Ministerio de Inclusión, Seguridad Social y Migraciones. I. Disposiciones generales. Seguridad informática. Organización. (BOE-A-2024-24452)
Orden ISM/1320/2024, de 18 de noviembre, por la que se aprueba la Política de Seguridad de la Información del Ministerio de Inclusión, Seguridad Social y Migraciones y se crea el Comité de Seguridad de los Sistemas de Información.
15 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 283
Sábado 23 de noviembre de 2024
Sec. I. Pág. 157696
estipulado en las normas de seguridad. Cada procedimiento debe detallar al menos en
qué condiciones debe aplicarse, quienes deben llevarla a cabo y qué hacer en cada
momento. Serán de obligado cumplimiento en su ámbito correspondiente, pero no
requieren aprobación del CSSI.
d) Las guías de seguridad: documentación que incluye recomendaciones de
actuación para mejorar la eficacia y eficiencia de los procedimientos de seguridad,
suministra información adicional de apoyo y propone buenas prácticas. No se consideran
de obligado cumplimiento ni requieren aprobación del CSSI, proporcionándose a título
meramente informativo.
Artículo 15.
Protección de datos de carácter personal.
1. Se aplicarán a los datos de carácter personal que sean objeto de tratamiento por
parte del Ministerio de Inclusión, Seguridad Social y Migraciones, las medidas técnicas y
organizativas, y de seguridad apropiadas derivadas del análisis de riesgos, así como de
la evaluación de impacto relativa a la protección de datos, que se detalla en el
Reglamento (UE) 2016/679 y en la Ley Orgánica 3/2018, de 5 de diciembre.
Además, se aplicarán las medidas correspondientes al anexo II del Real
Decreto 311/2022, de 3 de mayo. En el caso de que el análisis de riesgos determine
medidas agravadas respecto a la normativa recogida en las medidas del citado anexo,
las medidas derivadas del análisis de riesgos serán las que se implementarán en la
protección de datos de carácter personal.
En particular, se tendrá en cuenta el artículo 32 del Reglamento (UE) 2016/679, en
cuanto a la exigencia de una identificación de riesgos específicos para los derechos y
libertades de las personas en relación a los tratamientos de datos personales, que debe
ser previo al análisis de riesgos de los sistemas donde se implementen dichos
tratamientos, de forma que el nivel de seguridad sea adecuado al riesgo que los
tratamientos de datos personales suponen para los derechos y libertades de las
personas.
2. Los servicios de ciberseguridad y administración de sistemas, dependientes de
los respectivos responsables de los sistemas, podrán implementar tratamientos de datos
personales como consecuencia de la implantación de medidas de seguridad que tengan
un objeto distinto que la protección de los datos personales, en base a lo dispuesto en el
artículo 24 del Real Decreto 311/2022, de 3 de mayo, y teniendo en cuenta, entre otros,
los principios de limitación de finalidad; prohibición del tratamiento de los datos
personales para fines distintos; el principio de minimización de datos, identificando los
datos personales o las categorías de datos personales que pudieran ser tratados; o del
principio de limitación del plazo de conservación, identificando los plazos máximos de
conservación de los datos personales.
Responsabilidad del personal.
Todo el personal que forme parte del Ministerio de Inclusión, Seguridad Social y
Migraciones o que colabore con él en el ejercicio de sus funciones, deberá conocer y
aplicar en su ámbito de actuación esta PSI, así como las normas y procedimientos de
seguridad de cada sistema de información al que tenga acceso. Estas normas y
procedimientos les serán proporcionadas por la persona responsable de cada sistema de
información.
Artículo 17. Relación con otras administraciones públicas.
Cuando el Ministerio de Inclusión, Seguridad Social y Migraciones preste servicios o
ceda información a otras administraciones públicas, les hará partícipes de esta PSI y de
las normas de seguridad que apliquen. Las administraciones públicas receptoras
quedarán sujetas a las obligaciones establecidas en ellas, debiendo desarrollar sus
propios procedimientos para satisfacerlas.
cve: BOE-A-2024-24452
Verificable en https://www.boe.es
Artículo 16.
