3. Otras disposiciones. . (2024/92-34)
Orden de 8 de mayo de 2024, por la que se establece la política de seguridad interior y seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería de Universidad, Investigación e Innovación y de sus entidades adscritas.
22 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/18
Artículo 31. Concienciación y formación. Obligaciones del personal.
1. La seguridad de la información afecta a todas las personas que prestan servicios en
la Consejería y a todas las actividades, de acuerdo con el principio de seguridad integral
recogido en el artículo 6 del Real Decreto 311/2022, de 3 de mayo, por el que se regula
el Esquema Nacional de Seguridad. El objetivo consiste en lograr la plena conciencia
de estas personas, así como la articulación de los medios necesarios para que todas
las personas que intervienen en el proceso y sus responsables jerárquicos tengan una
sensibilidad hacia los riesgos que pueden acaecer. Adicionalmente, las personas con
responsabilidad en el uso, operación y administración de sistemas TIC deberán haber
recibido formación en el manejo seguro de los sistemas, en la medida en que la necesiten
para realizar sus funciones.
2. Todas las personas que presten sus servicios en la Consejería tienen la obligación
de conocer y cumplir esta política de seguridad TIC y la normativa de seguridad, siendo
responsabilidad del Comité de Seguridad Interior y Seguridad TIC disponer los medios
necesarios para que la información llegue a los afectados.
3. Todo el personal de la Consejería estará obligado a asistir a un curso o sesión de
concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un
programa de concienciación continua para atender a todas las personas pertenecientes a
la Consejería, en particular a aquellas de nueva incorporación.
Artículo 33. Auditorías y conformidad normativa.
1. La Consejería auditará los sistemas de información de forma periódica con objeto
de revisar el cumplimiento normativo vigente, así como el cumplimiento en materia de
protección de datos, en aquellos sistemas de información que traten datos personales.
2. Los sistemas de información de la Consejería serán objeto, al menos, cada dos
años, de una auditoría regular ordinaria interna o externa que verifique el cumplimiento de
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 32. Terceras partes.
1. En los supuestos de colaboración de la Consejería con otras entidades o
departamentos, o maneje información de estos, se les hará partícipes de esta política
de seguridad TIC, estableciéndose canales para la comunicación y coordinación de
los respectivos Comités de Seguridad Interior y Seguridad TIC y se establecerán
procedimientos de actuación para la reacción ante incidentes de seguridad y violaciones
de seguridad de los datos personales.
2. Cuando la Consejería utilice servicios de terceros o ceda información a
terceros, se les hará partícipes de esta política de seguridad y de la normativa de
seguridad que ataña a estos servicios o información. Los terceros quedarán sujetos a
las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios
procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos
de comunicación y resolución de incidencias, y violaciones de seguridad de los datos
personales, así como se garantizará que el personal correspondiente a dicha tercera
parte esté adecuadamente concienciado en materia de seguridad, al menos, al mismo
nivel que el establecido en esta política de seguridad TIC. Los terceros cuyos servicios
sean utilizados por la Consejería o a los que ésta les ceda o comunique información
estarán sujetos al deber de confidencialidad de acuerdo con el artículo 5.1 de la Ley
Orgánica 3/2018, de 5 de diciembre, en relación con el artículo 5.1.f) del Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
3. Cuando algún aspecto de la política de seguridad TIC no pueda ser satisfecho por
una tercera parte según se establece en los párrafos anteriores, la persona responsable
de seguridad TIC requerirá un informe que precise los riesgos en que se incurre y la
forma de tratarlos. Se requerirá la aprobación de este informe por la persona responsable
de la información y la persona responsable del servicio afectados antes de continuar con
las actuaciones.
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/18
Artículo 31. Concienciación y formación. Obligaciones del personal.
1. La seguridad de la información afecta a todas las personas que prestan servicios en
la Consejería y a todas las actividades, de acuerdo con el principio de seguridad integral
recogido en el artículo 6 del Real Decreto 311/2022, de 3 de mayo, por el que se regula
el Esquema Nacional de Seguridad. El objetivo consiste en lograr la plena conciencia
de estas personas, así como la articulación de los medios necesarios para que todas
las personas que intervienen en el proceso y sus responsables jerárquicos tengan una
sensibilidad hacia los riesgos que pueden acaecer. Adicionalmente, las personas con
responsabilidad en el uso, operación y administración de sistemas TIC deberán haber
recibido formación en el manejo seguro de los sistemas, en la medida en que la necesiten
para realizar sus funciones.
2. Todas las personas que presten sus servicios en la Consejería tienen la obligación
de conocer y cumplir esta política de seguridad TIC y la normativa de seguridad, siendo
responsabilidad del Comité de Seguridad Interior y Seguridad TIC disponer los medios
necesarios para que la información llegue a los afectados.
3. Todo el personal de la Consejería estará obligado a asistir a un curso o sesión de
concienciación en materia de seguridad TIC al menos una vez al año. Se establecerá un
programa de concienciación continua para atender a todas las personas pertenecientes a
la Consejería, en particular a aquellas de nueva incorporación.
Artículo 33. Auditorías y conformidad normativa.
1. La Consejería auditará los sistemas de información de forma periódica con objeto
de revisar el cumplimiento normativo vigente, así como el cumplimiento en materia de
protección de datos, en aquellos sistemas de información que traten datos personales.
2. Los sistemas de información de la Consejería serán objeto, al menos, cada dos
años, de una auditoría regular ordinaria interna o externa que verifique el cumplimiento de
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 32. Terceras partes.
1. En los supuestos de colaboración de la Consejería con otras entidades o
departamentos, o maneje información de estos, se les hará partícipes de esta política
de seguridad TIC, estableciéndose canales para la comunicación y coordinación de
los respectivos Comités de Seguridad Interior y Seguridad TIC y se establecerán
procedimientos de actuación para la reacción ante incidentes de seguridad y violaciones
de seguridad de los datos personales.
2. Cuando la Consejería utilice servicios de terceros o ceda información a
terceros, se les hará partícipes de esta política de seguridad y de la normativa de
seguridad que ataña a estos servicios o información. Los terceros quedarán sujetos a
las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios
procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos
de comunicación y resolución de incidencias, y violaciones de seguridad de los datos
personales, así como se garantizará que el personal correspondiente a dicha tercera
parte esté adecuadamente concienciado en materia de seguridad, al menos, al mismo
nivel que el establecido en esta política de seguridad TIC. Los terceros cuyos servicios
sean utilizados por la Consejería o a los que ésta les ceda o comunique información
estarán sujetos al deber de confidencialidad de acuerdo con el artículo 5.1 de la Ley
Orgánica 3/2018, de 5 de diciembre, en relación con el artículo 5.1.f) del Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
3. Cuando algún aspecto de la política de seguridad TIC no pueda ser satisfecho por
una tercera parte según se establece en los párrafos anteriores, la persona responsable
de seguridad TIC requerirá un informe que precise los riesgos en que se incurre y la
forma de tratarlos. Se requerirá la aprobación de este informe por la persona responsable
de la información y la persona responsable del servicio afectados antes de continuar con
las actuaciones.
