3. Otras disposiciones. . (2024/92-34)
Orden de 8 de mayo de 2024, por la que se establece la política de seguridad interior y seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería de Universidad, Investigación e Innovación y de sus entidades adscritas.
22 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/14
Artículo 22. Responsable del sistema.
1. En virtud del artículo 10.4 del Decreto 1/2011, de 11 de enero, la presente política
establece que los deberes y responsabilidades de este perfil de responsabilidad serán los
previstos en el ENS y la guía CCN-STIC-801 para la figura del responsable del sistema,
y su designación, nombramiento y renovación se adoptará por decisión del Comité de
Seguridad Interior y Seguridad TIC y se comunicará a la persona interesada.
2. Desde la perspectiva del ENS, la figura del responsable a que se refiere este
artículo, respecto de los sistemas de información cuya implantación, explotación
y mantenimiento se haga fuera de la Consejería (en otros organismos de la Junta
de Andalucía o en empresas externas) será nombrada o renovada por la persona
responsable de la información o la persona responsable del servicio correspondiente. El
nombramiento y cese, en todo caso, será comunicado a la persona afectada.
3. Las personas responsables del sistema serán nombradas por el Comité de
Seguridad Interior y Seguridad TIC que corresponda, y tendrá las siguientes atribuciones:
a) Gestionar el sistema durante todo su ciclo de vida, desde la especificación, la
instalación, hasta el seguimiento de su funcionamiento.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
1.º Conocer los cambios tecnológicos que puedan afectar a los sistemas de
información, pudiendo tener consecuencias para la organización. En este caso deberá
alertar al Comité de Seguridad Interior y Seguridad TIC y proponer las medidas oportunas.
2.º La correcta ejecución de las instrucciones emanadas del Comité de Seguridad
Interior y Seguridad TIC, transmitiendo dichas instrucciones directamente o a través de la
Unidad de Seguridad TIC.
3.º La presentación regular de informes sobre el estado de seguridad de los servicios
TIC al Comité de Seguridad Interior y Seguridad TIC.
4.º La preparación de informes en caso de incidentes excepcionalmente graves y en
caso de desastres.
5.º La elaboración del análisis de riesgos de los sistemas, contando con el
asesoramiento del delegado de protección de datos. Dicho análisis que será presentado
al Comité de Seguridad Interior y Seguridad TIC para su aprobación. Este análisis deberá
actualizarse regularmente dependiendo de la criticidad del sistema.
6.º La inspección de las verificaciones regulares de seguridad aprobadas por el
Comité. El resultado de estas inspecciones se presentará al Comité de Seguridad Interior
y Seguridad TIC para su conocimiento y aprobación. Si como resultado de la inspección
aparecen incumplimientos, propondrá medidas correctoras que presentará al Comité de
Seguridad Interior y Seguridad TIC para su aprobación, responsabilizándose de que sean
llevadas a cabo.
7.º La elaboración y seguimiento del Plan de Seguridad que será presentado al
Comité de Seguridad Interior y Seguridad TIC para su aprobación.
Estas funciones se desempeñarán con el asesoramiento del delegado de protección
de datos, de acuerdo con el artículo 3.2 del Real Decreto 311/2022, de 3 de mayo, por el
que se regula el Esquema Nacional de Seguridad, y con el contenido de los requisitos de
protección de la información sobre datos personales contemplado en el apartado 5.7.1 del
Anexo II de dicho real decreto.
d) Determinará, para su aprobación por el Comité de Seguridad Interior y Seguridad
TIC, los requisitos de formación y calificación de las personas con perfiles de personas
administradoras, operadoras y usuarias desde el punto de vista de la seguridad de las TIC.
e) Aprobar las normas de tercer nivel.
2. La persona responsable de seguridad TIC deberá poseer conocimientos de
la normativa vigente y estándares nacionales e internacionales en seguridad de la
información y de protección de datos, y, será nombrada entre el personal funcionario
de la Unidad de Seguridad TIC por el Comité de Seguridad Interior y Seguridad TIC,
mediante acto documentado.
