Ministerio de Inclusión, Seguridad Social y Migraciones. I. Disposiciones generales. Seguridad informática. Organización. (BOE-A-2024-24452)
Orden ISM/1320/2024, de 18 de noviembre, por la que se aprueba la Política de Seguridad de la Información del Ministerio de Inclusión, Seguridad Social y Migraciones y se crea el Comité de Seguridad de los Sistemas de Información.
15 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Sábado 23 de noviembre de 2024
Sec. I. Pág. 157688
de información. Estos principios básicos, en su continuo fortalecimiento y revisión, se
ajustarán en todo caso, de acuerdo con lo previsto en la disposición adicional segunda
del Real Decreto 311/2022, de 3 de mayo, a las instrucciones técnicas de seguridad que
publique la Secretaría de Estado de Función Pública del Ministerio para la
Transformación Digital y de la Función Pública, así como a las guías de seguridad de las
tecnologías de la información y la comunicación (guías CCN-STIC) Complementando lo
dispuesto en el capítulo II del Real Decreto 311/2022, de 3 de mayo, se establecen los
siguientes principios básicos:
a) Alcance estratégico: la seguridad de la información debe contar con el
compromiso y apoyo de todos los niveles directivos, de forma que pueda estar
coordinada e integrada con el resto de iniciativas estratégicas del departamento para
conformar un todo coherente y eficaz.
b) Responsabilidad diferenciada: en los sistemas de información se diferenciará la
persona responsable de la información, que determina los requisitos de seguridad de la
información tratada; la persona responsable del servicio, que determina los requisitos de
seguridad de los servicios prestados; la persona responsable del sistema, que tiene la
responsabilidad de desarrollar la forma concreta de implementar la seguridad en el
sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en
administradores u operadores bajo su responsabilidad; y la persona responsable de la
seguridad, que será distinta de la responsable del sistema, no debiendo existir
dependencia jerárquica entre ambas, y que determinará las decisiones para satisfacer
los requisitos de seguridad de la información y de los servicios, supervisará la
implantación de las medidas necesarias para garantizar que se satisfacen los requisitos
y reportará sobre estas cuestiones. En los supuestos de tratamientos de datos
personales se identificará además a la persona, organismo o unidad responsable de
tratamientos y, en su caso, al encargado de tratamiento, de acuerdo con las definiciones
del artículo 4.7 y 8 del Reglamento (UE) 2016/679.
c) Seguridad integral: la seguridad se entenderá como un proceso integral
constituido por todos los elementos técnicos, humanos, materiales y organizativos,
relacionados con el sistema de información, evitando, salvo casos de urgencia o
necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la
información debe considerarse como parte de la operativa habitual, estando presente y
aplicándose desde el diseño inicial de los sistemas de información.
d) Gestión de los riesgos: el análisis y gestión de los riesgos será parte esencial del
proceso de seguridad. La gestión de los riesgos permitirá el mantenimiento de un
entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción a
estos niveles se realizará mediante el despliegue de medidas de seguridad, que
establecerán un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y
la probabilidad de los riesgos a los que estén expuestos, y la eficacia y el coste de las
medidas de seguridad. Además, las medidas de seguridad deberán garantizar el
cumplimiento de lo previsto en el artículo 32 del Reglamento (UE) 2016/679, por lo que el
responsable del tratamiento de datos personales, y en su caso, de los encargados del
tratamiento, podrán adoptar todas aquellas medidas adicionales con el fin de garantizar
la seguridad de los datos personales, en virtud de lo dispuesto en los artículos 24 y 25
del Reglamento (UE) 2016/679, en el artículo 28 de la Ley Orgánica 3/2018, de 5 de
diciembre, y en el artículo 3 del Real Decreto 311/2022, de 3 de mayo.
e) Proporcionalidad: el establecimiento de medidas de protección, detección y
recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de
la información y de los servicios afectados.
f) Mejora continua: las medidas de seguridad se reevaluarán y actualizarán
periódicamente para adecuar su eficacia a la constante evolución de los riesgos y
sistemas de protección. La seguridad de la información será atendida, revisada y
auditada por personal cualificado, instruido y con dichas competencias entre sus
funciones.
