III. Otras disposiciones. MINISTERIO DE CULTURA. Seguridad informática. (BOE-A-2024-16386)
Orden CLT/832/2024, de 29 de julio, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración electrónica del Ministerio de Cultura.
18 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 190
Miércoles 7 de agosto de 2024
Sec. III. Pág. 101850
3. Los Responsables de la Información y del Servicio son los encargados de los
riesgos sobre la información y sobre los servicios, respectivamente, siendo responsables
de su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
4. El proceso de gestión de riesgos, que comprende las fases de categorización de
los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que
deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse y validarse
cada año por el titular del órgano o unidad administrativa o, en su caso, organismo
dependiente o adscrito.
5. Los análisis de riesgos, así como su tratamiento, se realizarán también cuando
se detecten incidentes de seguridad o se identifiquen cambios organizativos,
metodológicos, legales o tecnológicos que pudieran suponer un incremento del riesgo al
que se encuentren expuestos los activos.
6. Las indicadas fases del proceso de gestión de riesgos se realizarán según lo
dispuesto en los anexos I y II del Real Decreto 311/2022, de 3 de mayo, y siguiendo las
normas, instrucciones, guías CCN-STIC y recomendaciones para la aplicación de este,
elaboradas por el Centro Criptológico Nacional.
7. Con una periodicidad al menos anual, y siempre que se realicen modificaciones
sustanciales en los sistemas de información, la CMAD aprobará la definición de las
medidas de seguridad, las cuales se deberán reevaluar y actualizar, de modo que su
eficacia esté adaptada a la constante evolución de los riesgos y sistemas de protección.
8. Los análisis de riesgos, desde un enfoque de privacidad, se realizarán según lo
establecido en la normativa vigente en materia de protección de datos personales,
debiéndose seguir también las indicaciones de la Agencia Española de Protección de
Datos y demás autoridades competentes al respecto.
Artículo 18.
Protección de datos personales.
Se aplicarán las medidas de seguridad apropiadas en función del análisis de riesgo y,
evaluación de impacto de los datos personales objeto de tratamiento por parte del
Ministerio de Cultura, en cumplimiento de lo dispuesto en el artículo 24 del Reglamento
General de Protección de Datos. Además, se aplicarán las medidas correspondientes al
anexo II del Real Decreto 311/2022, de 3 de mayo. En todo caso, prevalecerán las
medidas a implantar como consecuencia del análisis de riesgos y, en su caso, de la
evaluación de impacto relativos a la protección de datos, en caso de resultar agravadas
respecto de las previstas en el Real Decreto 311/2022, de 3 de mayo.
Formación y concienciación.
1. En aplicación del principio de seguridad como un proceso integral, se
desarrollarán actividades formativas específicas orientadas a la concienciación y
formación del personal que preste servicio en el Ministerio de Cultura, así como a la
difusión entre los mismos de la PSI y de su desarrollo normativo, pudiendo, en algún
caso, recabar la colaboración de entidades encargadas de coordinar las acciones de
seguridad de la información en el sector público.
2. Asimismo, se prestará la máxima atención a la concienciación de las personas a
las que, como consecuencia de la aplicación de esta política, se les asignen roles y
responsabilidades en materia de seguridad de la información, así como de los
responsables jerárquicos de estas, con el propósito de evitar que la ignorancia, la falta
de organización y de coordinación o de instrucciones adecuadas constituyan fuentes de
riesgo para la seguridad.
3. Las actividades formativas y de concienciación se incluirán en el plan de
formación que desarrolle el Ministerio de Cultura.
4. La CMAD y el Responsable de Seguridad se encargarán de promover las
actividades de formación y concienciación en materia de seguridad, según lo indicado en
los artículos 6 y 7.
cve: BOE-A-2024-16386
Verificable en https://www.boe.es
Artículo 19.
Núm. 190
Miércoles 7 de agosto de 2024
Sec. III. Pág. 101850
3. Los Responsables de la Información y del Servicio son los encargados de los
riesgos sobre la información y sobre los servicios, respectivamente, siendo responsables
de su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
4. El proceso de gestión de riesgos, que comprende las fases de categorización de
los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que
deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse y validarse
cada año por el titular del órgano o unidad administrativa o, en su caso, organismo
dependiente o adscrito.
5. Los análisis de riesgos, así como su tratamiento, se realizarán también cuando
se detecten incidentes de seguridad o se identifiquen cambios organizativos,
metodológicos, legales o tecnológicos que pudieran suponer un incremento del riesgo al
que se encuentren expuestos los activos.
6. Las indicadas fases del proceso de gestión de riesgos se realizarán según lo
dispuesto en los anexos I y II del Real Decreto 311/2022, de 3 de mayo, y siguiendo las
normas, instrucciones, guías CCN-STIC y recomendaciones para la aplicación de este,
elaboradas por el Centro Criptológico Nacional.
7. Con una periodicidad al menos anual, y siempre que se realicen modificaciones
sustanciales en los sistemas de información, la CMAD aprobará la definición de las
medidas de seguridad, las cuales se deberán reevaluar y actualizar, de modo que su
eficacia esté adaptada a la constante evolución de los riesgos y sistemas de protección.
8. Los análisis de riesgos, desde un enfoque de privacidad, se realizarán según lo
establecido en la normativa vigente en materia de protección de datos personales,
debiéndose seguir también las indicaciones de la Agencia Española de Protección de
Datos y demás autoridades competentes al respecto.
Artículo 18.
Protección de datos personales.
Se aplicarán las medidas de seguridad apropiadas en función del análisis de riesgo y,
evaluación de impacto de los datos personales objeto de tratamiento por parte del
Ministerio de Cultura, en cumplimiento de lo dispuesto en el artículo 24 del Reglamento
General de Protección de Datos. Además, se aplicarán las medidas correspondientes al
anexo II del Real Decreto 311/2022, de 3 de mayo. En todo caso, prevalecerán las
medidas a implantar como consecuencia del análisis de riesgos y, en su caso, de la
evaluación de impacto relativos a la protección de datos, en caso de resultar agravadas
respecto de las previstas en el Real Decreto 311/2022, de 3 de mayo.
Formación y concienciación.
1. En aplicación del principio de seguridad como un proceso integral, se
desarrollarán actividades formativas específicas orientadas a la concienciación y
formación del personal que preste servicio en el Ministerio de Cultura, así como a la
difusión entre los mismos de la PSI y de su desarrollo normativo, pudiendo, en algún
caso, recabar la colaboración de entidades encargadas de coordinar las acciones de
seguridad de la información en el sector público.
2. Asimismo, se prestará la máxima atención a la concienciación de las personas a
las que, como consecuencia de la aplicación de esta política, se les asignen roles y
responsabilidades en materia de seguridad de la información, así como de los
responsables jerárquicos de estas, con el propósito de evitar que la ignorancia, la falta
de organización y de coordinación o de instrucciones adecuadas constituyan fuentes de
riesgo para la seguridad.
3. Las actividades formativas y de concienciación se incluirán en el plan de
formación que desarrolle el Ministerio de Cultura.
4. La CMAD y el Responsable de Seguridad se encargarán de promover las
actividades de formación y concienciación en materia de seguridad, según lo indicado en
los artículos 6 y 7.
cve: BOE-A-2024-16386
Verificable en https://www.boe.es
Artículo 19.