Núm. 283
Sábado 23 de noviembre de 2024
Sec. I. Pág. 157696
estipulado en las normas de seguridad. Cada procedimiento debe detallar al menos en
qué condiciones debe aplicarse, quienes deben llevarla a cabo y qué hacer en cada
momento. Serán de obligado cumplimiento en su ámbito correspondiente, pero no
requieren aprobación del CSSI.
d) Las guías de seguridad: documentación que incluye recomendaciones de
actuación para mejorar la eficacia y eficiencia de los procedimientos de seguridad,
suministra información adicional de apoyo y propone buenas prácticas. No se consideran
de obligado cumplimiento ni requieren aprobación del CSSI, proporcionándose a título
meramente informativo.
Artículo 15.
Protección de datos de carácter personal.
1. Se aplicarán a los datos de carácter personal que sean objeto de tratamiento por
parte del Ministerio de Inclusión, Seguridad Social y Migraciones, las medidas técnicas y
organizativas, y de seguridad apropiadas derivadas del análisis de riesgos, así como de
la evaluación de impacto relativa a la protección de datos, que se detalla en el
Reglamento (UE) 2016/679 y en la Ley Orgánica 3/2018, de 5 de diciembre.
Además, se aplicarán las medidas correspondientes al anexo II del Real
Decreto 311/2022, de 3 de mayo. En el caso de que el análisis de riesgos determine
medidas agravadas respecto a la normativa recogida en las medidas del citado anexo,
las medidas derivadas del análisis de riesgos serán las que se implementarán en la
protección de datos de carácter personal.
En particular, se tendrá en cuenta el artículo 32 del Reglamento (UE) 2016/679, en
cuanto a la exigencia de una identificación de riesgos específicos para los derechos y
libertades de las personas en relación a los tratamientos de datos personales, que debe
ser previo al análisis de riesgos de los sistemas donde se implementen dichos
tratamientos, de forma que el nivel de seguridad sea adecuado al riesgo que los
tratamientos de datos personales suponen para los derechos y libertades de las
personas.
2. Los servicios de ciberseguridad y administración de sistemas, dependientes de
los respectivos responsables de los sistemas, podrán implementar tratamientos de datos
personales como consecuencia de la implantación de medidas de seguridad que tengan
un objeto distinto que la protección de los datos personales, en base a lo dispuesto en el
artículo 24 del Real Decreto 311/2022, de 3 de mayo, y teniendo en cuenta, entre otros,
los principios de limitación de finalidad; prohibición del tratamiento de los datos
personales para fines distintos; el principio de minimización de datos, identificando los
datos personales o las categorías de datos personales que pudieran ser tratados; o del
principio de limitación del plazo de conservación, identificando los plazos máximos de
conservación de los datos personales.
Responsabilidad del personal.
Todo el personal que forme parte del Ministerio de Inclusión, Seguridad Social y
Migraciones o que colabore con él en el ejercicio de sus funciones, deberá conocer y
aplicar en su ámbito de actuación esta PSI, así como las normas y procedimientos de
seguridad de cada sistema de información al que tenga acceso. Estas normas y
procedimientos les serán proporcionadas por la persona responsable de cada sistema de
información.
Artículo 17. Relación con otras administraciones públicas.
Cuando el Ministerio de Inclusión, Seguridad Social y Migraciones preste servicios o
ceda información a otras administraciones públicas, les hará partícipes de esta PSI y de
las normas de seguridad que apliquen. Las administraciones públicas receptoras
quedarán sujetas a las obligaciones establecidas en ellas, debiendo desarrollar sus
propios procedimientos para satisfacerlas.
cve: BOE-A-2024-24452
Verificable en https://www.boe.es
Artículo 16.