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/14
Artículo 22. Responsable del sistema.
1. En virtud del artículo 10.4 del Decreto 1/2011, de 11 de enero, la presente política
establece que los deberes y responsabilidades de este perfil de responsabilidad serán los
previstos en el ENS y la guía CCN-STIC-801 para la figura del responsable del sistema,
y su designación, nombramiento y renovación se adoptará por decisión del Comité de
Seguridad Interior y Seguridad TIC y se comunicará a la persona interesada.
2. Desde la perspectiva del ENS, la figura del responsable a que se refiere este
artículo, respecto de los sistemas de información cuya implantación, explotación
y mantenimiento se haga fuera de la Consejería (en otros organismos de la Junta
de Andalucía o en empresas externas) será nombrada o renovada por la persona
responsable de la información o la persona responsable del servicio correspondiente. El
nombramiento y cese, en todo caso, será comunicado a la persona afectada.
3. Las personas responsables del sistema serán nombradas por el Comité de
Seguridad Interior y Seguridad TIC que corresponda, y tendrá las siguientes atribuciones:
a) Gestionar el sistema durante todo su ciclo de vida, desde la especificación, la
instalación, hasta el seguimiento de su funcionamiento.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
1.º Conocer los cambios tecnológicos que puedan afectar a los sistemas de
información, pudiendo tener consecuencias para la organización. En este caso deberá
alertar al Comité de Seguridad Interior y Seguridad TIC y proponer las medidas oportunas.
2.º La correcta ejecución de las instrucciones emanadas del Comité de Seguridad
Interior y Seguridad TIC, transmitiendo dichas instrucciones directamente o a través de la
Unidad de Seguridad TIC.
3.º La presentación regular de informes sobre el estado de seguridad de los servicios
TIC al Comité de Seguridad Interior y Seguridad TIC.
4.º La preparación de informes en caso de incidentes excepcionalmente graves y en
caso de desastres.
5.º La elaboración del análisis de riesgos de los sistemas, contando con el
asesoramiento del delegado de protección de datos. Dicho análisis que será presentado
al Comité de Seguridad Interior y Seguridad TIC para su aprobación. Este análisis deberá
actualizarse regularmente dependiendo de la criticidad del sistema.
6.º La inspección de las verificaciones regulares de seguridad aprobadas por el
Comité. El resultado de estas inspecciones se presentará al Comité de Seguridad Interior
y Seguridad TIC para su conocimiento y aprobación. Si como resultado de la inspección
aparecen incumplimientos, propondrá medidas correctoras que presentará al Comité de
Seguridad Interior y Seguridad TIC para su aprobación, responsabilizándose de que sean
llevadas a cabo.
7.º La elaboración y seguimiento del Plan de Seguridad que será presentado al
Comité de Seguridad Interior y Seguridad TIC para su aprobación.
Estas funciones se desempeñarán con el asesoramiento del delegado de protección
de datos, de acuerdo con el artículo 3.2 del Real Decreto 311/2022, de 3 de mayo, por el
que se regula el Esquema Nacional de Seguridad, y con el contenido de los requisitos de
protección de la información sobre datos personales contemplado en el apartado 5.7.1 del
Anexo II de dicho real decreto.
d) Determinará, para su aprobación por el Comité de Seguridad Interior y Seguridad
TIC, los requisitos de formación y calificación de las personas con perfiles de personas
administradoras, operadoras y usuarias desde el punto de vista de la seguridad de las TIC.
e) Aprobar las normas de tercer nivel.
2. La persona responsable de seguridad TIC deberá poseer conocimientos de
la normativa vigente y estándares nacionales e internacionales en seguridad de la
información y de protección de datos, y, será nombrada entre el personal funcionario
de la Unidad de Seguridad TIC por el Comité de Seguridad Interior y Seguridad TIC,
mediante acto documentado.
