III. Otras disposiciones. MINISTERIO DE ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL. Seguridad informática. (BOE-A-2023-8109)
Orden ETD/305/2023, de 16 de marzo, por la que se aprueba la política de seguridad de la información del Ministerio de Asuntos Económicos y Transformación Digital.
16 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Jueves 30 de marzo de 2023
Sec. III. Pág. 46423
también se deberá tener en cuenta la regulación de la seguridad de los tratamientos de
datos personales, especificada en el artículo 32 del RGPD.
Artículo 16. Estructura normativa.
1. El cuerpo normativo sobre seguridad de la información es de obligado
cumplimiento y se estructura en los siguientes niveles relacionados jerárquicamente, de
manera que cada norma de un determinado nivel de desarrollo se fundamente en las
normas de nivel superior:
a) Primer nivel normativo: Está constituido por la PSI. Además incluye la normativa
y disposiciones generales en materia de seguridad aplicables a los órganos y
organismos a los que conforme al artículo 2, les sea de aplicación la presente PSI, como
pueden ser el Real Decreto 311/2022, de 3 de mayo, el RGPD, Ley Orgánica 3/2018,
de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos
digitales, las disposiciones generales de la Secretaría General de Administración Digital,
u otras, que en materia de seguridad de la información sean emitidas por un organismo
competente. También incluye las disposiciones y normativa de carácter general sobre la
seguridad de los sistemas de información que gestionen información clasificada.
b) Segundo nivel normativo: Constituido por las resoluciones de seguridad que se
definan en cada ámbito organizativo de aplicación específico. Las resoluciones, que
comprenderán los procedimientos, las normas, las instrucciones técnicas de seguridad, y
recomendaciones de seguridad, serán de obligado cumplimiento. Se aprobarán en el
ámbito de cada uno de los órganos y organismos a los que, conforme al artículo 2, sea
de aplicación la presente PSI, y su cuerpo documental deberá estar disponible para su
consulta general en la red interna del correspondiente órgano u organismo. En el ámbito
del Ministerio serán aprobadas por la persona titular de la Subsecretaría de Asuntos
Económicos y Transformación Digital. En el resto de órganos y organismos serán
aprobadas por las personas que ostenten cargos con competencias específicas en
cuanto a la regulación de la seguridad, y en su defecto, en organización general o de
regulación de servicios comunes.
c) Tercer nivel normativo. Está constituido por el conjunto de procedimientos
técnicos orientados a resolver las tareas, consideradas críticas por el perjuicio que
causaría una actuación inadecuada, de seguridad, desarrollo, mantenimiento y
explotación de los sistemas de información. Se consideran incluidas en este nivel
normativo:
i) Las guías de seguridad de las tecnologías de la información y la comunicación
elaboradas por el Centro Criptológico Nacional (guías CCN-STIC).
ii) Las normas o recomendaciones aprobadas por órganos y organismos con
competencias regulatorias en materia de seguridad o de protección de datos, como son
el Centro Criptológico Nacional, la Secretaría de Estado de Digitalización e Inteligencia
Artificial, la Secretaría General de Administración Digital, o la AEPD.
iii) Conjunto de procedimientos técnicos elaborados y aprobados por los
Responsables de Seguridad en sus ámbitos de actuación.
iv) Recomendaciones, guías de configuración y buenas prácticas publicadas por
organismos u organizaciones internacionales y por los fabricantes de productos de
seguridad.
2. Además de la normativa enunciada en el apartado 1, la estructura normativa
podrá disponer, a criterio de cada uno de los órganos u organismos adscritos a la
presente PSI, y siempre dentro del ámbito de sus competencias y responsabilidades, de
otros documentos tales como estándares de seguridad, buenas prácticas, o informes
técnicos.
3. El personal de cada uno de los órganos u organismos adscritos a la presente PSI
tendrá la obligación de conocer y cumplir, además de la presente PSI, todas las
cve: BOE-A-2023-8109
Verificable en https://www.boe.es
Núm. 76
Jueves 30 de marzo de 2023
Sec. III. Pág. 46423
también se deberá tener en cuenta la regulación de la seguridad de los tratamientos de
datos personales, especificada en el artículo 32 del RGPD.
Artículo 16. Estructura normativa.
1. El cuerpo normativo sobre seguridad de la información es de obligado
cumplimiento y se estructura en los siguientes niveles relacionados jerárquicamente, de
manera que cada norma de un determinado nivel de desarrollo se fundamente en las
normas de nivel superior:
a) Primer nivel normativo: Está constituido por la PSI. Además incluye la normativa
y disposiciones generales en materia de seguridad aplicables a los órganos y
organismos a los que conforme al artículo 2, les sea de aplicación la presente PSI, como
pueden ser el Real Decreto 311/2022, de 3 de mayo, el RGPD, Ley Orgánica 3/2018,
de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos
digitales, las disposiciones generales de la Secretaría General de Administración Digital,
u otras, que en materia de seguridad de la información sean emitidas por un organismo
competente. También incluye las disposiciones y normativa de carácter general sobre la
seguridad de los sistemas de información que gestionen información clasificada.
b) Segundo nivel normativo: Constituido por las resoluciones de seguridad que se
definan en cada ámbito organizativo de aplicación específico. Las resoluciones, que
comprenderán los procedimientos, las normas, las instrucciones técnicas de seguridad, y
recomendaciones de seguridad, serán de obligado cumplimiento. Se aprobarán en el
ámbito de cada uno de los órganos y organismos a los que, conforme al artículo 2, sea
de aplicación la presente PSI, y su cuerpo documental deberá estar disponible para su
consulta general en la red interna del correspondiente órgano u organismo. En el ámbito
del Ministerio serán aprobadas por la persona titular de la Subsecretaría de Asuntos
Económicos y Transformación Digital. En el resto de órganos y organismos serán
aprobadas por las personas que ostenten cargos con competencias específicas en
cuanto a la regulación de la seguridad, y en su defecto, en organización general o de
regulación de servicios comunes.
c) Tercer nivel normativo. Está constituido por el conjunto de procedimientos
técnicos orientados a resolver las tareas, consideradas críticas por el perjuicio que
causaría una actuación inadecuada, de seguridad, desarrollo, mantenimiento y
explotación de los sistemas de información. Se consideran incluidas en este nivel
normativo:
i) Las guías de seguridad de las tecnologías de la información y la comunicación
elaboradas por el Centro Criptológico Nacional (guías CCN-STIC).
ii) Las normas o recomendaciones aprobadas por órganos y organismos con
competencias regulatorias en materia de seguridad o de protección de datos, como son
el Centro Criptológico Nacional, la Secretaría de Estado de Digitalización e Inteligencia
Artificial, la Secretaría General de Administración Digital, o la AEPD.
iii) Conjunto de procedimientos técnicos elaborados y aprobados por los
Responsables de Seguridad en sus ámbitos de actuación.
iv) Recomendaciones, guías de configuración y buenas prácticas publicadas por
organismos u organizaciones internacionales y por los fabricantes de productos de
seguridad.
2. Además de la normativa enunciada en el apartado 1, la estructura normativa
podrá disponer, a criterio de cada uno de los órganos u organismos adscritos a la
presente PSI, y siempre dentro del ámbito de sus competencias y responsabilidades, de
otros documentos tales como estándares de seguridad, buenas prácticas, o informes
técnicos.
3. El personal de cada uno de los órganos u organismos adscritos a la presente PSI
tendrá la obligación de conocer y cumplir, además de la presente PSI, todas las
cve: BOE-A-2023-8109
Verificable en https://www.boe.es
Núm. 76
