Disposiciones generales. . (2025/53-1)
Orden de 13 de marzo de 2025, por la que se establece la política de seguridad de las tecnologías de la información y comunicaciones, seguridad interior, y protección de datos personales de la Consejería de Sostenibilidad y Medio Ambiente.
25 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 53 - Miércoles, 19 de marzo de 2025
página 3822/12
Artículo 21. Unidad de Seguridad TIC.
1. La Consejería, de acuerdo con lo establecido en el artículo 11 del Decreto 1/2011,
de 11 de enero, contará con una Unidad de Seguridad TIC, garantizando el principio de
función diferenciada recogido en el artículo 5.j) de dicho decreto, y contemplado en el
artículo 11 del ENS, que ejerza las funciones de Responsabilidad de Seguridad TIC de
la Consejería, debiendo ser designada la persona responsable de la citada Unidad entre
personal funcionario por el Comité de Seguridad TIC de la misma.
2. La Unidad de Seguridad TIC tendrá las siguientes atribuciones, de acuerdo con lo
dispuesto en el artículo 11.1. del Decreto 1/2011, de 11 de enero:
a) Labores de soporte, asesoramiento e información al Comité de Seguridad TIC de
la Consejería, así como de ejecución de las decisiones y acuerdos adoptados por éste.
b) Diseño y ejecución de los programas de actuación propios de la Consejería,
incluyendo, entre otros, planes directores de seguridad, proyectos de desarrollo
normativo, auditorías de cumplimiento y planes de adecuación legal.
c) Definición, implantación y mantenimiento de los controles de carácter organizativo
para la protección de los datos, aplicaciones y sistemas, así como la gestión de riesgos
en materia de seguridad TIC de la Consejería.
d) Supervisión sistemática de los controles de carácter procedimental, operacional y
medidas técnicas de protección de los datos, aplicaciones y sistemas de la Consejería.
e) Definición y supervisión de los criterios y requisitos técnicos de seguridad aplicados
en las distintas fases del ciclo de vida de los soportes, sistemas y aplicaciones de la
Consejería por parte de los Servicios o Departamentos responsables de la prestación
de los servicios de tecnologías de la información y comunicaciones. Antes de la puesta
en producción de nuevos sistemas de información o de evolutivos de los existentes, la
Unidad de Seguridad TIC deberá evaluar los aspectos de seguridad y comunicar los
posibles riesgos al Responsable de la Información y Responsable del Servicio.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00317426
detectar cuándo se produce una desviación significativa de los parámetros de servicio
marcados.
c) Principio de reacción. Deberá minimizarse el tiempo requerido de recuperación,
de forma que el impacto de los incidentes de seguridad sea el menor posible, para lo
cual se establecerán mecanismos para responder eficazmente a los incidentes de
seguridad, designando un punto de contacto para centralizar y gestionar el intercambio de
información asociada a los incidentes de seguridad, así como estableciendo protocolos
para el intercambio de información relacionada con dichos incidentes.
d) Principio de recuperación: Se deberá garantizar, en la medida de lo posible, la
disponibilidad de los servicios ofrecidos a la ciudadanía, en función de la criticidad de los
mismos.
e) Principio de vigilancia continua: En todo momento, se deberá de realizar una
vigilancia continua que permita la detección de actividades o comportamientos anómalos
que habiliten a la Consejería a proporcionar una repuesta oportuna. Esta vigilancia
continua, al mismo tiempo, permitirá realizar una evaluación permanente del estado de
la seguridad de los activos que forman parte de la Consejería, facilitando la medición
de la evolución, detección de vulnerabilidades e identificación de las deficiencias de
configuración que corresponda al activo de información. Esta evaluación de la seguridad
por cada activo, permite a la Consejería reevaluar y actualizar de forma permanente las
medidas de seguridad de sus activos, adecuando su eficacia a la evolución de los riesgos
y los sistemas de protección.
f) Disponibilidad, Integridad y confidencialidad de los datos personales: Los datos
personales serán tratados de tal manera que se garantice un nivel de seguridad
adecuado al riesgo para los derechos y libertades de las personas físicas, incluida la
protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o
daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Boletín Oficial de la Junta de Andalucía
Número 53 - Miércoles, 19 de marzo de 2025
página 3822/12
Artículo 21. Unidad de Seguridad TIC.
