I. Disposiciones generales. MINISTERIO DE TRABAJO Y ECONOMÍA SOCIAL. Seguridad informática. Organización. (BOE-A-2023-9290)
Orden TES/369/2023, de 10 de abril, por la que se aprueba la Política de Seguridad de la Información y de los Servicios en el ámbito de la administración digital del Ministerio de Trabajo y Economía Social y se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Departamento.
14 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Lunes 17 de abril de 2023
Sec. I. Pág. 53889
2. También forman parte del marco normativo las restantes normas aplicables a la
administración electrónica del Departamento derivadas de las anteriores y publicadas en
las sedes electrónicas dentro del ámbito de aplicación de la PSI.
3. El Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones
del Ministerio de Trabajo y Economía Social mantendrá actualizado dicho marco normativo,
especialmente las instrucciones técnicas de seguridad, de obligado cumplimiento, esenciales
para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas
recogidos en el Esquema Nacional de Seguridad.
Artículo 4. Principios de la Política de Seguridad.
1. La política de seguridad aplicará los principios básicos que se establecen en el
ENS en el ámbito de la Administración electrónica, de acuerdo con el interés general,
naturaleza y complejidad de la materia regulada, permitiendo una protección adecuada
de la información y de los servicios.
2. Atendiendo al ENS, el Ministerio de Trabajo y Economía Social implementará
diversas medidas de seguridad proporcionales a la naturaleza de la información y de los
servicios a proteger, teniendo en cuenta la categoría de los sistemas afectados bajo los
siguientes principios:
a) Protección de datos personales. Se adoptarán las medidas técnicas y
organizativas destinadas a garantizar el nivel de seguridad exigido por la normativa
vigente en relación con el tratamiento de datos de carácter personal.
b) Alcance estratégico. La seguridad de la información en el que deberá contar con
el compromiso y apoyo de todos los niveles directivos de forma que pueda estar
coordinada e integrada con el resto de las iniciativas estratégicas del Departamento para
conformar un todo coherente y eficaz.
c) Seguridad Integral. La seguridad constituirá un proceso integral compuesto por
todos los elementos técnicos, humanos, materiales y organizativos relacionados con el
sistema basado en la mejora continua de todos ellos y del proceso en sí mismo.
d) Análisis y gestión de riesgos: Todos los sistemas afectados por la PSI, así como
todos los tratamientos de datos personales, serán objeto de un análisis de riesgos que
evalúe las amenazas y los riesgos a los que están expuestos. Este análisis, que deberá
ajustarse, en todo caso, a un criterio de proporcionalidad a los riesgos potenciales y la
criticidad y valor de la información y de los servicios afectados, y de acuerdo con los
artículos 24, 25 y 32 del RGPD, el artículo 28 de la LOPD y 3 del RD 311/2022, cuando
el sistema de información trate datos personales, se realizará:
1.º Regularmente, al menos una vez al año, revisando la situación del Sistema de
Información para determinar si se han producido cambios que requieran una actualización
en materia de seguridad.
2.º Cuando cambie la información manejada o los servicios prestados de manera
significativa.
3.º Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades
graves.
e) Prevención, reacción, recuperación y mejora continua. Se implementará un
proceso integral de prevención, reacción y recuperación frente a incidentes de seguridad
con procedimientos de detección, análisis, comunicación, resolución y registro de las
actuaciones para la mejora continua de la seguridad de los sistemas, designando un
punto de contacto para las comunicaciones con respecto a incidentes detectados y
estableciendo protocolos para el intercambio de información relacionada con el incidente,
incluyendo las comunicaciones con los Equipos de Respuesta a Emergencias (CERT).
f) Líneas de defensa. Se implementará una estrategia de protección basada en
múltiples capas, constituidas por medidas organizativas, físicas y lógicas, de tal forma
que cuando una de las capas falla, el sistema implementado permitirá ganar tiempo para
cve: BOE-A-2023-9290
Verificable en https://www.boe.es
Núm. 91
Lunes 17 de abril de 2023
Sec. I. Pág. 53889
2. También forman parte del marco normativo las restantes normas aplicables a la
administración electrónica del Departamento derivadas de las anteriores y publicadas en
las sedes electrónicas dentro del ámbito de aplicación de la PSI.
3. El Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones
del Ministerio de Trabajo y Economía Social mantendrá actualizado dicho marco normativo,
especialmente las instrucciones técnicas de seguridad, de obligado cumplimiento, esenciales
para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas
recogidos en el Esquema Nacional de Seguridad.
Artículo 4. Principios de la Política de Seguridad.
1. La política de seguridad aplicará los principios básicos que se establecen en el
ENS en el ámbito de la Administración electrónica, de acuerdo con el interés general,
naturaleza y complejidad de la materia regulada, permitiendo una protección adecuada
de la información y de los servicios.
2. Atendiendo al ENS, el Ministerio de Trabajo y Economía Social implementará
diversas medidas de seguridad proporcionales a la naturaleza de la información y de los
servicios a proteger, teniendo en cuenta la categoría de los sistemas afectados bajo los
siguientes principios:
a) Protección de datos personales. Se adoptarán las medidas técnicas y
organizativas destinadas a garantizar el nivel de seguridad exigido por la normativa
vigente en relación con el tratamiento de datos de carácter personal.
b) Alcance estratégico. La seguridad de la información en el que deberá contar con
el compromiso y apoyo de todos los niveles directivos de forma que pueda estar
coordinada e integrada con el resto de las iniciativas estratégicas del Departamento para
conformar un todo coherente y eficaz.
c) Seguridad Integral. La seguridad constituirá un proceso integral compuesto por
todos los elementos técnicos, humanos, materiales y organizativos relacionados con el
sistema basado en la mejora continua de todos ellos y del proceso en sí mismo.
d) Análisis y gestión de riesgos: Todos los sistemas afectados por la PSI, así como
todos los tratamientos de datos personales, serán objeto de un análisis de riesgos que
evalúe las amenazas y los riesgos a los que están expuestos. Este análisis, que deberá
ajustarse, en todo caso, a un criterio de proporcionalidad a los riesgos potenciales y la
criticidad y valor de la información y de los servicios afectados, y de acuerdo con los
artículos 24, 25 y 32 del RGPD, el artículo 28 de la LOPD y 3 del RD 311/2022, cuando
el sistema de información trate datos personales, se realizará:
1.º Regularmente, al menos una vez al año, revisando la situación del Sistema de
Información para determinar si se han producido cambios que requieran una actualización
en materia de seguridad.
2.º Cuando cambie la información manejada o los servicios prestados de manera
significativa.
3.º Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades
graves.
e) Prevención, reacción, recuperación y mejora continua. Se implementará un
proceso integral de prevención, reacción y recuperación frente a incidentes de seguridad
con procedimientos de detección, análisis, comunicación, resolución y registro de las
actuaciones para la mejora continua de la seguridad de los sistemas, designando un
punto de contacto para las comunicaciones con respecto a incidentes detectados y
estableciendo protocolos para el intercambio de información relacionada con el incidente,
incluyendo las comunicaciones con los Equipos de Respuesta a Emergencias (CERT).
f) Líneas de defensa. Se implementará una estrategia de protección basada en
múltiples capas, constituidas por medidas organizativas, físicas y lógicas, de tal forma
que cuando una de las capas falla, el sistema implementado permitirá ganar tiempo para
cve: BOE-A-2023-9290
Verificable en https://www.boe.es
Núm. 91
