Ministerio de Inclusión, Seguridad Social y Migraciones. I. Disposiciones generales. Seguridad informática. Organización. (BOE-A-2024-24452)
Orden ISM/1320/2024, de 18 de noviembre, por la que se aprueba la Política de Seguridad de la Información del Ministerio de Inclusión, Seguridad Social y Migraciones y se crea el Comité de Seguridad de los Sistemas de Información.
15 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 283
Sábado 23 de noviembre de 2024
Sec. I. Pág. 157689
g) Seguridad desde el diseño y por defecto: los sistemas deben diseñarse y
configurarse de forma que garanticen un grado suficiente de seguridad por defecto.
Además, con el fin de garantizar la resiliencia y la protección de los datos personales, se
deben tener en cuenta las medidas de seguridad por defecto en base a los artículos 24
y 25 del Reglamento (UE) 2016/679, así como las medidas de seguridad orientadas al
riesgo según el artículo 32 del Reglamento (UE) 2016/679.
h) Vigilancia continua: de forma que la evaluación permanente del estado de la
seguridad de los activos permita medir su evolución, detectando vulnerabilidades e
identificando deficiencias de configuración. En cuanto a la gestión de incidentes que
afecten a datos personales, se tendrán en cuenta las obligaciones específicas de
notificación, comunicación y documentación especificadas en los artículos 33 y 34 del
Reglamento (UE) 2016/679.
2.
Principios particulares y responsabilidades específicas.
a) Protección de datos de carácter personal: se adoptarán las medidas técnicas y
organizativas destinadas a garantizar el nivel de seguridad exigido por la normativa
vigente en relación con el tratamiento de los datos de carácter personal.
b) Gestión de activos de información: los activos de información del departamento
se encontrarán inventariados y categorizados, y estarán asociados a un responsable.
c) Seguridad ligada a las personas: se implantarán los mecanismos necesarios
para que cualquier persona que acceda o pueda acceder a los activos de información,
conozca sus responsabilidades, y, de este modo, se reduzca el riesgo derivado de un
uso indebido de dichos activos.
d) Seguridad física: los activos de información serán emplazados en áreas seguras,
protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los
sistemas y los activos de información que contienen dichas áreas estarán
suficientemente protegidos frente a amenazas físicas o ambientales.
e) Seguridad en la gestión de comunicaciones y operaciones: se establecerán los
procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación
y actualización de las Tecnologías de la Información y Comunicaciones. La información
que se transmita a través de redes de comunicaciones deberá ser adecuadamente
protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante
mecanismos que garanticen su seguridad. Para proteger las redes del departamento, se
analizará el tráfico cifrado de usuarios de forma automatizada. Se realizará la excepción
en este análisis de las categorías de navegación relacionadas con datos sensibles
especialmente protegidos de acuerdo con la normativa de protección de datos vigente,
siempre que sea posible la discriminación.
f) Control de acceso: se limitará el acceso a los activos de información por parte de
usuarios, procesos y otros sistemas de información mediante la implantación de los
mecanismos de identificación, autenticación y autorización acordes a la criticidad de
cada activo. Además, quedará registrada la utilización del sistema con objeto de
asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad
de la organización.
g) Adquisición, desarrollo y mantenimiento de los sistemas de información: se
contemplarán los aspectos de seguridad de la información en todas las fases del ciclo de
vida de los sistemas de información, garantizando su seguridad por defecto.
h) Gestión de los incidentes de seguridad: se implantarán los mecanismos
apropiados para la correcta identificación, registro y resolución de los incidentes de
seguridad.
cve: BOE-A-2024-24452
Verificable en https://www.boe.es
Las directrices fundamentales de seguridad se concretan en un conjunto de
principios particulares y responsabilidades específicas, que se configuran como objetivos
instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que
inspiran las actuaciones del departamento en dicha materia. Se establecen los siguientes
principios particulares y responsabilidades específicas:
Núm. 283
Sábado 23 de noviembre de 2024
Sec. I. Pág. 157689
g) Seguridad desde el diseño y por defecto: los sistemas deben diseñarse y
configurarse de forma que garanticen un grado suficiente de seguridad por defecto.
Además, con el fin de garantizar la resiliencia y la protección de los datos personales, se
deben tener en cuenta las medidas de seguridad por defecto en base a los artículos 24
y 25 del Reglamento (UE) 2016/679, así como las medidas de seguridad orientadas al
riesgo según el artículo 32 del Reglamento (UE) 2016/679.
h) Vigilancia continua: de forma que la evaluación permanente del estado de la
seguridad de los activos permita medir su evolución, detectando vulnerabilidades e
identificando deficiencias de configuración. En cuanto a la gestión de incidentes que
afecten a datos personales, se tendrán en cuenta las obligaciones específicas de
notificación, comunicación y documentación especificadas en los artículos 33 y 34 del
Reglamento (UE) 2016/679.
2.
Principios particulares y responsabilidades específicas.
a) Protección de datos de carácter personal: se adoptarán las medidas técnicas y
organizativas destinadas a garantizar el nivel de seguridad exigido por la normativa
vigente en relación con el tratamiento de los datos de carácter personal.
b) Gestión de activos de información: los activos de información del departamento
se encontrarán inventariados y categorizados, y estarán asociados a un responsable.
c) Seguridad ligada a las personas: se implantarán los mecanismos necesarios
para que cualquier persona que acceda o pueda acceder a los activos de información,
conozca sus responsabilidades, y, de este modo, se reduzca el riesgo derivado de un
uso indebido de dichos activos.
d) Seguridad física: los activos de información serán emplazados en áreas seguras,
protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los
sistemas y los activos de información que contienen dichas áreas estarán
suficientemente protegidos frente a amenazas físicas o ambientales.
e) Seguridad en la gestión de comunicaciones y operaciones: se establecerán los
procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación
y actualización de las Tecnologías de la Información y Comunicaciones. La información
que se transmita a través de redes de comunicaciones deberá ser adecuadamente
protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante
mecanismos que garanticen su seguridad. Para proteger las redes del departamento, se
analizará el tráfico cifrado de usuarios de forma automatizada. Se realizará la excepción
en este análisis de las categorías de navegación relacionadas con datos sensibles
especialmente protegidos de acuerdo con la normativa de protección de datos vigente,
siempre que sea posible la discriminación.
f) Control de acceso: se limitará el acceso a los activos de información por parte de
usuarios, procesos y otros sistemas de información mediante la implantación de los
mecanismos de identificación, autenticación y autorización acordes a la criticidad de
cada activo. Además, quedará registrada la utilización del sistema con objeto de
asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad
de la organización.
g) Adquisición, desarrollo y mantenimiento de los sistemas de información: se
contemplarán los aspectos de seguridad de la información en todas las fases del ciclo de
vida de los sistemas de información, garantizando su seguridad por defecto.
h) Gestión de los incidentes de seguridad: se implantarán los mecanismos
apropiados para la correcta identificación, registro y resolución de los incidentes de
seguridad.
cve: BOE-A-2024-24452
Verificable en https://www.boe.es
Las directrices fundamentales de seguridad se concretan en un conjunto de
principios particulares y responsabilidades específicas, que se configuran como objetivos
instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que
inspiran las actuaciones del departamento en dicha materia. Se establecen los siguientes
principios particulares y responsabilidades específicas:
