3. Otras disposiciones. . (2024/92-34)
Orden de 8 de mayo de 2024, por la que se establece la política de seguridad interior y seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería de Universidad, Investigación e Innovación y de sus entidades adscritas.
22 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/15
b) Definir los criterios de uso y los servicios disponibles en el sistema.
c) Elaborar los procedimientos operativos de seguridad para su aprobación por la
persona responsable de seguridad TIC.
d) Determinar la configuración autorizada de hardware y software a utilizar en el
sistema y aprobar las modificaciones importantes de dicha configuración.
e) Implantar y controlar las medidas específicas de seguridad del sistema.
f) Elaborar, junto con la persona responsable de seguridad TIC, los planes de mejora
continua de la seguridad que deberá aprobar el Comité de Seguridad Interior y Seguridad TIC.
g) Elaborar planes de contingencia y emergencia, llevando a cabo frecuentes
ejercicios para que el personal se familiarice con ellos.
h) Suspender el manejo de cierta información o la prestación de un cierto servicio si
detecta deficiencias graves de seguridad que pudieran afectar a la satisfacción de los
requisitos establecidos. Esta decisión debe ser acordada con las personas responsables
de la información afectada, del servicio afectado y la persona responsable de seguridad
TIC, antes de ser ejecutada.
Artículo 24. Actualización de la política de seguridad de la información.
Una de las funciones del Comité de Seguridad Interior y Seguridad TIC de la
Consejería consistirá en la revisión anual de esta política de seguridad de la información
y la propuesta de revisión o mantenimiento de la misma. Las modificaciones en la política
de seguridad serán aprobadas por la persona titular de la Consejería y difundidas a través
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 23. Entidades vinculadas o dependientes.
1. De acuerdo con lo dispuesto en el artículo 10 del Decreto 1/2011, de 11 de enero,
cada entidad deberá contar con un documento de política de seguridad TIC, que
será aprobado por la persona titular de la entidad correspondiente y se plasmará en
los términos descritos en el Real Decreto 311/2022, de 3 de mayo, sin perjuicio de lo
establecido en el artículo 10.3 del Decreto 1/2011, de 11 de enero, en el que se indica
que el documento de política de seguridad TIC de las Consejerías y sus documentos
complementarios también serán de obligado cumplimiento para sus entidades vinculadas
o dependientes.
2. Cada entidad vinculada o dependiente deberá contar con un Comité de Seguridad
Interior y Seguridad TIC de los regulados en el artículo 10 del Decreto 1/2011, de 11 de
enero, que actuará como órgano de dirección y seguimiento en materia de seguridad de
los activos TIC de su titularidad o cuya gestión tenga encomendada. Las atribuciones
de los Comités de Seguridad Interior y Seguridad TIC de las entidades vinculadas o
dependientes podrán ser asumidas por los comités de dirección existentes en dichas
entidades, circunstancia que deberá ser recogida expresamente en el correspondiente
documento de política de seguridad TIC.
3. El documento de política de seguridad TIC de las entidades vinculadas o
dependientes, deberá recoger la composición, atribuciones y funcionamiento del Comité
de Seguridad Interior y Seguridad TIC y del resto de perfiles con responsabilidad en
seguridad, incluyendo, en su caso, los recogidos en el Real Decreto 311/2022, de 3 de
mayo, definiendo, para cada uno de ellos, los deberes y responsabilidades del cargo, así
como el procedimiento para su designación y renovación.
4. El Comité de Seguridad Interior y Seguridad TIC de la Consejería articulará los
protocolos comunes de colaboración y coordinación necesarios con los comités de sus
entidades vinculadas o dependientes.
5. Las entidades vinculadas o dependientes contarán, al menos, con una persona
responsable de seguridad TIC que será nombrada por el Comité de Seguridad Interior y
Seguridad TIC de las mismas y que tendrá las atribuciones que establece el artículo 11.2
del Decreto 1/2011, de 11 de enero.
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/15
b) Definir los criterios de uso y los servicios disponibles en el sistema.
c) Elaborar los procedimientos operativos de seguridad para su aprobación por la
persona responsable de seguridad TIC.
d) Determinar la configuración autorizada de hardware y software a utilizar en el
sistema y aprobar las modificaciones importantes de dicha configuración.
e) Implantar y controlar las medidas específicas de seguridad del sistema.
f) Elaborar, junto con la persona responsable de seguridad TIC, los planes de mejora
continua de la seguridad que deberá aprobar el Comité de Seguridad Interior y Seguridad TIC.
g) Elaborar planes de contingencia y emergencia, llevando a cabo frecuentes
ejercicios para que el personal se familiarice con ellos.
h) Suspender el manejo de cierta información o la prestación de un cierto servicio si
detecta deficiencias graves de seguridad que pudieran afectar a la satisfacción de los
requisitos establecidos. Esta decisión debe ser acordada con las personas responsables
de la información afectada, del servicio afectado y la persona responsable de seguridad
TIC, antes de ser ejecutada.
Artículo 24. Actualización de la política de seguridad de la información.
Una de las funciones del Comité de Seguridad Interior y Seguridad TIC de la
Consejería consistirá en la revisión anual de esta política de seguridad de la información
y la propuesta de revisión o mantenimiento de la misma. Las modificaciones en la política
de seguridad serán aprobadas por la persona titular de la Consejería y difundidas a través
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 23. Entidades vinculadas o dependientes.
1. De acuerdo con lo dispuesto en el artículo 10 del Decreto 1/2011, de 11 de enero,
cada entidad deberá contar con un documento de política de seguridad TIC, que
será aprobado por la persona titular de la entidad correspondiente y se plasmará en
los términos descritos en el Real Decreto 311/2022, de 3 de mayo, sin perjuicio de lo
establecido en el artículo 10.3 del Decreto 1/2011, de 11 de enero, en el que se indica
que el documento de política de seguridad TIC de las Consejerías y sus documentos
complementarios también serán de obligado cumplimiento para sus entidades vinculadas
o dependientes.
2. Cada entidad vinculada o dependiente deberá contar con un Comité de Seguridad
Interior y Seguridad TIC de los regulados en el artículo 10 del Decreto 1/2011, de 11 de
enero, que actuará como órgano de dirección y seguimiento en materia de seguridad de
los activos TIC de su titularidad o cuya gestión tenga encomendada. Las atribuciones
de los Comités de Seguridad Interior y Seguridad TIC de las entidades vinculadas o
dependientes podrán ser asumidas por los comités de dirección existentes en dichas
entidades, circunstancia que deberá ser recogida expresamente en el correspondiente
documento de política de seguridad TIC.
3. El documento de política de seguridad TIC de las entidades vinculadas o
dependientes, deberá recoger la composición, atribuciones y funcionamiento del Comité
de Seguridad Interior y Seguridad TIC y del resto de perfiles con responsabilidad en
seguridad, incluyendo, en su caso, los recogidos en el Real Decreto 311/2022, de 3 de
mayo, definiendo, para cada uno de ellos, los deberes y responsabilidades del cargo, así
como el procedimiento para su designación y renovación.
4. El Comité de Seguridad Interior y Seguridad TIC de la Consejería articulará los
protocolos comunes de colaboración y coordinación necesarios con los comités de sus
entidades vinculadas o dependientes.
5. Las entidades vinculadas o dependientes contarán, al menos, con una persona
responsable de seguridad TIC que será nombrada por el Comité de Seguridad Interior y
Seguridad TIC de las mismas y que tendrá las atribuciones que establece el artículo 11.2
del Decreto 1/2011, de 11 de enero.
