Disposiciones generales. . (2025/53-1)
Orden de 13 de marzo de 2025, por la que se establece la política de seguridad de las tecnologías de la información y comunicaciones, seguridad interior, y protección de datos personales de la Consejería de Sostenibilidad y Medio Ambiente.
25 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 53 - Miércoles, 19 de marzo de 2025
página 3822/15
para el ámbito de dicho servicio. Dicho POC de seguridad será el propio Responsable de
Seguridad de la organización contratada, formará parte de su área o tendrá comunicación
directa con la misma.
Artículo 28. Función diferenciada.
De conformidad con lo previsto en apartado 3, del artículo 13 del ENS, el
Responsable de Seguridad TIC será distinto del Responsable del Sistema, no debiendo
existir dependencia jerárquica entre ambos. En aquellas situaciones excepcionales en las
que la ausencia justificada de recursos haga necesario que ambas funciones recaigan
en la misma persona o en distintas personas entre las que exista relación jerárquica,
deberán aplicarse medidas compensatorias para garantizar la finalidad del principio de
diferenciación de responsabilidades previsto en el artículo 11 del ENS.
Artículo 29. Clasificación y control de activos en materia de Seguridad TIC.
1. Los recursos informáticos y la información de la Consejería se encontrarán
inventariados, con una persona responsable asociada y, en caso de ser necesario,
una persona custodia de los mismos. Los inventarios se mantendrán actualizados para
asegurar su validez.
2. Los activos de información estarán clasificados de acuerdo a su sensibilidad y
criticidad para el desarrollo de la actividad de la Consejería, en función de la cual se
establecerán las medidas de seguridad exigidas para su protección.
Artículo 31. Auditorías de la seguridad en materia de Seguridad TIC.
1. Los sistemas de información serán objeto de una auditoría regular ordinaria, cada
dos años, que verifique el cumplimiento de los requerimientos del ENS. Estas auditorías
ordinarias, así como las extraordinarias se harán de acuerdo con lo establecido en el
artículo 31 del ENS.
2. Los informes de auditoría serán presentados a la persona responsable del sistema
competente, al Delegado o Delegada de Protección de Datos, si afectara a estos, y a la
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00317426
Artículo 30. Gestión de riesgos en materia de Seguridad TIC.
1. La gestión de riesgos deberá realizarse de manera continua sobre el sistema de
información, conforme a los principios de gestión de la seguridad basada en los riesgos y
con reevaluación periódica de los mismos.
2. En cumplimiento de lo previsto en el artículo 41 del ENS, la facultad para efectuar
las valoraciones a las que se refiere el artículo 40 del ENS, así como, en su caso, su
posterior modificación, corresponderá al responsable o responsables de la información
o servicios afectados. Con base en las valoraciones señaladas, la determinación de la
categoría de seguridad del sistema corresponderá al responsable o responsables de la
seguridad.
3. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en
cuenta los riesgos que presente el tratamiento de datos personales, en particular
como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, así como la comunicación
o acceso no autorizados a dichos datos.
4. El Responsable del Servicio o el Responsable de la Información será el encargado
de aceptar los riesgos residuales calculados en el análisis sobre la información y los
servicios, y de realizar su seguimiento y control.
5. El proceso de gestión de riesgos, que comprende las fases de categorización de
los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que
deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse al menos
con periodicidad anual por parte de la Unidad de Seguridad TIC, que elevará un informe
al Comité de Seguridad TIC.
Boletín Oficial de la Junta de Andalucía
Número 53 - Miércoles, 19 de marzo de 2025
página 3822/15
para el ámbito de dicho servicio. Dicho POC de seguridad será el propio Responsable de
Seguridad de la organización contratada, formará parte de su área o tendrá comunicación
directa con la misma.
Artículo 28. Función diferenciada.
De conformidad con lo previsto en apartado 3, del artículo 13 del ENS, el
Responsable de Seguridad TIC será distinto del Responsable del Sistema, no debiendo
existir dependencia jerárquica entre ambos. En aquellas situaciones excepcionales en las
que la ausencia justificada de recursos haga necesario que ambas funciones recaigan
en la misma persona o en distintas personas entre las que exista relación jerárquica,
deberán aplicarse medidas compensatorias para garantizar la finalidad del principio de
diferenciación de responsabilidades previsto en el artículo 11 del ENS.
Artículo 29. Clasificación y control de activos en materia de Seguridad TIC.
1. Los recursos informáticos y la información de la Consejería se encontrarán
inventariados, con una persona responsable asociada y, en caso de ser necesario,
una persona custodia de los mismos. Los inventarios se mantendrán actualizados para
asegurar su validez.
2. Los activos de información estarán clasificados de acuerdo a su sensibilidad y
criticidad para el desarrollo de la actividad de la Consejería, en función de la cual se
establecerán las medidas de seguridad exigidas para su protección.
Artículo 31. Auditorías de la seguridad en materia de Seguridad TIC.
1. Los sistemas de información serán objeto de una auditoría regular ordinaria, cada
dos años, que verifique el cumplimiento de los requerimientos del ENS. Estas auditorías
ordinarias, así como las extraordinarias se harán de acuerdo con lo establecido en el
artículo 31 del ENS.
2. Los informes de auditoría serán presentados a la persona responsable del sistema
competente, al Delegado o Delegada de Protección de Datos, si afectara a estos, y a la
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00317426
Artículo 30. Gestión de riesgos en materia de Seguridad TIC.
1. La gestión de riesgos deberá realizarse de manera continua sobre el sistema de
información, conforme a los principios de gestión de la seguridad basada en los riesgos y
con reevaluación periódica de los mismos.
2. En cumplimiento de lo previsto en el artículo 41 del ENS, la facultad para efectuar
las valoraciones a las que se refiere el artículo 40 del ENS, así como, en su caso, su
posterior modificación, corresponderá al responsable o responsables de la información
o servicios afectados. Con base en las valoraciones señaladas, la determinación de la
categoría de seguridad del sistema corresponderá al responsable o responsables de la
seguridad.
3. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en
cuenta los riesgos que presente el tratamiento de datos personales, en particular
como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos, conservados o tratados de otra forma, así como la comunicación
o acceso no autorizados a dichos datos.
4. El Responsable del Servicio o el Responsable de la Información será el encargado
de aceptar los riesgos residuales calculados en el análisis sobre la información y los
servicios, y de realizar su seguimiento y control.
5. El proceso de gestión de riesgos, que comprende las fases de categorización de
los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que
deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse al menos
con periodicidad anual por parte de la Unidad de Seguridad TIC, que elevará un informe
al Comité de Seguridad TIC.
