3. Otras disposiciones. . (2024/221-50)
Orden de 5 de noviembre de 2024, por la que se establece la política de seguridad de la información de la Consejería de Agricultura, Pesca, Agua y Desarrollo Rural.
21 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 221 - Miércoles, 13 de noviembre de 2024
página 53833/7
Artículo 8. Estructura organizativa de la seguridad de la información.
1. La gestión de la seguridad de la información va íntimamente ligada al
establecimiento de una organización de seguridad. Dicha organización se establece
mediante la identificación de las diferentes actividades y responsabilidades en materia de
gestión de la seguridad y mediante su asignación formal a los agentes que correspondan,
agrupadas en los siguientes bloques de responsabilidad:
a) La especificación de las necesidades y requisitos en materia de seguridad de la
información.
b) El desarrollo y/o explotación de sistemas de información.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00310779
conozca sus responsabilidades, y de este modo se reduzca el riesgo derivado de un uso
indebido de dichos activos.
d) Profesionalidad. La seguridad de los sistemas de información estará atendida,
revisada y auditada por personal cualificado.
e) Autorización y control de los accesos. Se limitará el acceso a los activos de
información mediante la implantación de los mecanismos de identificación, autenticación
y autorización acordes con su calificación y sujetos a plazos de vigencia.
f) Protección de las instalaciones. Los sistemas de información estarán emplazados
en áreas seguras, protegidas por controles de acceso físicos adecuados a su criticidad.
Los locales donde se ubiquen los sistemas dispondrán de elementos adecuados para el
eficaz funcionamiento del equipamiento allí instalado.
g) Adquisición de productos de seguridad y contratación de servicios de seguridad.
Las diferentes unidades organizativas identificarán los requisitos de seguridad a incluir
para la adquisición de productos o la contratación de servicios.
h) Seguridad por defecto. Con anterioridad a la puesta en servicio de cualquier sistema
de información será obligatorio verificar que cumple los requisitos y especificaciones de
seguridad que se hubieran establecido.
i) Integridad y actualización del sistema. Se requerirá una autorización formal previa a
la instalación de un sistema por parte del responsable del servicio. Se deberá conocer el
estado de la seguridad del sistema en relación con las recomendaciones y actualizaciones
de seguridad recomendadas por el fabricante.
j) Protección de la información almacenada y en tránsito. Toda la información
almacenada de forma centralizada será periódicamente respaldada. La información
que se transmita a través de redes de comunicaciones o soportes portátiles estará
adecuadamente protegida, teniendo en cuenta su calificación y criticidad, mediante
mecanismos que garanticen su seguridad.
k) Prevención ante otros sistemas de información interconectados. Se dispondrá
de sistemas de protección del perímetro de los sistemas de la Consejería, permitiendo
únicamente el tránsito de los flujos previamente autorizados. Se asegurará la autenticidad
del otro extremo de un canal de comunicación antes de intercambiar información alguna.
l) Registro de actividad. Se registrarán aquellos eventos que se consideren de interés,
tanto para la detección de actividades que puedan comprometer la seguridad, como
para dejar constancia de aquellas otras actividades que permitan verificar y evidenciar la
efectividad de los controles, las normas de seguridad establecidas por la Consejería y los
requisitos legales aplicables.
m) Incidentes de seguridad, ante los que se dispondrá de un adecuado procedimiento
de gestión.
n) Continuidad de la actividad. Las unidades organizativas deberán elaborar planes
de continuidad del negocio. Se implantarán mecanismos apropiados para asegurar la
disponibilidad de los sistemas de información teniendo en cuenta la valoración de la
dimensión de disponibilidad.
ñ) Mejora continua del proceso de seguridad, aplicando criterios y métodos
reconocidos en la práctica nacional e internacional.
Boletín Oficial de la Junta de Andalucía
Número 221 - Miércoles, 13 de noviembre de 2024
página 53833/7
Artículo 8. Estructura organizativa de la seguridad de la información.
1. La gestión de la seguridad de la información va íntimamente ligada al
establecimiento de una organización de seguridad. Dicha organización se establece
mediante la identificación de las diferentes actividades y responsabilidades en materia de
gestión de la seguridad y mediante su asignación formal a los agentes que correspondan,
agrupadas en los siguientes bloques de responsabilidad:
a) La especificación de las necesidades y requisitos en materia de seguridad de la
información.
b) El desarrollo y/o explotación de sistemas de información.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00310779
conozca sus responsabilidades, y de este modo se reduzca el riesgo derivado de un uso
indebido de dichos activos.
d) Profesionalidad. La seguridad de los sistemas de información estará atendida,
revisada y auditada por personal cualificado.
e) Autorización y control de los accesos. Se limitará el acceso a los activos de
información mediante la implantación de los mecanismos de identificación, autenticación
y autorización acordes con su calificación y sujetos a plazos de vigencia.
f) Protección de las instalaciones. Los sistemas de información estarán emplazados
en áreas seguras, protegidas por controles de acceso físicos adecuados a su criticidad.
Los locales donde se ubiquen los sistemas dispondrán de elementos adecuados para el
eficaz funcionamiento del equipamiento allí instalado.
g) Adquisición de productos de seguridad y contratación de servicios de seguridad.
Las diferentes unidades organizativas identificarán los requisitos de seguridad a incluir
para la adquisición de productos o la contratación de servicios.
h) Seguridad por defecto. Con anterioridad a la puesta en servicio de cualquier sistema
de información será obligatorio verificar que cumple los requisitos y especificaciones de
seguridad que se hubieran establecido.
i) Integridad y actualización del sistema. Se requerirá una autorización formal previa a
la instalación de un sistema por parte del responsable del servicio. Se deberá conocer el
estado de la seguridad del sistema en relación con las recomendaciones y actualizaciones
de seguridad recomendadas por el fabricante.
j) Protección de la información almacenada y en tránsito. Toda la información
almacenada de forma centralizada será periódicamente respaldada. La información
que se transmita a través de redes de comunicaciones o soportes portátiles estará
adecuadamente protegida, teniendo en cuenta su calificación y criticidad, mediante
mecanismos que garanticen su seguridad.
k) Prevención ante otros sistemas de información interconectados. Se dispondrá
de sistemas de protección del perímetro de los sistemas de la Consejería, permitiendo
únicamente el tránsito de los flujos previamente autorizados. Se asegurará la autenticidad
del otro extremo de un canal de comunicación antes de intercambiar información alguna.
l) Registro de actividad. Se registrarán aquellos eventos que se consideren de interés,
tanto para la detección de actividades que puedan comprometer la seguridad, como
para dejar constancia de aquellas otras actividades que permitan verificar y evidenciar la
efectividad de los controles, las normas de seguridad establecidas por la Consejería y los
requisitos legales aplicables.
m) Incidentes de seguridad, ante los que se dispondrá de un adecuado procedimiento
de gestión.
n) Continuidad de la actividad. Las unidades organizativas deberán elaborar planes
de continuidad del negocio. Se implantarán mecanismos apropiados para asegurar la
disponibilidad de los sistemas de información teniendo en cuenta la valoración de la
dimensión de disponibilidad.
ñ) Mejora continua del proceso de seguridad, aplicando criterios y métodos
reconocidos en la práctica nacional e internacional.
