Ministerio de Hacienda. III. Otras disposiciones. Seguridad informática. (BOE-A-2025-15397)
Orden HAC/800/2025, de 16 de julio, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la Administración digital del Ministerio de Hacienda.
11 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 177
Jueves 24 de julio de 2025
Artículo 15.
Sec. III. Pág. 98945
Estructura normativa.
1. El cuerpo normativo sobre seguridad de la información es de obligado
cumplimiento y se estructura en los siguientes niveles relacionados jerárquicamente:
a) Primer nivel normativo: constituido por la PSI y las directrices generales de
seguridad aplicables a los órganos superiores o directivos del Ministerio de Hacienda a
los que, conforme al artículo 1, sea de aplicación la presente PSI.
b) Segundo nivel normativo: constituido por las normas de seguridad desarrolladas
por cada órgano superior o directivo del Ministerio de Hacienda, así como por cada
organismo público dependiente del Departamento a los que, conforme al artículo 1, les
sea de aplicación la presente PSI. Estas normas de seguridad deberán:
1.º Limitarse única y exclusivamente al ámbito específico de las competencias de
cada uno de dichos órganos u organismos adscritos a la presente PSI. Este ámbito
vendrá determinado por los sistemas de información, los tratamientos de datos
personales y servicios de tecnologías de la información y de las comunicaciones que
sean prestados y gestionados directamente por dicho órgano u organismo.
2.º Cumplir estrictamente con lo indicado en el ENS, con la normativa vigente en
materia de protección de datos personales y con el primer nivel normativo enunciado en
el presente artículo.
3.º Ser aprobadas dentro del ámbito de cada uno de los citados órganos u
organismos adscritos a la presente PSI.
c) Tercer nivel normativo: Procedimientos, guías e instrucciones técnicas. Son
documentos que, cumpliendo con lo expuesto en la PSI, determinan las acciones o
tareas a realizar en el desempeño de un proceso. Este tercer nivel normativo deberá:
1.º Limitarse única y exclusivamente al ámbito específico de las competencias de
cada uno de dichos órganos u organismos adscritos a la presente PSI. Este ámbito
vendrá determinado por los sistemas de información, los tratamientos de datos
personales y servicios de tecnologías de la información y de las comunicaciones que
sean prestados y gestionados directamente por dicho órgano u organismo.
2.º Cumplir estrictamente con lo indicado en el ENS, con la normativa vigente en
materia de protección de datos personales y con el primer y segundo nivel normativos
enunciados en el presente artículo.
3.º Ser aprobado dentro del ámbito de cada uno de los citados órganos u
organismos adscritos a la presente PSI.
Artículo 16. Protección de datos de carácter personal.
1. La seguridad de los datos personales, incluida la protección contra el tratamiento
no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, constituye uno
de los principios que deben regir su tratamiento, aplicándose para ello las medidas
técnicas u organizativas apropiadas que garanticen un nivel de seguridad adecuado al
riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la
naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de
probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
cve: BOE-A-2025-15397
Verificable en https://www.boe.es
2. Además de la normativa enunciada con anterioridad, la estructura normativa podrá
disponer, a criterio de cada uno de los órganos u organismos adscritos a la presente PSI, y
siempre dentro del ámbito de sus competencias y responsabilidades, de otros documentos
tales como: estándares de seguridad, buenas prácticas, informes técnicos, etc.
3. El personal de cada uno de los órganos, organismos o entidades adscritos a la
presente PSI tendrá la obligación de conocer y cumplir, además de la presente PSI,
todas las directrices generales, normas y procedimientos de seguridad de la información
que puedan afectar a sus funciones.
Núm. 177
Jueves 24 de julio de 2025
Artículo 15.
Sec. III. Pág. 98945
Estructura normativa.
1. El cuerpo normativo sobre seguridad de la información es de obligado
cumplimiento y se estructura en los siguientes niveles relacionados jerárquicamente:
a) Primer nivel normativo: constituido por la PSI y las directrices generales de
seguridad aplicables a los órganos superiores o directivos del Ministerio de Hacienda a
los que, conforme al artículo 1, sea de aplicación la presente PSI.
b) Segundo nivel normativo: constituido por las normas de seguridad desarrolladas
por cada órgano superior o directivo del Ministerio de Hacienda, así como por cada
organismo público dependiente del Departamento a los que, conforme al artículo 1, les
sea de aplicación la presente PSI. Estas normas de seguridad deberán:
1.º Limitarse única y exclusivamente al ámbito específico de las competencias de
cada uno de dichos órganos u organismos adscritos a la presente PSI. Este ámbito
vendrá determinado por los sistemas de información, los tratamientos de datos
personales y servicios de tecnologías de la información y de las comunicaciones que
sean prestados y gestionados directamente por dicho órgano u organismo.
2.º Cumplir estrictamente con lo indicado en el ENS, con la normativa vigente en
materia de protección de datos personales y con el primer nivel normativo enunciado en
el presente artículo.
3.º Ser aprobadas dentro del ámbito de cada uno de los citados órganos u
organismos adscritos a la presente PSI.
c) Tercer nivel normativo: Procedimientos, guías e instrucciones técnicas. Son
documentos que, cumpliendo con lo expuesto en la PSI, determinan las acciones o
tareas a realizar en el desempeño de un proceso. Este tercer nivel normativo deberá:
1.º Limitarse única y exclusivamente al ámbito específico de las competencias de
cada uno de dichos órganos u organismos adscritos a la presente PSI. Este ámbito
vendrá determinado por los sistemas de información, los tratamientos de datos
personales y servicios de tecnologías de la información y de las comunicaciones que
sean prestados y gestionados directamente por dicho órgano u organismo.
2.º Cumplir estrictamente con lo indicado en el ENS, con la normativa vigente en
materia de protección de datos personales y con el primer y segundo nivel normativos
enunciados en el presente artículo.
3.º Ser aprobado dentro del ámbito de cada uno de los citados órganos u
organismos adscritos a la presente PSI.
Artículo 16. Protección de datos de carácter personal.
1. La seguridad de los datos personales, incluida la protección contra el tratamiento
no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, constituye uno
de los principios que deben regir su tratamiento, aplicándose para ello las medidas
técnicas u organizativas apropiadas que garanticen un nivel de seguridad adecuado al
riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la
naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de
probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
cve: BOE-A-2025-15397
Verificable en https://www.boe.es
2. Además de la normativa enunciada con anterioridad, la estructura normativa podrá
disponer, a criterio de cada uno de los órganos u organismos adscritos a la presente PSI, y
siempre dentro del ámbito de sus competencias y responsabilidades, de otros documentos
tales como: estándares de seguridad, buenas prácticas, informes técnicos, etc.
3. El personal de cada uno de los órganos, organismos o entidades adscritos a la
presente PSI tendrá la obligación de conocer y cumplir, además de la presente PSI,
todas las directrices generales, normas y procedimientos de seguridad de la información
que puedan afectar a sus funciones.
