3. Otras disposiciones. . (2024/92-34)
Orden de 8 de mayo de 2024, por la que se establece la política de seguridad interior y seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería de Universidad, Investigación e Innovación y de sus entidades adscritas.
22 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/17
3. Para realizar el análisis de riesgos se utilizarán las metodologías y las herramientas
que apliquen, de acuerdo con lo establecido en el ENS.
4. Para la armonización de los análisis de riesgos, el Comité de Seguridad Interior
y Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de
información manejados y los diferentes servicios prestados. El Comité de Seguridad
Interior y Seguridad TIC propiciará la disponibilidad de recursos para atender a las
necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de
carácter horizontal.
Artículo 28. Categorización de los sistemas.
La determinación de la categoría de un sistema se realizará de acuerdo a lo que el
ENS establezca al respecto.
Artículo 30. Gestión de incidentes de seguridad y de la continuidad.
1. El Comité de Seguridad Interior y Seguridad TIC deberá aprobar y revisar
periódicamente un plan para mantener la continuidad de los procesos y sistemas
críticos y garantizar su recuperación en caso de desastre. La finalidad de este plan es
reducir el tiempo de indisponibilidad a niveles aceptables mediante la combinación de
controles de carácter organizativo, tecnológico y procedimental tanto preventivos como
de recuperación.
2. A los efectos de una mejor gestión de los incidentes, se actuará de forma
coordinada con el centro especializado y orientado a la prevención, detección y respuesta
a incidentes y amenazas de seguridad en el ámbito de la administración, el sector
empresarial y la ciudadanía de la Comunidad Autónoma de Andalucía.
3. Durante la gestión de los incidentes de seguridad se analizará si han sido afectados
datos personales, en cuyo caso se actuará de acuerdo con lo previsto en el artículo 40 de
la presente orden, relativo a la violación de la seguridad de los datos personales.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 29. Desarrollo normativo de la política de seguridad de la información.
1. El cuerpo normativo sobre seguridad TIC es de obligado cumplimiento y se
desarrollará en tres niveles, según el ámbito de aplicación y nivel de detalle técnico, de
manera que cada norma de un determinado nivel de desarrollo se fundamente en las
normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:
a) Primer nivel normativo: Política de seguridad TIC, directrices y normas generales
de seguridad TIC.
b) Segundo nivel normativo: Normas específicas de seguridad TIC, que desarrollan
y detallan la política de seguridad TIC, centrándose en un área o aspecto determinado.
c) Tercer nivel normativo: Procedimientos, procesos, guías e instrucciones técnicas de
seguridad TIC, que dan respuesta, incluyendo detalles de implementación y tecnológicos,
a cómo se puede realizar una determinada tarea cumpliendo con lo expuesto en la
política de seguridad TIC.
2. Además de los documentos citados en el apartado anterior, la documentación de
seguridad TIC de los órganos contemplados en el ámbito de aplicación de esta norma
podrá contar, bajo criterio de la Unidad de Seguridad TIC, con otros documentos de
carácter no vinculante como pueden ser: recomendaciones, buenas prácticas, informes,
registros, evidencias electrónicas, y otros establecidos al respecto.
3. La Unidad de Seguridad TIC, deberá mantener la documentación de seguridad
actualizada y organizada, así como gestionar los mecanismos de acceso a la misma.
4. El Comité de Seguridad Interior y Seguridad TIC establecerá los mecanismos
necesarios para publicar y compartir la documentación derivada del desarrollo normativo
con el propósito de normalizarlo, en la medida de lo posible, en todo el ámbito de
aplicación de la política de seguridad TIC.
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/17
3. Para realizar el análisis de riesgos se utilizarán las metodologías y las herramientas
que apliquen, de acuerdo con lo establecido en el ENS.
4. Para la armonización de los análisis de riesgos, el Comité de Seguridad Interior
y Seguridad TIC establecerá una valoración de referencia para los diferentes tipos de
información manejados y los diferentes servicios prestados. El Comité de Seguridad
Interior y Seguridad TIC propiciará la disponibilidad de recursos para atender a las
necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de
carácter horizontal.
Artículo 28. Categorización de los sistemas.
La determinación de la categoría de un sistema se realizará de acuerdo a lo que el
ENS establezca al respecto.
Artículo 30. Gestión de incidentes de seguridad y de la continuidad.
1. El Comité de Seguridad Interior y Seguridad TIC deberá aprobar y revisar
periódicamente un plan para mantener la continuidad de los procesos y sistemas
críticos y garantizar su recuperación en caso de desastre. La finalidad de este plan es
reducir el tiempo de indisponibilidad a niveles aceptables mediante la combinación de
controles de carácter organizativo, tecnológico y procedimental tanto preventivos como
de recuperación.
2. A los efectos de una mejor gestión de los incidentes, se actuará de forma
coordinada con el centro especializado y orientado a la prevención, detección y respuesta
a incidentes y amenazas de seguridad en el ámbito de la administración, el sector
empresarial y la ciudadanía de la Comunidad Autónoma de Andalucía.
3. Durante la gestión de los incidentes de seguridad se analizará si han sido afectados
datos personales, en cuyo caso se actuará de acuerdo con lo previsto en el artículo 40 de
la presente orden, relativo a la violación de la seguridad de los datos personales.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 29. Desarrollo normativo de la política de seguridad de la información.
1. El cuerpo normativo sobre seguridad TIC es de obligado cumplimiento y se
desarrollará en tres niveles, según el ámbito de aplicación y nivel de detalle técnico, de
manera que cada norma de un determinado nivel de desarrollo se fundamente en las
normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:
a) Primer nivel normativo: Política de seguridad TIC, directrices y normas generales
de seguridad TIC.
b) Segundo nivel normativo: Normas específicas de seguridad TIC, que desarrollan
y detallan la política de seguridad TIC, centrándose en un área o aspecto determinado.
c) Tercer nivel normativo: Procedimientos, procesos, guías e instrucciones técnicas de
seguridad TIC, que dan respuesta, incluyendo detalles de implementación y tecnológicos,
a cómo se puede realizar una determinada tarea cumpliendo con lo expuesto en la
política de seguridad TIC.
2. Además de los documentos citados en el apartado anterior, la documentación de
seguridad TIC de los órganos contemplados en el ámbito de aplicación de esta norma
podrá contar, bajo criterio de la Unidad de Seguridad TIC, con otros documentos de
carácter no vinculante como pueden ser: recomendaciones, buenas prácticas, informes,
registros, evidencias electrónicas, y otros establecidos al respecto.
3. La Unidad de Seguridad TIC, deberá mantener la documentación de seguridad
actualizada y organizada, así como gestionar los mecanismos de acceso a la misma.
4. El Comité de Seguridad Interior y Seguridad TIC establecerá los mecanismos
necesarios para publicar y compartir la documentación derivada del desarrollo normativo
con el propósito de normalizarlo, en la medida de lo posible, en todo el ámbito de
aplicación de la política de seguridad TIC.
