3. Otras disposiciones. . (2024/92-34)
Orden de 8 de mayo de 2024, por la que se establece la política de seguridad interior y seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería de Universidad, Investigación e Innovación y de sus entidades adscritas.
22 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/16
de los medios que se establezcan por el Comité de Seguridad Interior y Seguridad TIC,
sin perjuicio de su publicación en el Boletín Oficial de la Junta de Andalucía.
Artículo 25. Gestión de riesgos.
1. La Consejería realizará una gestión de la seguridad basada en los riesgos,
propiciando que tanto el análisis como la gestión de riesgos sean parte esencial del
proceso de seguridad, que deberá ser lo más transversal posible al resto de procesos de
la organización.
En los supuestos de sistemas de información que traten datos personales, el
responsable o el encargado del tratamiento, asesorado por el delegado de protección
de datos, realizarán un análisis de riesgos conforme al artículo 24 del Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
2. La gestión de riesgos deberá realizarse de manera continua sobre cada sistema
de información, conforme a los principios de gestión de la seguridad basada en los
riesgos y evaluación periódica. Dicha gestión permitirá mantener un entorno controlado,
minimizando los riesgos hasta niveles aceptables, reduciendo estos niveles mediante el
despliegue de medidas de seguridad, proceso para el que se establecerá un equilibrio
entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos
y las medidas de seguridad.
3. El proceso de gestión de riesgos comprende las fases de identificación y valoración
de las informaciones y los servicios esenciales prestados, la categorización de los
sistemas, el análisis de riesgos y la selección de las medidas de seguridad a aplicar, las
cuales deberán estar justificadas y ser proporcionales a los riesgos.
Artículo 27. Análisis de riesgos.
1. El análisis de riesgos se realizará, al menos, una vez al año por parte de la Unidad
de Seguridad TIC. Además se producirá un análisis de riesgos cuando se produzcan los
siguientes supuestos:
a) Cuando cambie la información manejada.
b) En el momento en que se modifiquen los servicios prestados.
c) En el tiempo en que ocurra un incidente grave de seguridad.
d) Cuando se detecten vulnerabilidades graves.
e) Cuando se determine de forma motivada por el Comité de Seguridad Interior y
Seguridad TIC.
2. La Unidad de Seguridad TIC elevará el informe correspondiente al análisis realizado
al Comité de Seguridad Interior y Seguridad TIC.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 26. Responsabilidades en la gestión de riesgos.
1. Las personas responsables de la información y/o responsables del servicio serán
responsables de los riesgos sobre la información y/o los servicios respectivamente y, por
tanto, de aceptar los riesgos residuales calculados en el análisis de riesgos, así como de
realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
El responsable del tratamiento, teniendo en cuenta la naturaleza, el ámbito, el contexto
y los fines del tratamiento, será responsable de analizar los riesgos para los derechos y
libertades de las personas físicas que conlleven los tratamientos de datos personales de
los que sea responsable y aplicará las medidas técnicas y organizativas apropiadas para
garantizar un nivel de seguridad adecuado al riesgo.
2. El Comité de Seguridad Interior y Seguridad TIC será responsable de realizar un
seguimiento de los principales riesgos residuales asumidos por la organización y de
recomendar posibles actuaciones respecto de ellos.
3. La selección de las medidas de seguridad a aplicar será propuesta por la Unidad de
Seguridad TIC al Comité de Seguridad Interior y Seguridad TIC, así como el seguimiento
de su aplicación.
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/16
de los medios que se establezcan por el Comité de Seguridad Interior y Seguridad TIC,
sin perjuicio de su publicación en el Boletín Oficial de la Junta de Andalucía.
Artículo 25. Gestión de riesgos.
1. La Consejería realizará una gestión de la seguridad basada en los riesgos,
propiciando que tanto el análisis como la gestión de riesgos sean parte esencial del
proceso de seguridad, que deberá ser lo más transversal posible al resto de procesos de
la organización.
En los supuestos de sistemas de información que traten datos personales, el
responsable o el encargado del tratamiento, asesorado por el delegado de protección
de datos, realizarán un análisis de riesgos conforme al artículo 24 del Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
2. La gestión de riesgos deberá realizarse de manera continua sobre cada sistema
de información, conforme a los principios de gestión de la seguridad basada en los
riesgos y evaluación periódica. Dicha gestión permitirá mantener un entorno controlado,
minimizando los riesgos hasta niveles aceptables, reduciendo estos niveles mediante el
despliegue de medidas de seguridad, proceso para el que se establecerá un equilibrio
entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos
y las medidas de seguridad.
3. El proceso de gestión de riesgos comprende las fases de identificación y valoración
de las informaciones y los servicios esenciales prestados, la categorización de los
sistemas, el análisis de riesgos y la selección de las medidas de seguridad a aplicar, las
cuales deberán estar justificadas y ser proporcionales a los riesgos.
Artículo 27. Análisis de riesgos.
1. El análisis de riesgos se realizará, al menos, una vez al año por parte de la Unidad
de Seguridad TIC. Además se producirá un análisis de riesgos cuando se produzcan los
siguientes supuestos:
a) Cuando cambie la información manejada.
b) En el momento en que se modifiquen los servicios prestados.
c) En el tiempo en que ocurra un incidente grave de seguridad.
d) Cuando se detecten vulnerabilidades graves.
e) Cuando se determine de forma motivada por el Comité de Seguridad Interior y
Seguridad TIC.
2. La Unidad de Seguridad TIC elevará el informe correspondiente al análisis realizado
al Comité de Seguridad Interior y Seguridad TIC.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 26. Responsabilidades en la gestión de riesgos.
1. Las personas responsables de la información y/o responsables del servicio serán
responsables de los riesgos sobre la información y/o los servicios respectivamente y, por
tanto, de aceptar los riesgos residuales calculados en el análisis de riesgos, así como de
realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
El responsable del tratamiento, teniendo en cuenta la naturaleza, el ámbito, el contexto
y los fines del tratamiento, será responsable de analizar los riesgos para los derechos y
libertades de las personas físicas que conlleven los tratamientos de datos personales de
los que sea responsable y aplicará las medidas técnicas y organizativas apropiadas para
garantizar un nivel de seguridad adecuado al riesgo.
2. El Comité de Seguridad Interior y Seguridad TIC será responsable de realizar un
seguimiento de los principales riesgos residuales asumidos por la organización y de
recomendar posibles actuaciones respecto de ellos.
3. La selección de las medidas de seguridad a aplicar será propuesta por la Unidad de
Seguridad TIC al Comité de Seguridad Interior y Seguridad TIC, así como el seguimiento
de su aplicación.
