III. Otras disposiciones. MINISTERIO DE HACIENDA. Seguridad informática. (BOE-A-2024-7943)
Resolución de 27 de marzo de 2024, de la Intervención General de la Administración del Estado, por la que se regula la política de seguridad de la información de la Secretaría de Estado de Presupuestos y Gastos, de la Secretaría General de Fondos Europeos y de la Intervención General de la Administración del Estado.
11 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 97
Sábado 20 de abril de 2024
Sec. III. Pág. 44547
Quien ostente la función de autorización de accesos a la información actuará así
mismo como Responsable de tratamiento en los términos del RGPD o designará a dicho
responsable.
En los centros directivos, las precitadas funciones podrán ser desempeñadas por las
personas que ejerzan de jefes de división, subdirectores generales, asimilados o
adjuntos.
Duodécimo.
Resolución de conflictos.
En caso de conflicto entre los diferentes responsables, éste será resuelto por el
superior jerárquico de los mismos y, en su defecto, prevalecerá la decisión adoptada
colegiadamente por el Comité.
Decimotercero.
Gestión de riesgos.
El análisis y gestión de riesgos será parte esencial del proceso de seguridad, siendo
la base para determinar las medidas de seguridad que se deben adoptar, además de los
mínimos establecidos por el ENS.
Cuando el análisis de riesgos se realice sobre sistemas de información que traten
datos personales, se tendrán en cuenta los riesgos que puedan afectar a los derechos y
libertades de las personas físicas.
La gestión de riesgos permitirá el mantenimiento de un entorno controlado,
minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se
realizará mediante el despliegue de medidas de seguridad, que establecerán un
equilibrio entre la naturaleza de la información y los tratamientos, los riesgos a los que
estén expuestos y las medidas de seguridad.
La gestión de riesgos debe realizarse de manera continua sobre el sistema de
información, conforme a los principios de gestión de la seguridad basada en los riesgos y
se someterá a una reevaluación periódica.
El proceso de gestión de riesgos comprende las fases de categorización de los
sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, las cuales
deberán ser proporcionadas a los riesgos y estar justificadas; y deberá revisarse y
aprobarse cada año por el Comité, a través de un plan de adecuación al ENS. Las
medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en
todo caso, existirá una proporcionalidad entre ellas y los riesgos.
Obligaciones del personal. Formación y concienciación.
Los datos e informaciones de la Administración presupuestaria, cualquiera que sea
su soporte, serán de uso exclusivamente reservado para el cumplimiento de los fines
que le atribuye el ordenamiento jurídico.
Las autoridades, empleados públicos y demás personal al que resulte de aplicación
esta resolución y que por razón de su cargo o función tuviesen conocimiento de los datos
o informaciones a que se refiere el párrafo anterior, están obligados a guardar sigilo
riguroso y observar estricto secreto respecto de los mismos.
El personal autorizado sólo deberá acceder a aquellos datos e información que deba
conocer por razones del servicio, debiendo abstenerse de hacerlo por cualquier otra
motivación.
Cada persona, debidamente autorizada, adquiere el compromiso de utilización de los
datos e información con los fines exclusivos de gestión para los que ha sido autorizado.
Asimismo, será responsable de todos los accesos que se realicen mediante el uso de
sus credenciales de identificación lógica de usuario. A tal fin deberá mantener la custodia
y secreto de las credenciales, así como vigilar posibles usos ajenos, denunciando
cualquier trasgresión.
cve: BOE-A-2024-7943
Verificable en https://www.boe.es
Decimocuarto.
Núm. 97
Sábado 20 de abril de 2024
Sec. III. Pág. 44547
Quien ostente la función de autorización de accesos a la información actuará así
mismo como Responsable de tratamiento en los términos del RGPD o designará a dicho
responsable.
En los centros directivos, las precitadas funciones podrán ser desempeñadas por las
personas que ejerzan de jefes de división, subdirectores generales, asimilados o
adjuntos.
Duodécimo.
Resolución de conflictos.
En caso de conflicto entre los diferentes responsables, éste será resuelto por el
superior jerárquico de los mismos y, en su defecto, prevalecerá la decisión adoptada
colegiadamente por el Comité.
Decimotercero.
Gestión de riesgos.
El análisis y gestión de riesgos será parte esencial del proceso de seguridad, siendo
la base para determinar las medidas de seguridad que se deben adoptar, además de los
mínimos establecidos por el ENS.
Cuando el análisis de riesgos se realice sobre sistemas de información que traten
datos personales, se tendrán en cuenta los riesgos que puedan afectar a los derechos y
libertades de las personas físicas.
La gestión de riesgos permitirá el mantenimiento de un entorno controlado,
minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se
realizará mediante el despliegue de medidas de seguridad, que establecerán un
equilibrio entre la naturaleza de la información y los tratamientos, los riesgos a los que
estén expuestos y las medidas de seguridad.
La gestión de riesgos debe realizarse de manera continua sobre el sistema de
información, conforme a los principios de gestión de la seguridad basada en los riesgos y
se someterá a una reevaluación periódica.
El proceso de gestión de riesgos comprende las fases de categorización de los
sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, las cuales
deberán ser proporcionadas a los riesgos y estar justificadas; y deberá revisarse y
aprobarse cada año por el Comité, a través de un plan de adecuación al ENS. Las
medidas adoptadas para mitigar o suprimir los riesgos deberán estar justificadas y, en
todo caso, existirá una proporcionalidad entre ellas y los riesgos.
Obligaciones del personal. Formación y concienciación.
Los datos e informaciones de la Administración presupuestaria, cualquiera que sea
su soporte, serán de uso exclusivamente reservado para el cumplimiento de los fines
que le atribuye el ordenamiento jurídico.
Las autoridades, empleados públicos y demás personal al que resulte de aplicación
esta resolución y que por razón de su cargo o función tuviesen conocimiento de los datos
o informaciones a que se refiere el párrafo anterior, están obligados a guardar sigilo
riguroso y observar estricto secreto respecto de los mismos.
El personal autorizado sólo deberá acceder a aquellos datos e información que deba
conocer por razones del servicio, debiendo abstenerse de hacerlo por cualquier otra
motivación.
Cada persona, debidamente autorizada, adquiere el compromiso de utilización de los
datos e información con los fines exclusivos de gestión para los que ha sido autorizado.
Asimismo, será responsable de todos los accesos que se realicen mediante el uso de
sus credenciales de identificación lógica de usuario. A tal fin deberá mantener la custodia
y secreto de las credenciales, así como vigilar posibles usos ajenos, denunciando
cualquier trasgresión.
cve: BOE-A-2024-7943
Verificable en https://www.boe.es
Decimocuarto.
