3. Otras disposiciones. . (2024/146-28)
Resolución de 22 de julio de 2024, de la Dirección del Instituto de Estadística y Cartografía de Andalucía, por la que se aprueba la revisión de la Política de Seguridad de las Tecnologías de la Información y Comunicaciones del Instituto de Estadística y Cartografía de Andalucía.
17 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 146 - Lunes, 29 de julio de 2024
página 48593/15
10. Estructura normativa.
La documentación relativa a la Seguridad de la Información estará clasificada en
cuatro niveles, de manera que cada documento de un nivel se fundamenta en los de nivel
superior:
• Primer nivel: PS de la Información.
• Segundo nivel: Normativas de Seguridad.
• Tercer nivel: Procedimientos de Seguridad.
• Cuarto nivel: Informes, registros y evidencias electrónicas.
10.1. Primer nivel: Política de Seguridad.
Documento de obligado cumplimiento por todo el personal, interno y externo, del
IECA, recogido en el presente documento y aprobado mediante esta Resolución. Estará
disponible para todoa la ciudadanía.
10.2. Segundo nivel: Normativas de Seguridad.
De obligado cumplimiento de acuerdo al ámbito organizativo, técnico o legal
correspondiente.
La responsabilidad de aprobación de los documentos redactados en este nivel
será competencia de la persona titular de la Secretaría General a propuesta del CS.
Disponibles para personal interno del IECA.
10.3. Tercer nivel: Procedimientos de Seguridad.
Documentos orientados a resolver las tareas, consideradas críticas por el perjuicio
que causaría una actuación inadecuada, de seguridad, desarrollo, mantenimiento y
explotación de los sistemas de información.
La responsabilidad de aprobación de estos procedimientos es del RSEG, a propuesta
del RSIS y con el visto bueno del CS. Los procedimientos de alcance general estarán
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00305542
Los riesgos se minimizarán hasta niveles aceptables, mediante el despliegue de las
correspondientes medidas de seguridad, que se actualizarán de forma periódica para
responder a nuevas amenazas, y que irán orientadas a conseguir un equilibrio entre la
criticidad de los datos y de su tratamiento, los riesgos a los que están expuestos y los
recursos que precisa la implantación de las medidas.
El diseño de cualquier tratamiento, sistema o servicio se realizará siempre
considerando el riesgo que pueda suponer para los mismos. De la misma forma la
reevaluación del riesgo será inherente a cualquier modificación que se opere sobre
sistemas, tratamientos o servicios.
De esta manera dará cumplimiento a la legislación y normas internas vigente bajo
un proceso de mejora continua conforme a los marcos y metodologías existentes en la
actualidad.
Para ello, con el objetivo de conocer el nivel de exposición de los activos de información
a los riesgos y amenazas en materia de seguridad, el RSEG se responsabilizará de que
se realicen, con periodicidad al menos anual, análisis de riesgos cuyos resultados se
plasmen en actuaciones para tratar y mitigar el riesgo, o incluso, replantear la seguridad
de los sistemas, en caso necesario.
Se realizará un análisis de riesgos:
• Antes de realizar un tratamiento o la implantación de un nuevo sistema o servicio.
• Regularmente, una vez al año.
• Cuando haya cambios en los tratamientos, sistemas o servicios esenciales prestados
o cambios significativos en las infraestructuras que los soportan.
• Cuando ocurra un incidente de seguridad grave.
• Cuando se identifiquen amenazas severas que no hubieran sido tenidas en cuenta
o vulnerabilidades graves que no estén contrarrestadas por las medidas de protección
implantadas.
Las conclusiones de los análisis de riesgos serán elevadas al CS.
Boletín Oficial de la Junta de Andalucía
Número 146 - Lunes, 29 de julio de 2024
página 48593/15
10. Estructura normativa.
La documentación relativa a la Seguridad de la Información estará clasificada en
cuatro niveles, de manera que cada documento de un nivel se fundamenta en los de nivel
superior:
• Primer nivel: PS de la Información.
• Segundo nivel: Normativas de Seguridad.
• Tercer nivel: Procedimientos de Seguridad.
• Cuarto nivel: Informes, registros y evidencias electrónicas.
10.1. Primer nivel: Política de Seguridad.
Documento de obligado cumplimiento por todo el personal, interno y externo, del
IECA, recogido en el presente documento y aprobado mediante esta Resolución. Estará
disponible para todoa la ciudadanía.
10.2. Segundo nivel: Normativas de Seguridad.
De obligado cumplimiento de acuerdo al ámbito organizativo, técnico o legal
correspondiente.
La responsabilidad de aprobación de los documentos redactados en este nivel
será competencia de la persona titular de la Secretaría General a propuesta del CS.
Disponibles para personal interno del IECA.
10.3. Tercer nivel: Procedimientos de Seguridad.
Documentos orientados a resolver las tareas, consideradas críticas por el perjuicio
que causaría una actuación inadecuada, de seguridad, desarrollo, mantenimiento y
explotación de los sistemas de información.
La responsabilidad de aprobación de estos procedimientos es del RSEG, a propuesta
del RSIS y con el visto bueno del CS. Los procedimientos de alcance general estarán
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00305542
Los riesgos se minimizarán hasta niveles aceptables, mediante el despliegue de las
correspondientes medidas de seguridad, que se actualizarán de forma periódica para
responder a nuevas amenazas, y que irán orientadas a conseguir un equilibrio entre la
criticidad de los datos y de su tratamiento, los riesgos a los que están expuestos y los
recursos que precisa la implantación de las medidas.
El diseño de cualquier tratamiento, sistema o servicio se realizará siempre
considerando el riesgo que pueda suponer para los mismos. De la misma forma la
reevaluación del riesgo será inherente a cualquier modificación que se opere sobre
sistemas, tratamientos o servicios.
De esta manera dará cumplimiento a la legislación y normas internas vigente bajo
un proceso de mejora continua conforme a los marcos y metodologías existentes en la
actualidad.
Para ello, con el objetivo de conocer el nivel de exposición de los activos de información
a los riesgos y amenazas en materia de seguridad, el RSEG se responsabilizará de que
se realicen, con periodicidad al menos anual, análisis de riesgos cuyos resultados se
plasmen en actuaciones para tratar y mitigar el riesgo, o incluso, replantear la seguridad
de los sistemas, en caso necesario.
Se realizará un análisis de riesgos:
• Antes de realizar un tratamiento o la implantación de un nuevo sistema o servicio.
• Regularmente, una vez al año.
• Cuando haya cambios en los tratamientos, sistemas o servicios esenciales prestados
o cambios significativos en las infraestructuras que los soportan.
• Cuando ocurra un incidente de seguridad grave.
• Cuando se identifiquen amenazas severas que no hubieran sido tenidas en cuenta
o vulnerabilidades graves que no estén contrarrestadas por las medidas de protección
implantadas.
Las conclusiones de los análisis de riesgos serán elevadas al CS.
