el diseño y por defecto: Los sistemas deben diseñarse y
configurarse de forma que garanticen un grado suficiente de seguridad por defecto.
Además, con el fin de garantizar la resiliencia y la protección de los datos personales, se
deben tener en cuenta las medidas de seguridad por defecto en base a los artículos 24 y 25
del RGPD, así como las medidas de seguridad orientadas al riesgo según el artículo 32
del RGPD.
h) Vigilancia continua: De forma que la evaluación permanente del estado de la
seguridad de los activos permita medir su evolución, detectando vulnerabilidades e
identificando deficiencias de configuración. En cuanto la gestión de incidentes que afecten
a datos personales, se tendrá en cuenta las obligaciones específicas de notificación,
comunicación y documentación especificadas en los artículos 33 y 34 del RGPD.
i) Prevención, detección, respuesta y conservación: Se deben aplicar estos principios,
de manera que las amenazas existentes no se materialicen o, en el caso de materializarse,
no afecten gravemente a la información que se trata o a los servicios prestados.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00297181
BOJA
Boletín Oficial de la Junta de Andalucía
página 1358/4
b) Responsabilidad diferenciada: En los sistemas de información se diferenciará
el responsable de la información, que determina los requisitos de seguridad de la
información tratada; el responsable del servicio, que determina los requisitos de seguridad
de los servicios prestados; el responsable del sistema, que tiene la responsabilidad
de desarrollar la forma concreta de implementar la seguridad en el sistema y de la
supervisión de la operación diaria del mismo, pudiendo delegar en administradores u
operadores bajo su responsabilidad; y el responsable de la seguridad, que será distinto
del responsable del sistema, que determinará las decisiones para satisfacer los requisitos
de seguridad de la información y de los servicios, supervisará la implantación de las
medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre
estas cuestiones. En los supuestos de tratamientos de datos personales se identificará
además a la persona o unidad responsable del tratamiento y, en su caso, al encargado
de tratamiento, de acuerdo con las definiciones del artículo 4, apartados 7 y 8, del RGPD.
c) Seguridad integral: La seguridad se entenderá como un proceso integral constituido
por todos los elementos técnicos, humanos, materiales y organizativos, relacionados
con el sistema de información, evitando, salvo casos de urgencia o necesidad, cualquier
actuación puntual o tratamiento coyuntural. La seguridad de la información debe
considerarse como parte de la operativa habitual, estando presente y aplicándose desde
el diseño inicial de los sistemas de información.
d) Gestión de los Riesgos: El análisis y gestión de riesgos será parte esencial del
proceso de seguridad. La gestión de los riesgos permitirá el mantenimiento de un entorno
controlado, minimizando los riesgos hasta niveles aceptables. La reducción a estos
niveles se realizará mediante el despliegue de medidas de seguridad, que establecerán
un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad
de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de
seguridad. Además, las medidas de seguridad deberán garantizar el cumplimiento de lo
previsto en el artículo 32 del RGPD, por lo que el responsable del tratamiento de datos
personales, y en su caso, los encargados del tratamiento, podrán adoptar todas aquellas
medidas adicionales con el fin de garantizar la seguridad de los datos personales, en
virtud de lo dispuesto en los artículos 24 y 25 del RGPD, en el artículo 28 de la Ley
Orgánica 3/2018, de 5 de diciembre, y en el artículo 3 del Real Decreto 311/2022, de 3 de
mayo.
e) Proporcionalidad: El establecimiento de medidas de protección, detección y
recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de
la información y de los servicios afectados.
f) Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán
periódicamente para adecuar su eficacia a la constante evolución de los riesgos y
sistemas de protección. La seguridad de la información será atendida, revisada y auditada
por personal cualificado, instruido y con dichas competencias entre sus funciones.
g) Seguridad desde el diseño y por defecto: Los sistemas deben diseñarse y
configurarse de forma que garanticen un grado suficiente de seguridad por defecto.
Además, con el fin de garantizar la resiliencia y la protección de los datos personales, se
deben tener en cuenta las medidas de seguridad por defecto en base a los artículos 24 y 25
del RGPD, así como las medidas de seguridad orientadas al riesgo según el artículo 32
del RGPD.
h) Vigilancia continua: De forma que la evaluación permanente del estado de la
seguridad de los activos permita medir su evolución, detectando vulnerabilidades e
identificando deficiencias de configuración. En cuanto la gestión de incidentes que afecten
a datos personales, se tendrá en cuenta las obligaciones específicas de notificación,
comunicación y documentación especificadas en los artículos 33 y 34 del RGPD.
i) Prevención, detección, respuesta y conservación: Se deben aplicar estos principios,
de manera que las amenazas existentes no se materialicen o, en el caso de materializarse,
no afecten gravemente a la información que se trata o a los servicios prestados.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00297181
BOJA
Boletín Oficial de la Junta de Andalucía
