I. Disposiciones generales. MINISTERIO DE TRABAJO Y ECONOMÍA SOCIAL. Seguridad informática. Organización. (BOE-A-2023-9290)
Orden TES/369/2023, de 10 de abril, por la que se aprueba la Política de Seguridad de la Información y de los Servicios en el ámbito de la administración digital del Ministerio de Trabajo y Economía Social y se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Departamento.
14 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Lunes 17 de abril de 2023
Sec. I. Pág. 53890
una reacción adecuada frente a los incidentes que no han podido evitarse; reducir la
probabilidad de que el sistema sea comprometido en su conjunto y minimizar el impacto
final sobre el mismo.
g) Reevaluación periódica e integridad y actualización del sistema. Se implementarán
controles y evaluaciones regulares y periódicas de la seguridad (de forma interna o con
la ayuda de terceros) para conocer en todo momento el estado de la seguridad de los
sistemas con el objeto de adecuar su eficacia a la constante evolución de los riesgos y
sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese
necesario.
h) Función diferenciada: El Ministerio de Trabajo y Economía Social organizará su
seguridad comprometiendo a todos los miembros del Departamento mediante la designación
de diferentes roles de seguridad con responsabilidades claramente diferenciadas, tal y como
se recoge en el artículo 6. Estos controles, así como los roles y responsabilidades de
seguridad de todo el personal, estarán claramente definidos y documentados.
En los supuestos de tratamientos de datos personales se identificará además a la
persona, organismo o unidad responsable del tratamiento y, en su caso, al encargado de
tratamiento, de acuerdo con los dispuesto en el artículo 4, apartados 7 y 8 del RGPD.
Artículo 5. Requisitos de la seguridad de la información.
Tal y como establece el ENS, la política de seguridad debe desarrollarse aplicando
una serie de requisitos mínimos:
a) Organización e implantación del proceso de seguridad. La seguridad deberá
comprometer a todo el personal del Ministerio de Trabajo y Economía Social.
b) Análisis y gestión de los riesgos. Se realizará una gestión de los riesgos consistente
en un proceso de identificación, análisis, evaluación y tratamiento a los que el sistema esté
expuesto. Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar
justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos.
Cuando un sistema de información trate datos personales, la persona responsable o
encargada del tratamiento, asesorada por la persona delegada de protección de datos,
realizará un análisis de riesgos conforme al artículo 24 del Reglamento General de
Protección de Datos y, en los supuestos de su artículo 35, una evaluación de impacto
en la protección de datos.
El análisis y la gestión deberá realizarse de acuerdo con las previsiones del
artículo 15 de la presente orden ministerial, adaptando los criterios de determinación
del riesgo en el tratamiento de los datos conforme a lo establecido en el artículo 32 del
RGPD y, en caso necesario, estableciendo niveles de seguridad más altos.
c) Gestión de personal y profesionalidad. Se establecerá un programa de
concienciación continua anual para formar a todos los empleados públicos que prestan
servicio en su ámbito, en particular, a los de nueva incorporación. Del mismo modo, las
personas con responsabilidad concreta en el uso, operación o administración de
sistemas TIC recibirán formación específica para el manejo seguro de los sistemas en la
medida en que la necesitan para realizar su trabajo. La formación será obligatoria antes
de asumir una nueva responsabilidad, tanto si es la primera asignación como si se trata
de un cambio de puesto de trabajo o de responsabilidades en el mismo.
d) Autorización y control de los accesos. Se implementarán mecanismos de control
de acceso al sistema general de información, limitándolos a los estrictamente necesarios
y debidamente autorizados. Los sistemas de información individuales se diseñarán de
forma que garanticen la seguridad por defecto, proporcionando la mínima funcionalidad
requerida para alcanzar los objetivos y priorizando el uso sencillo, de tal forma que una
utilización insegura requiera, en todo caso, de un acto consciente por parte del usuario.
Tales sistemas de información individuales serán solo accesibles por las personas o
desde emplazamientos o equipos autorizados, pudiendo exigirse, en su caso, restricciones
de horario y puntos de acceso facultados.
cve: BOE-A-2023-9290
Verificable en https://www.boe.es
Núm. 91
Lunes 17 de abril de 2023
Sec. I. Pág. 53890
una reacción adecuada frente a los incidentes que no han podido evitarse; reducir la
probabilidad de que el sistema sea comprometido en su conjunto y minimizar el impacto
final sobre el mismo.
g) Reevaluación periódica e integridad y actualización del sistema. Se implementarán
controles y evaluaciones regulares y periódicas de la seguridad (de forma interna o con
la ayuda de terceros) para conocer en todo momento el estado de la seguridad de los
sistemas con el objeto de adecuar su eficacia a la constante evolución de los riesgos y
sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese
necesario.
h) Función diferenciada: El Ministerio de Trabajo y Economía Social organizará su
seguridad comprometiendo a todos los miembros del Departamento mediante la designación
de diferentes roles de seguridad con responsabilidades claramente diferenciadas, tal y como
se recoge en el artículo 6. Estos controles, así como los roles y responsabilidades de
seguridad de todo el personal, estarán claramente definidos y documentados.
En los supuestos de tratamientos de datos personales se identificará además a la
persona, organismo o unidad responsable del tratamiento y, en su caso, al encargado de
tratamiento, de acuerdo con los dispuesto en el artículo 4, apartados 7 y 8 del RGPD.
Artículo 5. Requisitos de la seguridad de la información.
Tal y como establece el ENS, la política de seguridad debe desarrollarse aplicando
una serie de requisitos mínimos:
a) Organización e implantación del proceso de seguridad. La seguridad deberá
comprometer a todo el personal del Ministerio de Trabajo y Economía Social.
b) Análisis y gestión de los riesgos. Se realizará una gestión de los riesgos consistente
en un proceso de identificación, análisis, evaluación y tratamiento a los que el sistema esté
expuesto. Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar
justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos.
Cuando un sistema de información trate datos personales, la persona responsable o
encargada del tratamiento, asesorada por la persona delegada de protección de datos,
realizará un análisis de riesgos conforme al artículo 24 del Reglamento General de
Protección de Datos y, en los supuestos de su artículo 35, una evaluación de impacto
en la protección de datos.
El análisis y la gestión deberá realizarse de acuerdo con las previsiones del
artículo 15 de la presente orden ministerial, adaptando los criterios de determinación
del riesgo en el tratamiento de los datos conforme a lo establecido en el artículo 32 del
RGPD y, en caso necesario, estableciendo niveles de seguridad más altos.
c) Gestión de personal y profesionalidad. Se establecerá un programa de
concienciación continua anual para formar a todos los empleados públicos que prestan
servicio en su ámbito, en particular, a los de nueva incorporación. Del mismo modo, las
personas con responsabilidad concreta en el uso, operación o administración de
sistemas TIC recibirán formación específica para el manejo seguro de los sistemas en la
medida en que la necesitan para realizar su trabajo. La formación será obligatoria antes
de asumir una nueva responsabilidad, tanto si es la primera asignación como si se trata
de un cambio de puesto de trabajo o de responsabilidades en el mismo.
d) Autorización y control de los accesos. Se implementarán mecanismos de control
de acceso al sistema general de información, limitándolos a los estrictamente necesarios
y debidamente autorizados. Los sistemas de información individuales se diseñarán de
forma que garanticen la seguridad por defecto, proporcionando la mínima funcionalidad
requerida para alcanzar los objetivos y priorizando el uso sencillo, de tal forma que una
utilización insegura requiera, en todo caso, de un acto consciente por parte del usuario.
Tales sistemas de información individuales serán solo accesibles por las personas o
desde emplazamientos o equipos autorizados, pudiendo exigirse, en su caso, restricciones
de horario y puntos de acceso facultados.
cve: BOE-A-2023-9290
Verificable en https://www.boe.es
Núm. 91
