III. Otras disposiciones. MINISTERIO DE ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL. Seguridad informática. (BOE-A-2023-8109)
Orden ETD/305/2023, de 16 de marzo, por la que se aprueba la política de seguridad de la información del Ministerio de Asuntos Económicos y Transformación Digital.
16 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Jueves 30 de marzo de 2023
Sec. III. Pág. 46414
información tratada; el responsable del servicio, que determina los requisitos de
seguridad de los servicios prestados; el responsable del sistema, que tiene la
responsabilidad de desarrollar la forma concreta de implementar la seguridad en el
sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en
administradores u operadores bajo su responsabilidad; y el responsable de la seguridad,
que será distinto del responsable del sistema no debiendo existir dependencia jerárquica
entre ambos, y que determinará las decisiones para satisfacer los requisitos de
seguridad de la información y de los servicios, supervisará la implantación de las
medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre
estas cuestiones. En los supuestos de tratamientos de datos personales se identificará
además a la persona, organismo o unidad responsable de tratamientos y, en su caso, al
encargado de tratamiento, de acuerdo con las definiciones del artículo 4, apartados 7
y 8, del RGPD.
c) Seguridad integral: La seguridad se entenderá como un proceso integral
constituido por todos los elementos técnicos, humanos, materiales y organizativos,
relacionados con el sistema de información, evitando, salvo casos de urgencia o
necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la
información debe considerarse como parte de la operativa habitual, estando presente y
aplicándose desde el diseño inicial de los sistemas de información.
d) Gestión de los Riesgos: El análisis y gestión de riesgos será parte esencial del
proceso de seguridad. La gestión de los riesgos permitirá el mantenimiento de un
entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción a
estos niveles se realizará mediante el despliegue de medidas de seguridad, que
establecerán un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y
la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las
medidas de seguridad. Además, las medidas de seguridad deberán garantizar el
cumplimiento de lo previsto en el artículo 32 del RGPD, por lo que el responsable del
tratamiento de datos personales, y en su caso, de los encargados del tratamiento,
podrán adoptar todas aquellas medidas adicionales con el fin de garantizar la seguridad
de los datos personales, en virtud de lo dispuesto en el artículo 24 y 25 del RGPD, en el
artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, y en el artículo 3 del Real
Decreto 311/2022, de 3 de mayo.
e) Proporcionalidad: El establecimiento de medidas de protección, detección y
recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de
la información y de los servicios afectados.
f) Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán
periódicamente para adecuar su eficacia a la constante evolución de los riesgos y
sistemas de protección. La seguridad de la información será atendida, revisada y
auditada por personal cualificado, instruido y con dichas competencias entre sus
funciones.
g) Seguridad desde el diseño y por defecto: Los sistemas deben diseñarse y
configurarse de forma que garanticen un grado suficiente de seguridad por defecto.
Además, con el fin de garantizar la resiliencia y la protección de los datos personales, se
deben tener en cuenta las medidas de seguridad por defecto en base a los artículos 24
y 25 del RGPD, así como las medidas de seguridad orientadas al riesgo según el
artículo 32 del RGPD.
h) Vigilancia continua: de forma que la evaluación permanente del estado de la
seguridad de los activos permita medir su evolución, detectando vulnerabilidades e
identificando deficiencias de configuración. En cuanto la gestión de incidentes que
afecten a datos personales, se tendrá en cuenta las obligaciones específicas de
notificación, comunicación y documentación especificadas en los artículos 33 y 34
del RGPD.
2. Principios particulares y responsabilidades específicas. Las directrices
fundamentales de seguridad se concretan en un conjunto de principios particulares y
responsabilidades específicas, que se configuran como objetivos instrumentales que
cve: BOE-A-2023-8109
Verificable en https://www.boe.es
Núm. 76
Jueves 30 de marzo de 2023
Sec. III. Pág. 46414
información tratada; el responsable del servicio, que determina los requisitos de
seguridad de los servicios prestados; el responsable del sistema, que tiene la
responsabilidad de desarrollar la forma concreta de implementar la seguridad en el
sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en
administradores u operadores bajo su responsabilidad; y el responsable de la seguridad,
que será distinto del responsable del sistema no debiendo existir dependencia jerárquica
entre ambos, y que determinará las decisiones para satisfacer los requisitos de
seguridad de la información y de los servicios, supervisará la implantación de las
medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre
estas cuestiones. En los supuestos de tratamientos de datos personales se identificará
además a la persona, organismo o unidad responsable de tratamientos y, en su caso, al
encargado de tratamiento, de acuerdo con las definiciones del artículo 4, apartados 7
y 8, del RGPD.
c) Seguridad integral: La seguridad se entenderá como un proceso integral
constituido por todos los elementos técnicos, humanos, materiales y organizativos,
relacionados con el sistema de información, evitando, salvo casos de urgencia o
necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la
información debe considerarse como parte de la operativa habitual, estando presente y
aplicándose desde el diseño inicial de los sistemas de información.
d) Gestión de los Riesgos: El análisis y gestión de riesgos será parte esencial del
proceso de seguridad. La gestión de los riesgos permitirá el mantenimiento de un
entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción a
estos niveles se realizará mediante el despliegue de medidas de seguridad, que
establecerán un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y
la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las
medidas de seguridad. Además, las medidas de seguridad deberán garantizar el
cumplimiento de lo previsto en el artículo 32 del RGPD, por lo que el responsable del
tratamiento de datos personales, y en su caso, de los encargados del tratamiento,
podrán adoptar todas aquellas medidas adicionales con el fin de garantizar la seguridad
de los datos personales, en virtud de lo dispuesto en el artículo 24 y 25 del RGPD, en el
artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, y en el artículo 3 del Real
Decreto 311/2022, de 3 de mayo.
e) Proporcionalidad: El establecimiento de medidas de protección, detección y
recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de
la información y de los servicios afectados.
f) Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán
periódicamente para adecuar su eficacia a la constante evolución de los riesgos y
sistemas de protección. La seguridad de la información será atendida, revisada y
auditada por personal cualificado, instruido y con dichas competencias entre sus
funciones.
g) Seguridad desde el diseño y por defecto: Los sistemas deben diseñarse y
configurarse de forma que garanticen un grado suficiente de seguridad por defecto.
Además, con el fin de garantizar la resiliencia y la protección de los datos personales, se
deben tener en cuenta las medidas de seguridad por defecto en base a los artículos 24
y 25 del RGPD, así como las medidas de seguridad orientadas al riesgo según el
artículo 32 del RGPD.
h) Vigilancia continua: de forma que la evaluación permanente del estado de la
seguridad de los activos permita medir su evolución, detectando vulnerabilidades e
identificando deficiencias de configuración. En cuanto la gestión de incidentes que
afecten a datos personales, se tendrá en cuenta las obligaciones específicas de
notificación, comunicación y documentación especificadas en los artículos 33 y 34
del RGPD.
2. Principios particulares y responsabilidades específicas. Las directrices
fundamentales de seguridad se concretan en un conjunto de principios particulares y
responsabilidades específicas, que se configuran como objetivos instrumentales que
cve: BOE-A-2023-8109
Verificable en https://www.boe.es
Núm. 76
