I. Disposiciones generales. MINISTERIO DE TRABAJO Y ECONOMÍA SOCIAL. Seguridad informática. Organización. (BOE-A-2023-9290)
Orden TES/369/2023, de 10 de abril, por la que se aprueba la Política de Seguridad de la Información y de los Servicios en el ámbito de la administración digital del Ministerio de Trabajo y Economía Social y se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Departamento.
14 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Lunes 17 de abril de 2023
Sec. I. Pág. 53891
e) Protección de las instalaciones. Se implementarán mecanismos de control de
acceso físico, previniendo los accesos físicos no autorizados, así como los daños a la
información y a los recursos, mediante perímetros de seguridad, controles físicos y
protecciones generales en áreas.
f) Adquisición de productos. Ante cualquier adquisición, el Ministerio de Trabajo y
Economía Social tendrá en cuenta que dichos productos tengan certificada la funcionalidad
de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que
las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen.
g) Seguridad por defecto. Los sistemas deberán diseñarse y configurarse de forma
que garanticen la seguridad por defecto. El sistema proporcionará la mínima
funcionalidad requerida para que la organización alcance sus objetivos. Las funciones
de operación, administración y registro de actividad serán las mínimas necesarias, y se
asegurará que solo son accesibles por las personas, o desde emplazamientos o equipos,
autorizados.
Cuando el sistema afecte a datos personales, la adopción de medidas de seguridad por
defecto y desde el diseño deberá realizarse de acuerdo con los artículos 24 y 25 del RGPD.
h) Integridad y actualización del sistema. Todo elemento físico o lógico requerirá
autorización formal previa a su instalación en el sistema. Se deberá conocer en todo
momento el estado de seguridad de los sistemas, en relación a las especificaciones
de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten,
reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de
los mismos.
i) Protección de la información almacenada y en tránsito. Se implementarán
mecanismos para proteger la información almacenada o en tránsito, especialmente
cuando esta se encuentra en entornos inseguros (portátiles, tablets, soportes de
información, redes abiertas, etc.). Los sistemas dispondrán de los medios de protección
de la información almacenada y en tránsito (copias de seguridad y otros mecanismos
necesarios), que garanticen la continuidad de las operaciones en caso de pérdida de los
medios habituales de trabajo.
j) Prevención ante otros sistemas de información interconectados. La estrategia de
protección protegerá el perímetro, en particular, si se conecta a redes públicas. En todo
caso, analizará los riesgos derivados de la interconexión del sistema, a través de redes,
con otros sistemas y se controlará su punto de unión.
k) Registro de actividad. Se habilitarán registros de la actividad de las personas
usuarias reteniendo la información necesaria para monitorizar, analizar, investigar y
documentar actividades indebidas o no autorizadas, permitiendo identificar en cada
momento a la persona que actúa con plenas garantías del derecho al honor, a la
intimidad personal y familiar y a la propia imagen de las personas afectadas, y de
acuerdo con la normativa sobre protección de datos personales, de función pública o
laboral y demás disposiciones que resulten de aplicación.
l) Incidentes de seguridad. Se establecerá un sistema de detección y reacción
frente a código dañino.
m) La gestión de incidentes que afecten a datos personales tendrá en cuenta lo
dispuesto en el RGPD, la LOPD, en especial su disposición adicional primera, así como
el resto de la normativa de aplicación.
