III. Otras disposiciones. MINISTERIO DE CULTURA. Seguridad informática. (BOE-A-2024-16386)
Orden CLT/832/2024, de 29 de julio, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración electrónica del Ministerio de Cultura.
18 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 190
Miércoles 7 de agosto de 2024
Artículo 16.
Sec. III. Pág. 101849
Estructura normativa.
1. El cuerpo normativo de seguridad de la información es de obligado cumplimiento
para todos los usuarios de los sistemas de información de la organización y se podrá
estructurar como máximo en los siguientes niveles relacionados jerárquicamente:
a) Primer nivel normativo: PSI y directrices. Está constituido por la PSI del
Ministerio de Cultura. La presente orden ministerial se publicará en las sedes
electrónicas asociadas del Ministerio de Cultura y sus Organismos Públicos
dependientes o adscritos en cuyo ámbito sea de aplicación.
b) Segundo nivel normativo: Normativa y recomendaciones de seguridad de
adaptación del marco normativo de seguridad, de obligado cumplimiento dentro de su
ámbito. Su entrada en vigor se formalizará mediante instrucciones o resoluciones de los
titulares de los órganos correspondientes, previa aprobación de la CMAD.
c) Tercer nivel normativo: Procedimientos técnicos. Está constituido por el conjunto
de procedimientos técnicos orientados a resolver las tareas, consideradas críticas por el
perjuicio que causaría una actuación inadecuada, de seguridad, desarrollo,
mantenimiento y explotación de los sistemas de información. Este nivel incluye las
recomendaciones o informaciones relativas a temas concretos de seguridad basadas en
instrucciones previas, que establecen las configuraciones mínimas de seguridad de los
diferentes elementos de un sistema de información, recomendaciones de uso o de otro
tipo. La responsabilidad de aprobación de estos procedimientos técnicos dependerá de
su ámbito de aplicación, que podrá ser en un ámbito específico o en un sistema de
información determinado. Se consideran incluidas en este nivel normativo las guías
CCN-STIC elaboradas por el Centro Criptológico Nacional.
d) Cuarto nivel: Informes, registros y evidencias electrónicas. Está constituido por
los documentos o informes técnicos que recogen el resultado y las conclusiones de un
estudio o de una evaluación, registros de actividad o alertas de seguridad, es decir, los
documentos de carácter técnico que recogen amenazas y vulnerabilidades a sistemas de
información.
2. El cuerpo normativo de seguridad se encontrará a disposición del personal de la
organización, teniendo en cuenta los principios de mínimo privilegio y de necesidad de
conocer y responsabilidad de compartir. Además, estará sujeto a revisiones periódicas
para garantizar su actualización.
Gestión de los riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre los sistemas de
información, conforme a los principios de gestión de la seguridad y protección de datos,
basada en los riesgos y al principio de vigilancia continua y reevaluación periódica,
reconocidos por la legislación vigente en materia de seguridad de la información y
protección de datos personales, siendo el Responsable del Servicio, el encargado de
solicitar el preceptivo análisis de riesgos y de que se proponga el tratamiento adecuado,
calculando los riesgos residuales. El Responsable de Seguridad, tras la calificación de la
información y la determinación del nivel de seguridad del sistema, obtendrá la
declaración de aplicabilidad y el conjunto de medidas para garantizar la confidencialidad,
integridad, disponibilidad, autenticidad y trazabilidad de la información y del servicio. Se
realizará la evaluación de riesgo, identificando los riesgos residuales y, en base a ellos,
se determinará el Plan de Tratamiento de Riesgo, que le será comunicado al
Responsable de la Información y del Servicio.
2. El Responsable de Seguridad es el encargado de realizar dicho análisis en
tiempo y forma a petición del Responsable del Servicio, así como de identificar carencias
y debilidades y ponerlas en conocimiento de los Responsables de la Información y del
Servicio, así como de la CMAD.
cve: BOE-A-2024-16386
Verificable en https://www.boe.es
Artículo 17.
Núm. 190
Miércoles 7 de agosto de 2024
Artículo 16.
Sec. III. Pág. 101849
Estructura normativa.
1. El cuerpo normativo de seguridad de la información es de obligado cumplimiento
para todos los usuarios de los sistemas de información de la organización y se podrá
estructurar como máximo en los siguientes niveles relacionados jerárquicamente:
a) Primer nivel normativo: PSI y directrices. Está constituido por la PSI del
Ministerio de Cultura. La presente orden ministerial se publicará en las sedes
electrónicas asociadas del Ministerio de Cultura y sus Organismos Públicos
dependientes o adscritos en cuyo ámbito sea de aplicación.
b) Segundo nivel normativo: Normativa y recomendaciones de seguridad de
adaptación del marco normativo de seguridad, de obligado cumplimiento dentro de su
ámbito. Su entrada en vigor se formalizará mediante instrucciones o resoluciones de los
titulares de los órganos correspondientes, previa aprobación de la CMAD.
c) Tercer nivel normativo: Procedimientos técnicos. Está constituido por el conjunto
de procedimientos técnicos orientados a resolver las tareas, consideradas críticas por el
perjuicio que causaría una actuación inadecuada, de seguridad, desarrollo,
mantenimiento y explotación de los sistemas de información. Este nivel incluye las
recomendaciones o informaciones relativas a temas concretos de seguridad basadas en
instrucciones previas, que establecen las configuraciones mínimas de seguridad de los
diferentes elementos de un sistema de información, recomendaciones de uso o de otro
tipo. La responsabilidad de aprobación de estos procedimientos técnicos dependerá de
su ámbito de aplicación, que podrá ser en un ámbito específico o en un sistema de
información determinado. Se consideran incluidas en este nivel normativo las guías
CCN-STIC elaboradas por el Centro Criptológico Nacional.
d) Cuarto nivel: Informes, registros y evidencias electrónicas. Está constituido por
los documentos o informes técnicos que recogen el resultado y las conclusiones de un
estudio o de una evaluación, registros de actividad o alertas de seguridad, es decir, los
documentos de carácter técnico que recogen amenazas y vulnerabilidades a sistemas de
información.
2. El cuerpo normativo de seguridad se encontrará a disposición del personal de la
organización, teniendo en cuenta los principios de mínimo privilegio y de necesidad de
conocer y responsabilidad de compartir. Además, estará sujeto a revisiones periódicas
para garantizar su actualización.
Gestión de los riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre los sistemas de
información, conforme a los principios de gestión de la seguridad y protección de datos,
basada en los riesgos y al principio de vigilancia continua y reevaluación periódica,
reconocidos por la legislación vigente en materia de seguridad de la información y
protección de datos personales, siendo el Responsable del Servicio, el encargado de
solicitar el preceptivo análisis de riesgos y de que se proponga el tratamiento adecuado,
calculando los riesgos residuales. El Responsable de Seguridad, tras la calificación de la
información y la determinación del nivel de seguridad del sistema, obtendrá la
declaración de aplicabilidad y el conjunto de medidas para garantizar la confidencialidad,
integridad, disponibilidad, autenticidad y trazabilidad de la información y del servicio. Se
realizará la evaluación de riesgo, identificando los riesgos residuales y, en base a ellos,
se determinará el Plan de Tratamiento de Riesgo, que le será comunicado al
Responsable de la Información y del Servicio.
2. El Responsable de Seguridad es el encargado de realizar dicho análisis en
tiempo y forma a petición del Responsable del Servicio, así como de identificar carencias
y debilidades y ponerlas en conocimiento de los Responsables de la Información y del
Servicio, así como de la CMAD.
cve: BOE-A-2024-16386
Verificable en https://www.boe.es
Artículo 17.
