3. Otras disposiciones. . (2024/221-50)
Orden de 5 de noviembre de 2024, por la que se establece la política de seguridad de la información de la Consejería de Agricultura, Pesca, Agua y Desarrollo Rural.
21 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 221 - Miércoles, 13 de noviembre de 2024
página 53833/19
2. El proceso de gestión de riesgos comprende las fases de identificación y valoración
de la información manejada y de los servicios prestados, categorización de los sistemas,
análisis de riesgos y selección de medidas de seguridad a aplicar, las cuales deberán ser
proporcionales a los riesgos y estar justificadas.
3. Este análisis de riesgos deberá realizarse por parte de la Unidad de Seguridad
de la información, a partir de la información proporcionada y con la participación de las
personas responsables de servicios, de la información y de los sistemas, al menos de
forma anual o cuando se produzcan cambios importantes en la información manejada o
los servicios prestados o ante vulnerabilidades e incidentes de seguridad graves. Como
resultado, se elevará el correspondiente informe al Comité de Seguridad de la información,
para el establecimiento del nivel de riesgo aceptable y, cuando proceda, la propuesta de
medidas a aplicar para evitar los riesgos identificados, así como de planes de tratamiento
pertinentes.
4. Las personas responsables de la información y/o servicios son responsables de los
riesgos sobre su información y/o servicios y, por tanto, de aceptar los riesgos residuales
calculados en el análisis de riesgos, así como de realizar su seguimiento y control, sin
perjuicio de la posibilidad de delegar esta tarea.
5. En los supuestos de sistemas de información que traten datos personales, el
responsable o el encargado del tratamiento, asesorado por la figura del delegado/a de
protección de datos, realizará un análisis de riesgos teniendo en cuenta la naturaleza,
el ámbito, el contexto y los fines del tratamiento conforme al artículo 24 del RGPD y, en
los supuestos de su artículo 35, una evaluación de impacto en la protección de datos.
Los responsables del tratamiento, serán responsables de aplicar las medidas técnicas y
organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
6. El Comité de Seguridad de la información realizará un seguimiento de los riesgos y
de la eficacia de las medidas adoptadas para su tratamiento.
7. Para la realización de análisis de riesgos se utilizarán metodologías y herramientas
reconocidas en el ámbito de la Administración Pública.
Artículo 26. Formación y concienciación en seguridad de la información.
El Comité de Seguridad de la Información aprobará un Plan anual de formación y
concienciación en seguridad de la información que, salvaguardando las competencias
específicas de los organismos corporativos con funciones en este ámbito, contemplará las
actividades necesarias, destinadas a las personas contempladas en el ámbito de aplicación
de esta política, para fomentar la conciencia de seguridad integral, sensibilizada respecto
a los riesgos de seguridad que afectan a todo el personal y en todas sus actividades de
tratamiento de la información. Entre tales actividades se incluirán las de difusión de esta
política de seguridad y de su desarrollo normativo.
Artículo 27. Auditorías y conformidad con la normativa.
1. La Consejería realizará revisiones periódicas independientes sobre su SGSI,
establecido para implementar esta Política de Seguridad, con objeto de garantizar el
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00310779
Artículo 25. Prevención, detección y respuesta frente a incidentes de seguridad y
continuidad de los servicios.
1. La Consejería deberá estar preparado para prevenir, detectar, reaccionar y
recuperarse de incidentes, según los términos previstos en los artículos 8 y 25 del ENS.
2. El Comité de Seguridad de la Información deberá aprobar y revisar periódicamente
un plan para mantener la continuidad de los procesos y sistemas críticos y garantizar
su recuperación en caso de desastre. La finalidad de este plan es reducir el tiempo de
indisponibilidad a niveles aceptables mediante la combinación de controles de carácter
organizativo, tecnológico y procedimental tanto preventivos como de recuperación.
3. A los efectos de una mejor gestión de los incidentes, se actuará de forma coordinada
con el Centro de Respuesta a Incidentes de Seguridad de la Junta de Andalucía.