Se deberán implementar medios organizativos y materiales que, en los supuestos
de violación de la seguridad de los datos personales, garanticen la notificación a la
autoridad de control, la documentación del incidente y la comunicación a los interesados,
en su caso, requiriendo para ello la implicación del delegado de protección de datos.
n) Continuidad de la actividad. Los sistemas de información del Ministerio de
Trabajo y Economía Social dispondrán de copias de seguridad y establecerán los
mecanismos necesarios para garantizar la continuidad de las operaciones en caso de
pérdida de los medios habituales de trabajo.
o) Mejora continua del proceso de seguridad. El proceso integral de seguridad
implantado deberá ser actualizado y mejorado de forma continua.
cve: BOE-A-2023-9290
Verificable en https://www.boe.es
Núm. 91
Lunes 17 de abril de 2023
Sec. I. Pág. 53891
e) Protección de las instalaciones. Se implementarán mecanismos de control de
acceso físico, previniendo los accesos físicos no autorizados, así como los daños a la
información y a los recursos, mediante perímetros de seguridad, controles físicos y
protecciones generales en áreas.
f) Adquisición de productos. Ante cualquier adquisición, el Ministerio de Trabajo y
Economía Social tendrá en cuenta que dichos productos tengan certificada la funcionalidad
de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que
las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen.
g) Seguridad por defecto. Los sistemas deberán diseñarse y configurarse de forma
que garanticen la seguridad por defecto. El sistema proporcionará la mínima
funcionalidad requerida para que la organización alcance sus objetivos. Las funciones
de operación, administración y registro de actividad serán las mínimas necesarias, y se
asegurará que solo son accesibles por las personas, o desde emplazamientos o equipos,
autorizados.
Cuando el sistema afecte a datos personales, la adopción de medidas de seguridad por
defecto y desde el diseño deberá realizarse de acuerdo con los artículos 24 y 25 del RGPD.
h) Integridad y actualización del sistema. Todo elemento físico o lógico requerirá
autorización formal previa a su instalación en el sistema. Se deberá conocer en todo
momento el estado de seguridad de los sistemas, en relación a las especificaciones
de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten,
reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de
los mismos.
i) Protección de la información almacenada y en tránsito. Se implementarán
mecanismos para proteger la información almacenada o en tránsito, especialmente
cuando esta se encuentra en entornos inseguros (portátiles, tablets, soportes de
información, redes abiertas, etc.). Los sistemas dispondrán de los medios de protección
de la información almacenada y en tránsito (copias de seguridad y otros mecanismos
necesarios), que garanticen la continuidad de las operaciones en caso de pérdida de los
medios habituales de trabajo.
j) Prevención ante otros sistemas de información interconectados. La estrategia de
protección protegerá el perímetro, en particular, si se conecta a redes públicas. En todo
caso, analizará los riesgos derivados de la interconexión del sistema, a través de redes,
con otros sistemas y se controlará su punto de unión.
k) Registro de actividad. Se habilitarán registros de la actividad de las personas
usuarias reteniendo la información necesaria para monitorizar, analizar, investigar y
documentar actividades indebidas o no autorizadas, permitiendo identificar en cada
momento a la persona que actúa con plenas garantías del derecho al honor, a la
intimidad personal y familiar y a la propia imagen de las personas afectadas, y de
acuerdo con la normativa sobre protección de datos personales, de función pública o
laboral y demás disposiciones que resulten de aplicación.
l) Incidentes de seguridad. Se establecerá un sistema de detección y reacción
frente a código dañino.
m) La gestión de incidentes que afecten a datos personales tendrá en cuenta lo
dispuesto en el RGPD, la LOPD, en especial su disposición adicional primera, así como
el resto de la normativa de aplicación.
Se deberán implementar medios organizativos y materiales que, en los supuestos
de violación de la seguridad de los datos personales, garanticen la notificación a la
autoridad de control, la documentación del incidente y la comunicación a los interesados,
en su caso, requiriendo para ello la implicación del delegado de protección de datos.
n) Continuidad de la actividad. Los sistemas de información del Ministerio de
Trabajo y Economía Social dispondrán de copias de seguridad y establecerán los
mecanismos necesarios para garantizar la continuidad de las operaciones en caso de
pérdida de los medios habituales de trabajo.
o) Mejora continua del proceso de seguridad. El proceso integral de seguridad
implantado deberá ser actualizado y mejorado de forma continua.
cve: BOE-A-2023-9290
Verificable en https://www.boe.es
Núm. 91
