3. Otras disposiciones. . (2024/92-34)
Orden de 8 de mayo de 2024, por la que se establece la política de seguridad interior y seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería de Universidad, Investigación e Innovación y de sus entidades adscritas.
22 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/11
Artículo 18. Responsable del servicio.
1. La figura de responsable del servicio, en lo relativo al ENS, es el agente que
determinará los niveles de seguridad de los servicios dentro del marco establecido en el
Anexo I del Real Decreto 311/2022, de 3 de mayo.
La figura de responsable del servicio corresponderá a las personas titulares de cada
órgano directivo o unidad administrativa, al menos con nivel de jefatura de servicio y
mantendrá dicha condición mientras conserven dicha titularidad.
2. En virtud del artículo 10.4 del Decreto 1/2011, de 11 de enero, los deberes y
responsabilidades principales de este perfil de responsabilidad, dentro de su ámbito de
actuación y sin perjuicio de otras previstas en el ENS y la guía CCN-STIC-801, son los
siguientes:
a) Ayudar a determinar los requisitos de seguridad de los servicios a prestar,
identificando los niveles de seguridad de los mismos mediante la valoración del impacto
sobre éstos de los incidentes que pudieran producirse.
b) En el ámbito de cada servicio, proporcionar la información necesaria a la Unidad
Seguridad TIC para realizar los preceptivos análisis de riesgos, con la finalidad de
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 17. Responsable de la información.
1. La figura de responsable de la información en lo relativo al ENS, será aquella
persona titular de centro directivo que tiene la responsabilidad sobre la información
y determina sus niveles de seguridad dentro del marco establecido en el Anexo I del
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de
Seguridad, siendo posible la presentación de una propuesta previa por parte del Comité
de Seguridad Interior y Seguridad TIC. Esta persona mantendrá dicha condición mientras
conserve la titularidad del centro directivo.
2. La persona responsable de la Información, y de acuerdo con la guía de seguridad
CCN-STIC-801 que trata las responsabilidades y funciones en el ENS, será la persona
titular del órgano directivo que tiene la responsabilidad última del uso que se haga de la
información y, por tanto, de su protección.
La persona responsable de la información tendrá la condición de responsable del
tratamiento, definida en el artículo 4 del Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo de 27 de abril de 2016, salvo que las normas aplicables sobre
asignación de atribuciones en materia de protección de datos personales dispongan de
otra cosa.
3. En virtud del artículo 10.4 del Decreto 1/2011, de 11 de enero, los deberes y
responsabilidades principales de este perfil de responsabilidad, dentro de su ámbito de
actuación y sin perjuicio de otras previstas en el ENS y la guía CCN-STIC-801, son los
siguientes:
a) Ayudar a determinar los requisitos de seguridad de la información, identificando los
niveles de seguridad de dicha información mediante la valoración del impacto sobre esta
de los incidentes que pudieran producirse.
b) Proporcionar la información necesaria a la Unidad de Seguridad TIC para realizar
los preceptivos análisis de riesgos, con la finalidad de establecer las salvaguardas a
implantar. Para ello, contará con la ayuda de la persona responsable del sistema.
c) En relación con los análisis de riesgos de los sistemas de información, aceptar los
riesgos residuales de las informaciones manejadas que sean de su competencia.
d) Impulsar la adopción de las medidas técnicas y organizativas apropiadas para
garantizar un nivel de seguridad adecuado, de acuerdo con el correspondiente análisis
de riesgo para los derechos y libertades de las personas físicas y, en su caso, cumplir
con las obligaciones establecidas en el artículo 38 de la presente orden, relativo a la
evaluación de impacto.
4. La persona responsable del servicio conservará su condición mientras ostenten el
cargo que haya determinado su nombramiento.
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/11
Artículo 18. Responsable del servicio.
1. La figura de responsable del servicio, en lo relativo al ENS, es el agente que
determinará los niveles de seguridad de los servicios dentro del marco establecido en el
Anexo I del Real Decreto 311/2022, de 3 de mayo.
La figura de responsable del servicio corresponderá a las personas titulares de cada
órgano directivo o unidad administrativa, al menos con nivel de jefatura de servicio y
mantendrá dicha condición mientras conserven dicha titularidad.
2. En virtud del artículo 10.4 del Decreto 1/2011, de 11 de enero, los deberes y
responsabilidades principales de este perfil de responsabilidad, dentro de su ámbito de
actuación y sin perjuicio de otras previstas en el ENS y la guía CCN-STIC-801, son los
siguientes:
a) Ayudar a determinar los requisitos de seguridad de los servicios a prestar,
identificando los niveles de seguridad de los mismos mediante la valoración del impacto
sobre éstos de los incidentes que pudieran producirse.
b) En el ámbito de cada servicio, proporcionar la información necesaria a la Unidad
Seguridad TIC para realizar los preceptivos análisis de riesgos, con la finalidad de
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 17. Responsable de la información.
1. La figura de responsable de la información en lo relativo al ENS, será aquella
persona titular de centro directivo que tiene la responsabilidad sobre la información
y determina sus niveles de seguridad dentro del marco establecido en el Anexo I del
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de
Seguridad, siendo posible la presentación de una propuesta previa por parte del Comité
de Seguridad Interior y Seguridad TIC. Esta persona mantendrá dicha condición mientras
conserve la titularidad del centro directivo.
2. La persona responsable de la Información, y de acuerdo con la guía de seguridad
CCN-STIC-801 que trata las responsabilidades y funciones en el ENS, será la persona
titular del órgano directivo que tiene la responsabilidad última del uso que se haga de la
información y, por tanto, de su protección.
La persona responsable de la información tendrá la condición de responsable del
tratamiento, definida en el artículo 4 del Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo de 27 de abril de 2016, salvo que las normas aplicables sobre
asignación de atribuciones en materia de protección de datos personales dispongan de
otra cosa.
3. En virtud del artículo 10.4 del Decreto 1/2011, de 11 de enero, los deberes y
responsabilidades principales de este perfil de responsabilidad, dentro de su ámbito de
actuación y sin perjuicio de otras previstas en el ENS y la guía CCN-STIC-801, son los
siguientes:
a) Ayudar a determinar los requisitos de seguridad de la información, identificando los
niveles de seguridad de dicha información mediante la valoración del impacto sobre esta
de los incidentes que pudieran producirse.
b) Proporcionar la información necesaria a la Unidad de Seguridad TIC para realizar
los preceptivos análisis de riesgos, con la finalidad de establecer las salvaguardas a
implantar. Para ello, contará con la ayuda de la persona responsable del sistema.
c) En relación con los análisis de riesgos de los sistemas de información, aceptar los
riesgos residuales de las informaciones manejadas que sean de su competencia.
d) Impulsar la adopción de las medidas técnicas y organizativas apropiadas para
garantizar un nivel de seguridad adecuado, de acuerdo con el correspondiente análisis
de riesgo para los derechos y libertades de las personas físicas y, en su caso, cumplir
con las obligaciones establecidas en el artículo 38 de la presente orden, relativo a la
evaluación de impacto.
4. La persona responsable del servicio conservará su condición mientras ostenten el
cargo que haya determinado su nombramiento.