Boletín Oficial de la Junta de Andalucía
Número 221 - Miércoles, 13 de noviembre de 2024
página 53833/19
2. El proceso de gestión de riesgos comprende las fases de identificación y valoración
de la información manejada y de los servicios prestados, categorización de los sistemas,
análisis de riesgos y selección de medidas de seguridad a aplicar, las cuales deberán ser
proporcionales a los riesgos y estar justificadas.
3. Este análisis de riesgos deberá realizarse por parte de la Unidad de Seguridad
de la información, a partir de la información proporcionada y con la participación de las
personas responsables de servicios, de la información y de los sistemas, al menos de
forma anual o cuando se produzcan cambios importantes en la información manejada o
los servicios prestados o ante vulnerabilidades e incidentes de seguridad graves. Como
resultado, se elevará el correspondiente informe al Comité de Seguridad de la información,
para el establecimiento del nivel de riesgo aceptable y, cuando proceda, la propuesta de
medidas a aplicar para evitar los riesgos identificados, así como de planes de tratamiento
pertinentes.
4. Las personas responsables de la información y/o servicios son responsables de los
riesgos sobre su información y/o servicios y, por tanto, de aceptar los riesgos residuales
calculados en el análisis de riesgos, así como de realizar su seguimiento y control, sin
perjuicio de la posibilidad de delegar esta tarea.
5. En los supuestos de sistemas de información que traten datos personales, el
responsable o el encargado del tratamiento, asesorado por la figura del delegado/a de
protección de datos, realizará un análisis de riesgos teniendo en cuenta la naturaleza,
el ámbito, el contexto y los fines del tratamiento conforme al artículo 24 del RGPD y, en
los supuestos de su artículo 35, una evaluación de impacto en la protección de datos.
Los responsables del tratamiento, serán responsables de aplicar las medidas técnicas y
organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
6. El Comité de Seguridad de la información realizará un seguimiento de los riesgos y
de la eficacia de las medidas adoptadas para su tratamiento.
7. Para la realización de análisis de riesgos se utilizarán metodologías y herramientas
reconocidas en el ámbito de la Administración Pública.
Artículo 26. Formación y concienciación en seguridad de la información.
El Comité de Seguridad de la Información aprobará un Plan anual de formación y
concienciación en seguridad de la información que, salvaguardando las competencias
específicas de los organismos corporativos con funciones en este ámbito, contemplará las
actividades necesarias, destinadas a las personas contempladas en el ámbito de aplicación
de esta política, para fomentar la conciencia de seguridad integral, sensibilizada respecto
a los riesgos de seguridad que afectan a todo el personal y en todas sus actividades de
tratamiento de la información. Entre tales actividades se incluirán las de difusión de esta
política de seguridad y de su desarrollo normativo.
Artículo 27. Auditorías y conformidad con la normativa.
1. La Consejería realizará revisiones periódicas independientes sobre su SGSI,
establecido para implementar esta Política de Seguridad, con objeto de garantizar el
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00310779
Artículo 25. Prevención, detección y respuesta frente a incidentes de seguridad y
continuidad de los servicios.
1. La Consejería deberá estar preparado para prevenir, detectar, reaccionar y
recuperarse de incidentes, según los términos previstos en los artículos 8 y 25 del ENS.
2. El Comité de Seguridad de la Información deberá aprobar y revisar periódicamente
un plan para mantener la continuidad de los procesos y sistemas críticos y garantizar
su recuperación en caso de desastre. La finalidad de este plan es reducir el tiempo de
indisponibilidad a niveles aceptables mediante la combinación de controles de carácter
organizativo, tecnológico y procedimental tanto preventivos como de recuperación.
3. A los efectos de una mejor gestión de los incidentes, se actuará de forma coordinada
con el Centro de Respuesta a Incidentes de Seguridad de la Junta de Andalucía.