cve: BOE-A-2024-24452
Verificable en https://www.boe.es
Núm. 283
Sábado 23 de noviembre de 2024
Sec. I. Pág. 157688
de información. Estos principios básicos, en su continuo fortalecimiento y revisión, se
ajustarán en todo caso, de acuerdo con lo previsto en la disposición adicional segunda
del Real Decreto 311/2022, de 3 de mayo, a las instrucciones técnicas de seguridad que
publique la Secretaría de Estado de Función Pública del Ministerio para la
Transformación Digital y de la Función Pública, así como a las guías de seguridad de las
tecnologías de la información y la comunicación (guías CCN-STIC) Complementando lo
dispuesto en el capítulo II del Real Decreto 311/2022, de 3 de mayo, se establecen los
siguientes principios básicos:
a) Alcance estratégico: la seguridad de la información debe contar con el
compromiso y apoyo de todos los niveles directivos, de forma que pueda estar
coordinada e integrada con el resto de iniciativas estratégicas del departamento para
conformar un todo coherente y eficaz.
b) Responsabilidad diferenciada: en los sistemas de información se diferenciará la
persona responsable de la información, que determina los requisitos de seguridad de la
información tratada; la persona responsable del servicio, que determina los requisitos de
seguridad de los servicios prestados; la persona responsable del sistema, que tiene la
responsabilidad de desarrollar la forma concreta de implementar la seguridad en el
sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en
administradores u operadores bajo su responsabilidad; y la persona responsable de la
seguridad, que será distinta de la responsable del sistema, no debiendo existir
dependencia jerárquica entre ambas, y que determinará las decisiones para satisfacer
los requisitos de seguridad de la información y de los servicios, supervisará la
implantación de las medidas necesarias para garantizar que se satisfacen los requisitos
y reportará sobre estas cuestiones. En los supuestos de tratamientos de datos
personales se identificará además a la persona, organismo o unidad responsable de
tratamientos y, en su caso, al encargado de tratamiento, de acuerdo con las definiciones
del artículo 4.7 y 8 del Reglamento (UE) 2016/679.
c) Seguridad integral: la seguridad se entenderá como un proceso integral
constituido por todos los elementos técnicos, humanos, materiales y organizativos,
relacionados con el sistema de información, evitando, salvo casos de urgencia o
necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la
información debe considerarse como parte de la operativa habitual, estando presente y
aplicándose desde el diseño inicial de los sistemas de información.
d) Gestión de los riesgos: el análisis y gestión de los riesgos será parte esencial del
proceso de seguridad. La gestión de los riesgos permitirá el mantenimiento de un
entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción a
estos niveles se realizará mediante el despliegue de medidas de seguridad, que
establecerán un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y
la probabilidad de los riesgos a los que estén expuestos, y la eficacia y el coste de las
medidas de seguridad. Además, las medidas de seguridad deberán garantizar el
cumplimiento de lo previsto en el artículo 32 del Reglamento (UE) 2016/679, por lo que el
responsable del tratamiento de datos personales, y en su caso, de los encargados del
tratamiento, podrán adoptar todas aquellas medidas adicionales con el fin de garantizar
la seguridad de los datos personales, en virtud de lo dispuesto en los artículos 24 y 25
del Reglamento (UE) 2016/679, en el artículo 28 de la Ley Orgánica 3/2018, de 5 de
diciembre, y en el artículo 3 del Real Decreto 311/2022, de 3 de mayo.
e) Proporcionalidad: el establecimiento de medidas de protección, detección y
recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de
la información y de los servicios afectados.
f) Mejora continua: las medidas de seguridad se reevaluarán y actualizarán
periódicamente para adecuar su eficacia a la constante evolución de los riesgos y
sistemas de protección. La seguridad de la información será atendida, revisada y
auditada por personal cualificado, instruido y con dichas competencias entre sus
funciones.
cve: BOE-A-2024-24452
Verificable en https://www.boe.es
Núm. 283