1. La Consejería, de acuerdo con lo establecido en el artículo 11 del Decreto 1/2011,
de 11 de enero, contará con una Unidad de Seguridad TIC, garantizando el principio de
función diferenciada recogido en el artículo 5.j) de dicho decreto, y contemplado en el
artículo 11 del ENS, que ejerza las funciones de Responsabilidad de Seguridad TIC de
la Consejería, debiendo ser designada la persona responsable de la citada Unidad entre
personal funcionario por el Comité de Seguridad TIC de la misma.
2. La Unidad de Seguridad TIC tendrá las siguientes atribuciones, de acuerdo con lo
dispuesto en el artículo 11.1. del Decreto 1/2011, de 11 de enero:
a) Labores de soporte, asesoramiento e información al Comité de Seguridad TIC de
la Consejería, así como de ejecución de las decisiones y acuerdos adoptados por éste.
b) Diseño y ejecución de los programas de actuación propios de la Consejería,
incluyendo, entre otros, planes directores de seguridad, proyectos de desarrollo
normativo, auditorías de cumplimiento y planes de adecuación legal.
c) Definición, implantación y mantenimiento de los controles de carácter organizativo
para la protección de los datos, aplicaciones y sistemas, así como la gestión de riesgos
en materia de seguridad TIC de la Consejería.
d) Supervisión sistemática de los controles de carácter procedimental, operacional y
medidas técnicas de protección de los datos, aplicaciones y sistemas de la Consejería.
e) Definición y supervisión de los criterios y requisitos técnicos de seguridad aplicados
en las distintas fases del ciclo de vida de los soportes, sistemas y aplicaciones de la
Consejería por parte de los Servicios o Departamentos responsables de la prestación
de los servicios de tecnologías de la información y comunicaciones. Antes de la puesta
en producción de nuevos sistemas de información o de evolutivos de los existentes, la
Unidad de Seguridad TIC deberá evaluar los aspectos de seguridad y comunicar los
posibles riesgos al Responsable de la Información y Responsable del Servicio.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00317426
detectar cuándo se produce una desviación significativa de los parámetros de servicio
marcados.
c) Principio de reacción. Deberá minimizarse el tiempo requerido de recuperación,
de forma que el impacto de los incidentes de seguridad sea el menor posible, para lo
cual se establecerán mecanismos para responder eficazmente a los incidentes de
seguridad, designando un punto de contacto para centralizar y gestionar el intercambio de
información asociada a los incidentes de seguridad, así como estableciendo protocolos
para el intercambio de información relacionada con dichos incidentes.
d) Principio de recuperación: Se deberá garantizar, en la medida de lo posible, la
disponibilidad de los servicios ofrecidos a la ciudadanía, en función de la criticidad de los
mismos.
e) Principio de vigilancia continua: En todo momento, se deberá de realizar una
vigilancia continua que permita la detección de actividades o comportamientos anómalos
que habiliten a la Consejería a proporcionar una repuesta oportuna. Esta vigilancia
continua, al mismo tiempo, permitirá realizar una evaluación permanente del estado de
la seguridad de los activos que forman parte de la Consejería, facilitando la medición
de la evolución, detección de vulnerabilidades e identificación de las deficiencias de
configuración que corresponda al activo de información. Esta evaluación de la seguridad
por cada activo, permite a la Consejería reevaluar y actualizar de forma permanente las
medidas de seguridad de sus activos, adecuando su eficacia a la evolución de los riesgos
y los sistemas de protección.
f) Disponibilidad, Integridad y confidencialidad de los datos personales: Los datos
personales serán tratados de tal manera que se garantice un nivel de seguridad
adecuado al riesgo para los derechos y libertades de las personas físicas, incluida la
protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o
daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
