III. Otras disposiciones. MINISTERIO DE JUSTICIA. Seguridad informática. (BOE-A-2023-13423)
Orden JUS/564/2023, de 30 de mayo, por la que se aprueba la Política de Seguridad del Ministerio de Justicia.
14 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 133
Lunes 5 de junio de 2023
Sec. III. Pág. 79780
Delegado de Protección de Datos al que incumben las funciones a las que se refiere el
artículo 9.5.e) del Real Decreto 453/2020, de 10 de marzo, debiendo contar con los
medios personales y materiales necesarios para la realización eficaz de las funciones
que tienen encomendadas
Asimismo, los Delegados de Protección de Datos, llevarán a cabo sus funciones de
asesoramiento y supervisión respecto de las medidas de seguridad que tengan un
objetivo distinto que la protección de datos, en la medida en que impliquen un
tratamiento adicional de datos personales.
4. En virtud del principio de responsabilidad diferenciada, debe existir la necesaria
separación de funciones entre el delegado de protección de datos regulado en el RGPD
y el responsable de seguridad del ENS u otras figuras asimiladas, sin que sus funciones
puedan recaer en la misma persona u órgano colegiado.
Artículo 15.
Análisis y gestión de riesgos de seguridad de la información y de la
privacidad.
1. La gestión de riesgos debe realizarse de manera continua sobre el sistema de
información, conforme a los principios de gestión de la seguridad basada en los riesgos y
reevaluación periódica.
El proceso de gestión de riesgos comprende las fases de categorización de los
sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán
ser proporcionales a los riesgos y estar justificadas, deberá ser revisado y actualizado
periódicamente.
2. En el tratamiento de los datos personales se llevará previamente a cabo un
análisis de riesgos para los derechos y libertades de las personas de conformidad con
los artículos 24, 25 y 32 del RGPD y 28 de la LOPDGDD, y en su caso, de acuerdo con
los artículos 27, 28 de la Ley Orgánica 7/2021, de 26 de mayo,
3. A los efectos de la seguridad de los datos personales se realizará el análisis de
riesgos establecido en el ENS, que complementará el análisis de riesgos de la
privacidad.
4. Si el resultado del análisis de riesgos entraña un alto riesgo para los derechos y
libertades de las personas físicas, deberá realizarse una evaluación de impacto
conforme a lo previsto en el artículo 35 del RGPD, o en su caso, conforme al artículo 35
de la Ley Orgánica 7/2021, de 26 de mayo, sin perjuicio de realizarse en los supuestos
previstos en dichos artículos.
5. De conformidad con el artículo 3 del ENS, en todo caso, prevalecerán las
medidas a implantar como consecuencia del análisis de riesgos y, en su caso, de la
evaluación de impacto a los que se refiere el apartado anterior, en caso de resultar
agravadas respecto de las previstas en el presente real decreto.
6. Los análisis de riesgos indicados en los aparados anteriores se revisarán y
aprobarán anualmente, así como cuando se produzcan modificaciones sustanciales en
los sistemas de información, que puedan repercutir en las medidas de seguridad
requeridas, incidentes graves, existencia de vulnerabilidades graves.
Auditoría.
El Ministerio de Justicia llevará a cabo de forma periódica, y al menos cada dos años,
una auditoría encaminada a la verificación, evaluación y valoración de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad de los tratamientos y
sistemas de información.
En todo caso realizará una auditoría específica y extraordinaria cuando se lleven a
cabo modificaciones sustanciales en el sistema de información que puedan repercutir en
el cumplimiento de las medidas de seguridad implantadas.
Las auditorías serán supervisadas por el responsable de seguridad de la información
y, en caso de tratamiento de datos personales, por el delegado de protección de datos.
cve: BOE-A-2023-13423
Verificable en https://www.boe.es
Artículo 16.
Núm. 133
Lunes 5 de junio de 2023
Sec. III. Pág. 79780
Delegado de Protección de Datos al que incumben las funciones a las que se refiere el
artículo 9.5.e) del Real Decreto 453/2020, de 10 de marzo, debiendo contar con los
medios personales y materiales necesarios para la realización eficaz de las funciones
que tienen encomendadas
Asimismo, los Delegados de Protección de Datos, llevarán a cabo sus funciones de
asesoramiento y supervisión respecto de las medidas de seguridad que tengan un
objetivo distinto que la protección de datos, en la medida en que impliquen un
tratamiento adicional de datos personales.
4. En virtud del principio de responsabilidad diferenciada, debe existir la necesaria
separación de funciones entre el delegado de protección de datos regulado en el RGPD
y el responsable de seguridad del ENS u otras figuras asimiladas, sin que sus funciones
puedan recaer en la misma persona u órgano colegiado.
Artículo 15.
Análisis y gestión de riesgos de seguridad de la información y de la
privacidad.
1. La gestión de riesgos debe realizarse de manera continua sobre el sistema de
información, conforme a los principios de gestión de la seguridad basada en los riesgos y
reevaluación periódica.
El proceso de gestión de riesgos comprende las fases de categorización de los
sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán
ser proporcionales a los riesgos y estar justificadas, deberá ser revisado y actualizado
periódicamente.
2. En el tratamiento de los datos personales se llevará previamente a cabo un
análisis de riesgos para los derechos y libertades de las personas de conformidad con
los artículos 24, 25 y 32 del RGPD y 28 de la LOPDGDD, y en su caso, de acuerdo con
los artículos 27, 28 de la Ley Orgánica 7/2021, de 26 de mayo,
3. A los efectos de la seguridad de los datos personales se realizará el análisis de
riesgos establecido en el ENS, que complementará el análisis de riesgos de la
privacidad.
4. Si el resultado del análisis de riesgos entraña un alto riesgo para los derechos y
libertades de las personas físicas, deberá realizarse una evaluación de impacto
conforme a lo previsto en el artículo 35 del RGPD, o en su caso, conforme al artículo 35
de la Ley Orgánica 7/2021, de 26 de mayo, sin perjuicio de realizarse en los supuestos
previstos en dichos artículos.
5. De conformidad con el artículo 3 del ENS, en todo caso, prevalecerán las
medidas a implantar como consecuencia del análisis de riesgos y, en su caso, de la
evaluación de impacto a los que se refiere el apartado anterior, en caso de resultar
agravadas respecto de las previstas en el presente real decreto.
6. Los análisis de riesgos indicados en los aparados anteriores se revisarán y
aprobarán anualmente, así como cuando se produzcan modificaciones sustanciales en
los sistemas de información, que puedan repercutir en las medidas de seguridad
requeridas, incidentes graves, existencia de vulnerabilidades graves.
Auditoría.
El Ministerio de Justicia llevará a cabo de forma periódica, y al menos cada dos años,
una auditoría encaminada a la verificación, evaluación y valoración de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad de los tratamientos y
sistemas de información.
En todo caso realizará una auditoría específica y extraordinaria cuando se lleven a
cabo modificaciones sustanciales en el sistema de información que puedan repercutir en
el cumplimiento de las medidas de seguridad implantadas.
Las auditorías serán supervisadas por el responsable de seguridad de la información
y, en caso de tratamiento de datos personales, por el delegado de protección de datos.
cve: BOE-A-2023-13423
Verificable en https://www.boe.es
Artículo 16.
