Ministerio de Inclusión, Seguridad Social y Migraciones. I. Disposiciones generales. Seguridad informática. Organización. (BOE-A-2024-24452)
Orden ISM/1320/2024, de 18 de noviembre, por la que se aprueba la Política de Seguridad de la Información del Ministerio de Inclusión, Seguridad Social y Migraciones y se crea el Comité de Seguridad de los Sistemas de Información.
15 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Sábado 23 de noviembre de 2024
Sec. I. Pág. 157685
elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas
de información y las comunicaciones y debe entenderse no como un producto sino como
un proceso continuo de adaptación y mejora, que debe ser controlado, gestionado y
monitorizado, implementando la cultura de la seguridad en el Ministerio.
La PSI constituye el marco de referencia orientado a facilitar la definición, gestión,
administración e implementación de los mecanismos y procedimientos de seguridad
establecidos en el Esquema Nacional de Seguridad. Identifica responsabilidades y
establece principios y directrices para una protección adecuada y consistente de los
servicios y activos de información gestionados por medio de las Tecnologías de la
Información y de las Comunicaciones.
Del mismo modo, el Real Decreto 311/2022, de 3 de mayo, determina que la PSI
debe ser coherente con lo establecido en el Reglamento (UE) 2016/679, del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales, y la normativa vigente en
esta materia, prevaleciendo éstos en lo relativo a la protección de datos de carácter
personal en caso de discrepancias.
En este sentido, la entrada en vigor del citado Reglamento Europeo (UE) 2016/679, y
de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los
derechos digitales, plantea nuevos retos, así como la necesidad de dar un nuevo
enfoque al tratamiento de datos de carácter personal. De este modo, para garantizar su
adecuada implantación resulta necesario intensificar la labor de coordinación con el resto de
las normas de obligatoria implantación en la organización, especialmente con el Esquema
Nacional de Seguridad, buscando sinergias en el desarrollo de ambas. Para garantizar la
coordinación en la implantación de estas normativas se deberá procurar que:
a) El cumplimiento del Esquema Nacional de Seguridad y la legislación de
protección de datos estén alineados, apoyándose mutuamente en el caso de los
sistemas de información que tratan datos de carácter personal.
b) Los planes de concienciación y formación que se definan contengan contenidos
comunes en el ámbito de los tratamientos de datos de carácter personal.
c) Se establezca la correspondencia entre los tratamientos de datos de carácter
personal y los sistemas de información identificados en el Esquema Nacional de
Seguridad que incluyan datos de carácter personal, buscando unificar en una única
declaración los requisitos y medidas de seguridad y de protección de los datos
personales que son necesarios para cumplir con ambas normas.
d) Las auditorías de cumplimiento en particular y las revisiones de seguridad en
general que incluyan controles de ambas normas, se efectúen de manera conjunta.
e) Se lleve a cabo una designación común de las responsabilidades, así como una
relación con los organismos reguladores y de coordinación.
La PSI es de obligado cumplimiento para todo el personal que acceda a los sistemas
de información o a la información del departamento, para sus órganos superiores y
directivos que no tengan establecida su propia política de seguridad y para los aspectos
no tratados en dichas políticas de seguridad particulares.
Esta orden se estructura en veinte artículos, tres disposiciones adicionales, dos
disposiciones derogatorias y dos disposiciones finales. La disposición derogatoria
primera deroga, en lo que afecta a las competencias del Ministerio de Inclusión,
Seguridad Social y Migraciones, la Orden TIN/3016/2011, de 28 de octubre, por la que se
crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones
del Ministerio de Trabajo e Inmigración, y la Orden comunicada de la Ministra de Empleo
y Seguridad Social, de 30 de julio de 2012, por la que se aprueba la Política de
Seguridad de los Sistemas de Información del Ministerio de Empleo y Seguridad Social.
