III. Otras disposiciones. MINISTERIO DE ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL. Seguridad informática. (BOE-A-2023-8109)
Orden ETD/305/2023, de 16 de marzo, por la que se aprueba la política de seguridad de la información del Ministerio de Asuntos Económicos y Transformación Digital.
16 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 76
Jueves 30 de marzo de 2023
Sec. III. Pág. 46422
tratamiento adicional de datos personales, tal y como dispone el artículo 24 del Real
Decreto 311/2022, de 3 de mayo.
Artículo 14.
Grupos de trabajo.
El CDSI podrá articular la creación de grupos de trabajo para la realización de
actividades tales como la elaboración de estudios, trabajos e informes, que se estimen
convenientes.
Gestión de los Riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre los sistemas de
información, conforme a los principios de gestión de la seguridad basada en los riesgos,
vigilancia continua y reevaluación periódica, previstos en los artículos 7 y 10 del Real
Decreto 311/2022, de 3 de mayo.
2. El Proceso de Gestión de Riesgos, que comprende la definición de las fases de
categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad
a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá
revisarse y aprobarse cada año por el CDSI. El Proceso de Gestión de Riesgos
aprobado conformará la guía metodológica básica para la elaboración de los respectivos
análisis de riesgos, y por lo tanto facilitará la homogenización y comparación de los
resultados de cada uno de los análisis de riesgos que se realicen.
3. Las indicadas fases del proceso de gestión de riesgos se realizarán según lo
dispuesto en los anexos I y II del Real Decreto 311/2022, de 3 de mayo, y siguiendo las
normas, instrucciones, guías CCN-STIC y recomendaciones para la aplicación del mismo
elaboradas por el Centro Criptológico Nacional.
4. Cada órgano superior o directivo del Ministerio de Asuntos Económicos y
Transformación Digital, así como cada organismo o entidad de derecho público vinculado
o dependiente del Departamento a los que conforme al artículo 2 les sea de aplicación la
presente PSI dentro de sus respectivos ámbitos de actuación y competencias, solicitarán
a los Responsables de la Seguridad el preceptivo análisis de riesgos para que se
proponga el tratamiento adecuado, calculando los riesgos residuales, identificando
carencias y debilidades.
5. Los Responsables de la Seguridad serán los encargados de realizar el análisis
de riesgos en tiempo y forma, contando con la colaboración de los correspondientes
Responsables del Servicio y Responsables de la Información.
6. Tras la calificación de la información y la determinación del nivel de seguridad del
sistema por parte de los Responsables de la Información y los Responsables de
Sistemas, se obtendrá la matriz de aplicabilidad y el conjunto de medidas para garantizar
la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la
información y del servicio. La evaluación de los riesgos se realizará identificando los
riesgos residuales y, con base en ellos, se determinará el Plan de Tratamiento de
Riesgos.
7. Será responsabilidad de los Responsables del Servicio y de los Responsables de
la Información, la aceptación de los riesgos residuales y el impulso de la ejecución de
auditorías de seguridad, las cuales deberán ejecutarse en base a la planificación que
determine el CDSI.
8. En el caso de que existan tratamientos de datos personales, se deberá tener en
cuenta lo dispuesto en el artículo 17, de modo que los requisitos identificados conforme a
dicho artículo y, con el asesoramiento específico del Delegado de Protección de Datos,
se puedan añadir a los establecidos conforme al Real Decreto 311/2022, de 3 de mayo,
si así fuera necesario, en particular, fijando el nivel de seguridad a un nivel más alto. En
estos casos, si el resultado del análisis es que los tratamientos de datos personales
fuesen de alto riesgo, estos requisitos se elaborarán con la formalidad de una evaluación
de impacto en la protección de datos, conforme al artículo 35 del RGPD y los criterios
establecidos por la Agencia Española de Protección de Datos (AEPD). En este aspecto,
cve: BOE-A-2023-8109
Verificable en https://www.boe.es
Artículo 15.
Núm. 76
Jueves 30 de marzo de 2023
Sec. III. Pág. 46422
tratamiento adicional de datos personales, tal y como dispone el artículo 24 del Real
Decreto 311/2022, de 3 de mayo.
Artículo 14.
Grupos de trabajo.
El CDSI podrá articular la creación de grupos de trabajo para la realización de
actividades tales como la elaboración de estudios, trabajos e informes, que se estimen
convenientes.
Gestión de los Riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre los sistemas de
información, conforme a los principios de gestión de la seguridad basada en los riesgos,
vigilancia continua y reevaluación periódica, previstos en los artículos 7 y 10 del Real
Decreto 311/2022, de 3 de mayo.
2. El Proceso de Gestión de Riesgos, que comprende la definición de las fases de
categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad
a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá
revisarse y aprobarse cada año por el CDSI. El Proceso de Gestión de Riesgos
aprobado conformará la guía metodológica básica para la elaboración de los respectivos
análisis de riesgos, y por lo tanto facilitará la homogenización y comparación de los
resultados de cada uno de los análisis de riesgos que se realicen.
3. Las indicadas fases del proceso de gestión de riesgos se realizarán según lo
dispuesto en los anexos I y II del Real Decreto 311/2022, de 3 de mayo, y siguiendo las
normas, instrucciones, guías CCN-STIC y recomendaciones para la aplicación del mismo
elaboradas por el Centro Criptológico Nacional.
4. Cada órgano superior o directivo del Ministerio de Asuntos Económicos y
Transformación Digital, así como cada organismo o entidad de derecho público vinculado
o dependiente del Departamento a los que conforme al artículo 2 les sea de aplicación la
presente PSI dentro de sus respectivos ámbitos de actuación y competencias, solicitarán
a los Responsables de la Seguridad el preceptivo análisis de riesgos para que se
proponga el tratamiento adecuado, calculando los riesgos residuales, identificando
carencias y debilidades.
5. Los Responsables de la Seguridad serán los encargados de realizar el análisis
de riesgos en tiempo y forma, contando con la colaboración de los correspondientes
Responsables del Servicio y Responsables de la Información.
6. Tras la calificación de la información y la determinación del nivel de seguridad del
sistema por parte de los Responsables de la Información y los Responsables de
Sistemas, se obtendrá la matriz de aplicabilidad y el conjunto de medidas para garantizar
la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la
información y del servicio. La evaluación de los riesgos se realizará identificando los
riesgos residuales y, con base en ellos, se determinará el Plan de Tratamiento de
Riesgos.
7. Será responsabilidad de los Responsables del Servicio y de los Responsables de
la Información, la aceptación de los riesgos residuales y el impulso de la ejecución de
auditorías de seguridad, las cuales deberán ejecutarse en base a la planificación que
determine el CDSI.
8. En el caso de que existan tratamientos de datos personales, se deberá tener en
cuenta lo dispuesto en el artículo 17, de modo que los requisitos identificados conforme a
dicho artículo y, con el asesoramiento específico del Delegado de Protección de Datos,
se puedan añadir a los establecidos conforme al Real Decreto 311/2022, de 3 de mayo,
si así fuera necesario, en particular, fijando el nivel de seguridad a un nivel más alto. En
estos casos, si el resultado del análisis es que los tratamientos de datos personales
fuesen de alto riesgo, estos requisitos se elaborarán con la formalidad de una evaluación
de impacto en la protección de datos, conforme al artículo 35 del RGPD y los criterios
establecidos por la Agencia Española de Protección de Datos (AEPD). En este aspecto,
cve: BOE-A-2023-8109
Verificable en https://www.boe.es
Artículo 15.
