3. Otras disposiciones. . (2024/92-34)
Orden de 8 de mayo de 2024, por la que se establece la política de seguridad interior y seguridad de las tecnologías de la información y comunicaciones en el ámbito de la Consejería de Universidad, Investigación e Innovación y de sus entidades adscritas.
22 páginas totales
Página
BOJA
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/6
detección, análisis y reporte que lleguen a las personas responsables tanto de una manera
regular, como cuando se produzca alguna desviación significativa de los parámetros que
se hayan preestablecido como normales.
Artículo 9. Respuesta.
Las unidades organizativas deben:
a) Colaborar con el equipo de gestión de incidentes de seguridad de la Consejería y con
el delegado de protección de datos, en caso de que se vean afectados datos personales.
b) Designar un punto de contacto para las comunicaciones relativas a incidentes
detectados en otras unidades organizativas o en otros organismos.
c) Establecer protocolos para el intercambio de información relacionada con el
incidente. Esto incluye comunicaciones, en ambos sentidos, con los equipos de respuesta
ante emergencias informáticas.
Artículo 11. Planificación de las actividades para la seguridad interior contra riesgos
intencionales.
1. La planificación de las actividades para la seguridad interior contra riesgos
intencionales en el ámbito de la Consejería se realizará mediante un Plan de Seguridad
Interior de la Consejería, aprobado por el Comité de Seguridad Interior y Seguridad TIC
a propuesta de la correspondiente Unidad de Seguridad Interior y que, como mínimo,
comprenderá:
a) La identificación de todo el personal de la Consejería implicado en la organización
de la Seguridad Interior, con previsiones sobre la frecuencia y mecanismos de
comunicación y escalado de informaciones.
b) La relación de normas y procedimientos para la seguridad interior de común
aplicación a su ámbito.
c) La determinación de activos-tipo en el ámbito de su Consejería o entidad.
d) El análisis de riesgos para sus activos-tipo.
e) Los niveles de protección objetivo para sus activos-tipo.
f) Los tipos de medidas de seguridad pertinentes para los riesgos-tipo en los activos
de su ámbito.
g) Los criterios de priorización de gastos e inversiones en la seguridad interior de los
activos de su ámbito y previsión para los próximos ejercicios.
2. Por cada activo (o clase de personal, o de personas usuarias) singular en virtud
de su volumen o tipo especial de riesgos, según apreciación del Comité y a propuesta
de la Unidad de Seguridad Interior, se realizará un plan, propuesto por quien identificó la
necesidad y aprobado por quien la apreció, y que, como mínimo, comprenderá:
a) La descripción del activo y sus elementos.
b) La identificación de todo el personal que está implicado en la organización de la
Seguridad Interior, con previsiones sobre la frecuencia y mecanismos de comunicación y
escalado de informaciones.
c) La identificación de amenazas.
d) La identificación de riesgos.
e) El nivel de riesgo inherente.
f) Las medidas de seguridad existentes.
g) La estimación del nivel de protección objetivo del activo.
h) Las medidas a adoptar incluyendo, en su caso, previsiones de gasto e inversión.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 10. Recuperación.
Para garantizar la disponibilidad de los servicios críticos, las personas responsables
del servicio deben colaborar en el desarrollo de planes de continuidad de sus sistemas TIC
como parte de su plan general de continuidad de negocio y actividades de recuperación
liderados por el Comité de Seguridad Interior y Seguridad TIC.
Boletín Oficial de la Junta de Andalucía
Número 92 - Martes, 14 de mayo de 2024
página 44639/6
detección, análisis y reporte que lleguen a las personas responsables tanto de una manera
regular, como cuando se produzca alguna desviación significativa de los parámetros que
se hayan preestablecido como normales.
Artículo 9. Respuesta.
Las unidades organizativas deben:
a) Colaborar con el equipo de gestión de incidentes de seguridad de la Consejería y con
el delegado de protección de datos, en caso de que se vean afectados datos personales.
b) Designar un punto de contacto para las comunicaciones relativas a incidentes
detectados en otras unidades organizativas o en otros organismos.
c) Establecer protocolos para el intercambio de información relacionada con el
incidente. Esto incluye comunicaciones, en ambos sentidos, con los equipos de respuesta
ante emergencias informáticas.
Artículo 11. Planificación de las actividades para la seguridad interior contra riesgos
intencionales.
1. La planificación de las actividades para la seguridad interior contra riesgos
intencionales en el ámbito de la Consejería se realizará mediante un Plan de Seguridad
Interior de la Consejería, aprobado por el Comité de Seguridad Interior y Seguridad TIC
a propuesta de la correspondiente Unidad de Seguridad Interior y que, como mínimo,
comprenderá:
a) La identificación de todo el personal de la Consejería implicado en la organización
de la Seguridad Interior, con previsiones sobre la frecuencia y mecanismos de
comunicación y escalado de informaciones.
b) La relación de normas y procedimientos para la seguridad interior de común
aplicación a su ámbito.
c) La determinación de activos-tipo en el ámbito de su Consejería o entidad.
d) El análisis de riesgos para sus activos-tipo.
e) Los niveles de protección objetivo para sus activos-tipo.
f) Los tipos de medidas de seguridad pertinentes para los riesgos-tipo en los activos
de su ámbito.
g) Los criterios de priorización de gastos e inversiones en la seguridad interior de los
activos de su ámbito y previsión para los próximos ejercicios.
2. Por cada activo (o clase de personal, o de personas usuarias) singular en virtud
de su volumen o tipo especial de riesgos, según apreciación del Comité y a propuesta
de la Unidad de Seguridad Interior, se realizará un plan, propuesto por quien identificó la
necesidad y aprobado por quien la apreció, y que, como mínimo, comprenderá:
a) La descripción del activo y sus elementos.
b) La identificación de todo el personal que está implicado en la organización de la
Seguridad Interior, con previsiones sobre la frecuencia y mecanismos de comunicación y
escalado de informaciones.
c) La identificación de amenazas.
d) La identificación de riesgos.
e) El nivel de riesgo inherente.
f) Las medidas de seguridad existentes.
g) La estimación del nivel de protección objetivo del activo.
h) Las medidas a adoptar incluyendo, en su caso, previsiones de gasto e inversión.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00301588
Artículo 10. Recuperación.
Para garantizar la disponibilidad de los servicios críticos, las personas responsables
del servicio deben colaborar en el desarrollo de planes de continuidad de sus sistemas TIC
como parte de su plan general de continuidad de negocio y actividades de recuperación
liderados por el Comité de Seguridad Interior y Seguridad TIC.
