3. Otras disposiciones. . (2024/92-34)
Orden de 8 de mayo de 2024, por la que se establece la política de seguridad interior y seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería de Universidad, Investigación e Innovación y de sus entidades adscritas.
22 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/5
permitan verificar y evidenciar la efectividad de los controles, las normas de seguridad
establecidas por la Consejería y los requisitos legales aplicables.
m) Incidentes de seguridad.
n) Continuidad de la actividad. Las personas responsables del servicio de acuerdo
con el artículo 18, deberán elaborar planes de continuidad del negocio. Se implantarán
mecanismos apropiados para asegurar la disponibilidad de los sistemas de información
teniendo en cuenta la valoración de la dimensión de disponibilidad.
ñ) Mejora continua del proceso de seguridad. Se elaborarán planes de mejora
continua que se presentarán para su aprobación al Comité de Seguridad TIC.
4. Las unidades organizativas deberán realizar un seguimiento continuo de los niveles
de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una
respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Las diferentes unidades organizativas deben cerciorarse de que la seguridad TIC es
una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su
retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades
de explotación. Así, los requisitos de seguridad y las necesidades de financiación deben
ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de
licitación para proyectos TIC. Las unidades organizativas deben estar preparadas para
prevenir, detectar, responder y recuperarse de los incidentes de seguridad.
5. Las reglas de uso de los recursos TIC serán trasladadas convenientemente, en la
medida en que pueda resultar necesario o recomendable, al clausulado de los contratos
suscritos por la Consejería y a los demás instrumentos jurídicos en los que se vertebre
cualquier prestación de servicios TIC a la misma.
6. Toda la documentación generada para el desarrollo de proyectos TIC tendrá la
obligación de utilización de un lenguaje no sexista.
Artículo 8. Detección.
1. Se monitorizará de manera continua para detectar anomalías en los niveles de
prestación de los servicios y actuar en consecuencia según lo establecido en el ENS,
para evitar su rápida degradación debido a incidentes.
Si la anomalía detectada afectase a datos personales, se contactará con el
responsable del tratamiento que actuará de acuerdo con lo establecido en el artículo 40
de la presente orden, relativo a la violación de la seguridad de los datos personales.
2. La monitorización es especialmente relevante cuando se establecen líneas de
defensa de acuerdo con lo dispuesto en el ENS. Así, se establecerán mecanismos de
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 7. Prevención.
1. Las unidades organizativas deben evitar, o al menos prevenir en la medida de
lo posible, que la información o los servicios se vean perjudicados por incidentes de
seguridad. Para ello, deben implementar las medidas mínimas de seguridad determinadas
por el ENS, así como cualquier control adicional identificado a través de una evaluación de
amenazas y riesgos que cumpla los requisitos del ENS y del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
2. Los controles, los perfiles y responsabilidades de seguridad de todo el personal,
deben estar claramente definidos y documentados.
3. Para garantizar el cumplimiento de la política, las unidades organizativas deben:
a) Autorizar la puesta en funcionamiento de los sistemas TIC de su competencia.
b) Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de
configuración realizados de forma rutinaria.
c) Solicitar la revisión periódica por parte de terceros con el fin de obtener una
evaluación independiente.
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/5
permitan verificar y evidenciar la efectividad de los controles, las normas de seguridad
establecidas por la Consejería y los requisitos legales aplicables.
m) Incidentes de seguridad.
n) Continuidad de la actividad. Las personas responsables del servicio de acuerdo
con el artículo 18, deberán elaborar planes de continuidad del negocio. Se implantarán
mecanismos apropiados para asegurar la disponibilidad de los sistemas de información
teniendo en cuenta la valoración de la dimensión de disponibilidad.
ñ) Mejora continua del proceso de seguridad. Se elaborarán planes de mejora
continua que se presentarán para su aprobación al Comité de Seguridad TIC.
4. Las unidades organizativas deberán realizar un seguimiento continuo de los niveles
de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una
respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Las diferentes unidades organizativas deben cerciorarse de que la seguridad TIC es
una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su
retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades
de explotación. Así, los requisitos de seguridad y las necesidades de financiación deben
ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de
licitación para proyectos TIC. Las unidades organizativas deben estar preparadas para
prevenir, detectar, responder y recuperarse de los incidentes de seguridad.
5. Las reglas de uso de los recursos TIC serán trasladadas convenientemente, en la
medida en que pueda resultar necesario o recomendable, al clausulado de los contratos
suscritos por la Consejería y a los demás instrumentos jurídicos en los que se vertebre
cualquier prestación de servicios TIC a la misma.
6. Toda la documentación generada para el desarrollo de proyectos TIC tendrá la
obligación de utilización de un lenguaje no sexista.
Artículo 8. Detección.
1. Se monitorizará de manera continua para detectar anomalías en los niveles de
prestación de los servicios y actuar en consecuencia según lo establecido en el ENS,
para evitar su rápida degradación debido a incidentes.
Si la anomalía detectada afectase a datos personales, se contactará con el
responsable del tratamiento que actuará de acuerdo con lo establecido en el artículo 40
de la presente orden, relativo a la violación de la seguridad de los datos personales.
2. La monitorización es especialmente relevante cuando se establecen líneas de
defensa de acuerdo con lo dispuesto en el ENS. Así, se establecerán mecanismos de
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 7. Prevención.
1. Las unidades organizativas deben evitar, o al menos prevenir en la medida de
lo posible, que la información o los servicios se vean perjudicados por incidentes de
seguridad. Para ello, deben implementar las medidas mínimas de seguridad determinadas
por el ENS, así como cualquier control adicional identificado a través de una evaluación de
amenazas y riesgos que cumpla los requisitos del ENS y del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
2. Los controles, los perfiles y responsabilidades de seguridad de todo el personal,
deben estar claramente definidos y documentados.
3. Para garantizar el cumplimiento de la política, las unidades organizativas deben:
a) Autorizar la puesta en funcionamiento de los sistemas TIC de su competencia.
b) Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de
configuración realizados de forma rutinaria.
c) Solicitar la revisión periódica por parte de terceros con el fin de obtener una
evaluación independiente.
