Disposiciones generales. . (2024/211-1)
Orden de 23 de octubre de 2024, por la que se establece la Política de Seguridad TIC, Seguridad Interior y Protección de Datos Personales de la Consejería de la Presidencia, Interior, Diálogo Social y Simplificación Administrativa.
26 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 211 - Martes, 29 de octubre de 2024
página 53047/16
Artículo 24. Los Puntos o Personas de Contacto (POC).
De conformidad con lo previsto en el apartado 5 del artículo 13 del ENS, en el caso
de servicios externalizados, salvo por causa justificada y documentada, la organización
prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto)
para la seguridad de la información tratada y el servicio prestado, que cuente con el apoyo
de los órganos directivos, y que canalice y supervise, tanto el cumplimiento de los requisitos
de seguridad del servicio que presta o solución que provea, como las comunicaciones
relativas a la seguridad de la información y la gestión de los incidentes para el ámbito de
dicho servicio. Dicho POC de seguridad será el propio Responsable de Seguridad de la
organización contratada, formará parte de su área o tendrá comunicación directa con la
misma.
Artículo 25. Función diferenciada.
De conformidad con lo previsto en el artículo 13.3 del ENS, el Responsable de
Seguridad TIC será distinto del Responsable del Sistema, no debiendo existir dependencia
jerárquica entre ambos. En aquellas situaciones excepcionales en las que la ausencia
justificada de recursos haga necesario que ambas funciones recaigan en la misma
persona o en distintas personas entre las que exista relación jerárquica, deberán aplicarse
medidas compensatorias para garantizar la finalidad del principio de diferenciación de
responsabilidades previsto en el artículo 11 del ENS.
Artículo 27. Gestión de riesgos en materia de Seguridad TIC.
1. La gestión de riesgos deberá realizarse de manera continua sobre el sistema de
información, conforme a los principios de gestión de la seguridad basada en los riesgos y
con reevaluación periódica de los mismos.
2. En cumplimiento de lo previsto en el artículo 41 del ENS, la facultad para efectuar las
valoraciones a las que se refiere el artículo 40 del ENS, así como, en su caso, su posterior
modificación, corresponderá al responsable o responsables de la información o servicios
afectados. Con base en las valoraciones señaladas, la determinación de la categoría de
seguridad del sistema corresponderá al responsable o responsables de la seguridad.
3. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en
cuenta los riesgos que presente el tratamiento de datos de personales, en particular como
consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no
autorizados a dichos datos.
4. El Responsable del Servicio o el Responsable de la Información será el encargado
de aceptar los riesgos residuales calculados en el análisis sobre la información y los
servicios, y de realizar su seguimiento y control.
5. El proceso de gestión de riesgos, que comprende las fases de categorización
de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que
deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse al menos
con periodicidad anual por parte de la Unidad de Seguridad TIC, que elevará un informe al
Comité de Seguridad Interior y Seguridad TIC.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00309996
Artículo 26. Clasificación y control de activos en materia de Seguridad TIC.
1. Los recursos informáticos y la información de la Consejería en base al ENS
se encontrarán inventariados. Este inventario contará con una persona responsable,
encargada de definir los criterios de seguridad asociados y, en caso de ser necesario, se
definirá una persona para la custodia del recurso. Dicha persona encargada velará por
cumplir los criterios de seguridad definidos por la persona responsable de los mismos. Los
inventarios se mantendrán actualizados para asegurar su validez.
2. Los activos de información estarán clasificados de acuerdo con su sensibilidad
y criticidad para el desarrollo de la actividad de la Consejería, en función de la cual se
establecerán las medidas de seguridad exigidas para su protección.
Boletín Oficial de la Junta de Andalucía
Número 211 - Martes, 29 de octubre de 2024
página 53047/16
Artículo 24. Los Puntos o Personas de Contacto (POC).
De conformidad con lo previsto en el apartado 5 del artículo 13 del ENS, en el caso
de servicios externalizados, salvo por causa justificada y documentada, la organización
prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto)
para la seguridad de la información tratada y el servicio prestado, que cuente con el apoyo
de los órganos directivos, y que canalice y supervise, tanto el cumplimiento de los requisitos
de seguridad del servicio que presta o solución que provea, como las comunicaciones
relativas a la seguridad de la información y la gestión de los incidentes para el ámbito de
dicho servicio. Dicho POC de seguridad será el propio Responsable de Seguridad de la
organización contratada, formará parte de su área o tendrá comunicación directa con la
misma.
Artículo 25. Función diferenciada.
De conformidad con lo previsto en el artículo 13.3 del ENS, el Responsable de
Seguridad TIC será distinto del Responsable del Sistema, no debiendo existir dependencia
jerárquica entre ambos. En aquellas situaciones excepcionales en las que la ausencia
justificada de recursos haga necesario que ambas funciones recaigan en la misma
persona o en distintas personas entre las que exista relación jerárquica, deberán aplicarse
medidas compensatorias para garantizar la finalidad del principio de diferenciación de
responsabilidades previsto en el artículo 11 del ENS.
Artículo 27. Gestión de riesgos en materia de Seguridad TIC.
1. La gestión de riesgos deberá realizarse de manera continua sobre el sistema de
información, conforme a los principios de gestión de la seguridad basada en los riesgos y
con reevaluación periódica de los mismos.
2. En cumplimiento de lo previsto en el artículo 41 del ENS, la facultad para efectuar las
valoraciones a las que se refiere el artículo 40 del ENS, así como, en su caso, su posterior
modificación, corresponderá al responsable o responsables de la información o servicios
afectados. Con base en las valoraciones señaladas, la determinación de la categoría de
seguridad del sistema corresponderá al responsable o responsables de la seguridad.
3. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en
cuenta los riesgos que presente el tratamiento de datos de personales, en particular como
consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no
autorizados a dichos datos.
4. El Responsable del Servicio o el Responsable de la Información será el encargado
de aceptar los riesgos residuales calculados en el análisis sobre la información y los
servicios, y de realizar su seguimiento y control.
5. El proceso de gestión de riesgos, que comprende las fases de categorización
de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que
deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse al menos
con periodicidad anual por parte de la Unidad de Seguridad TIC, que elevará un informe al
Comité de Seguridad Interior y Seguridad TIC.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00309996
Artículo 26. Clasificación y control de activos en materia de Seguridad TIC.
1. Los recursos informáticos y la información de la Consejería en base al ENS
se encontrarán inventariados. Este inventario contará con una persona responsable,
encargada de definir los criterios de seguridad asociados y, en caso de ser necesario, se
definirá una persona para la custodia del recurso. Dicha persona encargada velará por
cumplir los criterios de seguridad definidos por la persona responsable de los mismos. Los
inventarios se mantendrán actualizados para asegurar su validez.
2. Los activos de información estarán clasificados de acuerdo con su sensibilidad
y criticidad para el desarrollo de la actividad de la Consejería, en función de la cual se
establecerán las medidas de seguridad exigidas para su protección.
