III. Otras disposiciones. MINISTERIO DE ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL. Seguridad informática. (BOE-A-2023-8109)
Orden ETD/305/2023, de 16 de marzo, por la que se aprueba la política de seguridad de la información del Ministerio de Asuntos Económicos y Transformación Digital.
16 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 76
Jueves 30 de marzo de 2023
Sec. III. Pág. 46410
III. OTRAS DISPOSICIONES
MINISTERIO DE ASUNTOS ECONÓMICOS
Y TRANSFORMACIÓN DIGITAL
Orden ETD/305/2023, de 16 de marzo, por la que se aprueba la política de
seguridad de la información del Ministerio de Asuntos Económicos y
Transformación Digital.
El marco de la relación entre la Administración Pública y los ciudadanos a través de
los medios electrónicos, se encuentra establecido en la Ley 39/2015, de 1 de octubre,
del Procedimiento Administrativo Común de las Administraciones Públicas. Por otra
parte, el artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector
Público, define el Esquema Nacional de Seguridad, que tiene por objeto establecer la
política de seguridad en la utilización de medios electrónicos en el ámbito de dicha
norma, estando constituido por los principios básicos y requisitos mínimos que
garanticen adecuadamente la seguridad de la información tratada. Esta disposición ha
sido desarrollada a través del Real Decreto 311/2022, de 3 de mayo, por el que se regula
el Esquema Nacional de Seguridad.
El Real Decreto 311/2022, de 3 de mayo, tiene por objeto el establecimiento de los
principios y requisitos de una política de seguridad en la utilización de medios
electrónicos que permita la adecuada protección de la información. Su artículo 12.3 exige
que, en la Administración General del Estado, cada ministerio cuente con su política de
seguridad, que aprobará la persona titular del Departamento. Dicha política se
establecerá con base en los principios básicos recogidos en el capítulo II del real decreto
(seguridad como proceso integral; gestión de la seguridad basada en los riesgos;
prevención, detección, respuesta y conservación; existencia de líneas de defensa;
vigilancia continua; reevaluación periódica; diferenciación de responsabilidades). Por su
parte, su artículo 13 exige que la política de seguridad identifique unos claros
responsables de velar por su cumplimiento.
En este marco normativo, la presente orden tiene por objeto la aprobación de la
Política de Seguridad de la Información del Ministerio de Asuntos Económicos y
Transformación Digital. Para su elaboración se han tenido en cuenta, además de la
normativa ya citada, las recomendaciones y guías del Centro Criptológico Nacional
(guías STIC-800 relacionadas con el Esquema Nacional de Seguridad).
Desde el punto de vista del contenido ha de destacarse, en primer lugar, el artículo 5
que recoge los principios de la seguridad de la información, tanto los básicos, los cuales
habrán de tenerse en cuenta en cualquier actividad relacionada con el uso de los activos
de la información, como los particulares, que garantizan el cumplimiento de los primeros.
En segundo lugar, ha de mencionarse la creación, en el artículo 7, del Comité de
Dirección de Seguridad de la Información, órgano adscrito a la Subsecretaría del
Departamento y que tiene entre sus funciones aprobar las propuestas de modificación y
actualización permanente que se hagan sobre la Política de Seguridad de la Información.
Dicho órgano colegiado será asistido por el grupo de trabajo que se define en el
artículo 8. Por otra parte, en los artículos 9 al 13 se definen todos roles y
responsabilidades de cada uno de los participantes los procesos de definición, ejecución,
y evaluación de las medidas de seguridad que se deben implantar en los órganos y
organismos que formen parte del ámbito de aplicación de la Política de Seguridad de la
Información. La gestión de los riesgos es la herramienta fundamental para garantizar la
seguridad de la información en cualquier organización, y en este sentido el artículo 15
define el proceso de gestión de riesgos como una metodología general, así como las
actividades y responsabilidades a la hora de ejecutar los diferentes análisis de riesgos.
cve: BOE-A-2023-8109
Verificable en https://www.boe.es
8109
Núm. 76
Jueves 30 de marzo de 2023
Sec. III. Pág. 46410
III. OTRAS DISPOSICIONES
MINISTERIO DE ASUNTOS ECONÓMICOS
Y TRANSFORMACIÓN DIGITAL
Orden ETD/305/2023, de 16 de marzo, por la que se aprueba la política de
seguridad de la información del Ministerio de Asuntos Económicos y
Transformación Digital.
El marco de la relación entre la Administración Pública y los ciudadanos a través de
los medios electrónicos, se encuentra establecido en la Ley 39/2015, de 1 de octubre,
del Procedimiento Administrativo Común de las Administraciones Públicas. Por otra
parte, el artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector
Público, define el Esquema Nacional de Seguridad, que tiene por objeto establecer la
política de seguridad en la utilización de medios electrónicos en el ámbito de dicha
norma, estando constituido por los principios básicos y requisitos mínimos que
garanticen adecuadamente la seguridad de la información tratada. Esta disposición ha
sido desarrollada a través del Real Decreto 311/2022, de 3 de mayo, por el que se regula
el Esquema Nacional de Seguridad.
El Real Decreto 311/2022, de 3 de mayo, tiene por objeto el establecimiento de los
principios y requisitos de una política de seguridad en la utilización de medios
electrónicos que permita la adecuada protección de la información. Su artículo 12.3 exige
que, en la Administración General del Estado, cada ministerio cuente con su política de
seguridad, que aprobará la persona titular del Departamento. Dicha política se
establecerá con base en los principios básicos recogidos en el capítulo II del real decreto
(seguridad como proceso integral; gestión de la seguridad basada en los riesgos;
prevención, detección, respuesta y conservación; existencia de líneas de defensa;
vigilancia continua; reevaluación periódica; diferenciación de responsabilidades). Por su
parte, su artículo 13 exige que la política de seguridad identifique unos claros
responsables de velar por su cumplimiento.
En este marco normativo, la presente orden tiene por objeto la aprobación de la
Política de Seguridad de la Información del Ministerio de Asuntos Económicos y
Transformación Digital. Para su elaboración se han tenido en cuenta, además de la
normativa ya citada, las recomendaciones y guías del Centro Criptológico Nacional
(guías STIC-800 relacionadas con el Esquema Nacional de Seguridad).
Desde el punto de vista del contenido ha de destacarse, en primer lugar, el artículo 5
que recoge los principios de la seguridad de la información, tanto los básicos, los cuales
habrán de tenerse en cuenta en cualquier actividad relacionada con el uso de los activos
de la información, como los particulares, que garantizan el cumplimiento de los primeros.
En segundo lugar, ha de mencionarse la creación, en el artículo 7, del Comité de
Dirección de Seguridad de la Información, órgano adscrito a la Subsecretaría del
Departamento y que tiene entre sus funciones aprobar las propuestas de modificación y
actualización permanente que se hagan sobre la Política de Seguridad de la Información.
Dicho órgano colegiado será asistido por el grupo de trabajo que se define en el
artículo 8. Por otra parte, en los artículos 9 al 13 se definen todos roles y
responsabilidades de cada uno de los participantes los procesos de definición, ejecución,
y evaluación de las medidas de seguridad que se deben implantar en los órganos y
organismos que formen parte del ámbito de aplicación de la Política de Seguridad de la
Información. La gestión de los riesgos es la herramienta fundamental para garantizar la
seguridad de la información en cualquier organización, y en este sentido el artículo 15
define el proceso de gestión de riesgos como una metodología general, así como las
actividades y responsabilidades a la hora de ejecutar los diferentes análisis de riesgos.
cve: BOE-A-2023-8109
Verificable en https://www.boe.es
8109