También se deroga en la disposición derogatoria segunda la Orden ISM/254/2021, de 16
de marzo, por la que se crea y regula la Comisión Asesora de Estudios y se establece la
regulación del Programa anual de Estudios del departamento, por tratarse de otra norma
de naturaleza organizativa de acuerdo con las competencias de la Subsecretaría de
cve: BOE-A-2024-24452
Verificable en https://www.boe.es
Núm. 283
Sábado 23 de noviembre de 2024
Sec. I. Pág. 157685
elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas
de información y las comunicaciones y debe entenderse no como un producto sino como
un proceso continuo de adaptación y mejora, que debe ser controlado, gestionado y
monitorizado, implementando la cultura de la seguridad en el Ministerio.
La PSI constituye el marco de referencia orientado a facilitar la definición, gestión,
administración e implementación de los mecanismos y procedimientos de seguridad
establecidos en el Esquema Nacional de Seguridad. Identifica responsabilidades y
establece principios y directrices para una protección adecuada y consistente de los
servicios y activos de información gestionados por medio de las Tecnologías de la
Información y de las Comunicaciones.
Del mismo modo, el Real Decreto 311/2022, de 3 de mayo, determina que la PSI
debe ser coherente con lo establecido en el Reglamento (UE) 2016/679, del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales, y la normativa vigente en
esta materia, prevaleciendo éstos en lo relativo a la protección de datos de carácter
personal en caso de discrepancias.
En este sentido, la entrada en vigor del citado Reglamento Europeo (UE) 2016/679, y
de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los
derechos digitales, plantea nuevos retos, así como la necesidad de dar un nuevo
enfoque al tratamiento de datos de carácter personal. De este modo, para garantizar su
adecuada implantación resulta necesario intensificar la labor de coordinación con el resto de
las normas de obligatoria implantación en la organización, especialmente con el Esquema
Nacional de Seguridad, buscando sinergias en el desarrollo de ambas. Para garantizar la
coordinación en la implantación de estas normativas se deberá procurar que:
a) El cumplimiento del Esquema Nacional de Seguridad y la legislación de
protección de datos estén alineados, apoyándose mutuamente en el caso de los
sistemas de información que tratan datos de carácter personal.
b) Los planes de concienciación y formación que se definan contengan contenidos
comunes en el ámbito de los tratamientos de datos de carácter personal.
c) Se establezca la correspondencia entre los tratamientos de datos de carácter
personal y los sistemas de información identificados en el Esquema Nacional de
Seguridad que incluyan datos de carácter personal, buscando unificar en una única
declaración los requisitos y medidas de seguridad y de protección de los datos
personales que son necesarios para cumplir con ambas normas.
d) Las auditorías de cumplimiento en particular y las revisiones de seguridad en
general que incluyan controles de ambas normas, se efectúen de manera conjunta.
e) Se lleve a cabo una designación común de las responsabilidades, así como una
relación con los organismos reguladores y de coordinación.
La PSI es de obligado cumplimiento para todo el personal que acceda a los sistemas
de información o a la información del departamento, para sus órganos superiores y
directivos que no tengan establecida su propia política de seguridad y para los aspectos
no tratados en dichas políticas de seguridad particulares.
Esta orden se estructura en veinte artículos, tres disposiciones adicionales, dos
disposiciones derogatorias y dos disposiciones finales. La disposición derogatoria
primera deroga, en lo que afecta a las competencias del Ministerio de Inclusión,
Seguridad Social y Migraciones, la Orden TIN/3016/2011, de 28 de octubre, por la que se
crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones
del Ministerio de Trabajo e Inmigración, y la Orden comunicada de la Ministra de Empleo
y Seguridad Social, de 30 de julio de 2012, por la que se aprueba la Política de
Seguridad de los Sistemas de Información del Ministerio de Empleo y Seguridad Social.
También se deroga en la disposición derogatoria segunda la Orden ISM/254/2021, de 16
de marzo, por la que se crea y regula la Comisión Asesora de Estudios y se establece la
regulación del Programa anual de Estudios del departamento, por tratarse de otra norma
de naturaleza organizativa de acuerdo con las competencias de la Subsecretaría de
cve: BOE-A-2024-24452
Verificable en https://www.boe.es
Núm. 283
