Ministerio de Hacienda. III. Otras disposiciones. Seguridad informática. (BOE-A-2025-15397)
Orden HAC/800/2025, de 16 de julio, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la Administración digital del Ministerio de Hacienda.
11 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 177
Jueves 24 de julio de 2025
Sec. III. Pág. 98939
tratamiento y, en su caso, el encargado de tratamiento, de acuerdo con el artículo 12 de
esta orden.
c) Seguridad integral: La seguridad se entenderá como un proceso integral
constituido por todos los elementos técnicos, humanos, materiales y organizativos,
relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier
actuación puntual o tratamiento coyuntural. La seguridad de la información debe
considerarse como parte de la operativa habitual, estando presente y aplicándose desde
el diseño inicial de los sistemas de información.
d) Gestión de Riesgos: El análisis y gestión de riesgos será parte esencial del
proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno
controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos
niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá
un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la
probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las
medidas de seguridad. El análisis y gestión de riesgos, cuando se aplique al tratamiento
de datos personales, tendrá especial consideración con los riesgos para los derechos y
libertades de las personas físicas.
e) Proporcionalidad: El establecimiento de medidas de protección, detección y
recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de
la información y de los servicios afectados.
f) Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán
periódicamente para adecuar su eficacia a la constante evolución de los riesgos y
sistemas de protección. La seguridad de la información será atendida, revisada y
auditada por personal cualificado, instruido y dedicado.
g) Seguridad por defecto: Los sistemas deben diseñarse y configurarse de forma
que garanticen un grado suficiente de seguridad y protección de datos personales por
defecto y desde el diseño.
2.
Principios particulares.
a) Protección de datos de carácter personal: Se adoptarán las medidas técnicas y
organizativas destinadas a garantizar y poder demostrar que la seguridad del tratamiento
es conforme con la normativa vigente en materia de protección de datos personales.
b) Gestión de activos de información: Los activos de información del Departamento
se encontrarán inventariados y categorizados y estarán asociados a un responsable.
c) Seguridad ligada a las personas: Se implantarán los mecanismos necesarios
para que cualquier persona que acceda o pueda acceder a los activos de información,
conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso
indebido de dichos activos.
d) Seguridad física: Los activos de información serán emplazados en áreas
seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad.
Los sistemas y los activos de información que contienen dichas áreas estarán
suficientemente protegidos frente a amenazas físicas o ambientales.
e) Seguridad en la gestión de comunicaciones y operaciones: Se establecerán los
procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación
y actualización de las Tecnologías de la Información y Comunicaciones. La información
que se transmita a través de redes de comunicaciones deberá ser adecuadamente
protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante
mecanismos que garanticen su seguridad.
f) Control de acceso: Se limitará el acceso a los activos de información por parte de
usuarios, procesos y otros sistemas de información mediante la implantación de los
cve: BOE-A-2025-15397
Verificable en https://www.boe.es
Las directrices fundamentales de seguridad se concretan en un conjunto de principios
particulares y responsabilidades específicas, que se configuran como objetivos
instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que
inspiran las actuaciones del Departamento en dicha materia. Se establecen los siguientes:
Núm. 177
Jueves 24 de julio de 2025
Sec. III. Pág. 98939
tratamiento y, en su caso, el encargado de tratamiento, de acuerdo con el artículo 12 de
esta orden.
c) Seguridad integral: La seguridad se entenderá como un proceso integral
constituido por todos los elementos técnicos, humanos, materiales y organizativos,
relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier
actuación puntual o tratamiento coyuntural. La seguridad de la información debe
considerarse como parte de la operativa habitual, estando presente y aplicándose desde
el diseño inicial de los sistemas de información.
d) Gestión de Riesgos: El análisis y gestión de riesgos será parte esencial del
proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno
controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos
niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá
un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la
probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las
medidas de seguridad. El análisis y gestión de riesgos, cuando se aplique al tratamiento
de datos personales, tendrá especial consideración con los riesgos para los derechos y
libertades de las personas físicas.
e) Proporcionalidad: El establecimiento de medidas de protección, detección y
recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de
la información y de los servicios afectados.
f) Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán
periódicamente para adecuar su eficacia a la constante evolución de los riesgos y
sistemas de protección. La seguridad de la información será atendida, revisada y
auditada por personal cualificado, instruido y dedicado.
g) Seguridad por defecto: Los sistemas deben diseñarse y configurarse de forma
que garanticen un grado suficiente de seguridad y protección de datos personales por
defecto y desde el diseño.
2.
Principios particulares.
a) Protección de datos de carácter personal: Se adoptarán las medidas técnicas y
organizativas destinadas a garantizar y poder demostrar que la seguridad del tratamiento
es conforme con la normativa vigente en materia de protección de datos personales.
b) Gestión de activos de información: Los activos de información del Departamento
se encontrarán inventariados y categorizados y estarán asociados a un responsable.
c) Seguridad ligada a las personas: Se implantarán los mecanismos necesarios
para que cualquier persona que acceda o pueda acceder a los activos de información,
conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso
indebido de dichos activos.
d) Seguridad física: Los activos de información serán emplazados en áreas
seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad.
Los sistemas y los activos de información que contienen dichas áreas estarán
suficientemente protegidos frente a amenazas físicas o ambientales.
e) Seguridad en la gestión de comunicaciones y operaciones: Se establecerán los
procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación
y actualización de las Tecnologías de la Información y Comunicaciones. La información
que se transmita a través de redes de comunicaciones deberá ser adecuadamente
protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante
mecanismos que garanticen su seguridad.
f) Control de acceso: Se limitará el acceso a los activos de información por parte de
usuarios, procesos y otros sistemas de información mediante la implantación de los
cve: BOE-A-2025-15397
Verificable en https://www.boe.es
Las directrices fundamentales de seguridad se concretan en un conjunto de principios
particulares y responsabilidades específicas, que se configuran como objetivos
instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que
inspiran las actuaciones del Departamento en dicha materia. Se establecen los siguientes:
