ORDEN DE 29 DE MAYO DE 2014, POR LA QUE SE APRUEBA LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA CONSEJERÍA DE PRESIDENCIA, JUSTICIA E IGUALDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN ELECTRÓNICA.
La implantación y utilización de los medios electrónicos en el ámbito de la Administración Pública supone el desarrollo e implantación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Para ello, el Real Decreto 3/2010, de 8 de enero 
, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en adelante ENS, establece los principios y requisitos de una política de seguridad en la utilización de los medios electrónicos que permita la adecuada protección de la información. El ENS establece que el marco organizativo está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad.
El artículo 11 del ENS establece que todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente.
Mediante Orden de 13 de diciembre de 2012 se creó y reguló la sede electrónica y el registro electrónico de la Consejería de Presidencia, Justicia e Igualdad, cuyo ámbito se extiende a la totalidad de los órganos superiores y unidades administrativas del Departamento.
La Orden de 31 de julio de 2013, del Consejero de Presidencia, Justicia e Igualdad, establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.
La política de seguridad deberá identificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.
Así mismo las Guías CCN-STIC de Seguridad de los Sistemas de Información y Comunicaciones del Centro Criptológico Nacional (CCN-STIC Serie 800) establecen las políticas y procedimientos adecuados para la implementación de las medidas contempladas en el Esquema Nacional de Seguridad.
Concretamente la Guía CCN-STIC 805 considera la Política de Seguridad de la Información como un documento de alto nivel que define lo que significa "seguridad de la información" en una organización. El documento debe estar accesible por todos los miembros de la organización y redactado de forma sencilla, precisa y comprensible, dejando los detalles técnicos para otros documentos normativos de segundo nivel.
De conformidad con la Guía CCN-STIC-801, y dado el ámbito de aplicación de esta Política de Seguridad tanto a los órganos superiores de este Departamento como al resto de departamentos, entidades de derecho público y organismos autónomos de la Administración Pública de la Comunidad Autónoma de Canarias en el uso de los sistemas de información corporativos de Administración electrónica que gestione esta Consejería, se considera necesaria la incorporación de la figura del Administrador de la Seguridad del Sistema, el cual dependerá del Responsable del Sistema, para garantizar la operatividad y eficacia de las medidas de seguridad previstas en el ENS.
Por lo expuesto, visto el informe de la Dirección General de Telecomunicaciones y Nuevas Tecnologías, y en el ejercicio de la competencia conforme al artículo 2.2 de la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias,
D I S P O N G O:
Artículo 1.- Objeto y ámbito de aplicación.
1. La presente Orden tiene por objeto establecer la Política de Seguridad de la Información, en adelante, PSI, de la Consejería de Presidencia, Justicia e Igualdad en el ámbito de la Administración electrónica.
2. Esta PSI será de aplicación por todos los órganos superiores del Departamento, así como por los organismos autónomos dependientes del mismo. Se excluye de su aplicación a la Administración de Justicia, dado su propio ámbito regulatorio a través del Esquema Judicial de Interoperabilidad y Seguridad.
3. Así mismo esta Política de Seguridad será de aplicación por el resto de departamentos, entidades de derecho público y organismos autónomos de la Administración Pública de la Comunidad Autónoma de Canarias, en el uso de los sistemas de información corporativos de Administración electrónica que gestione esta Consejería.
Artículo 2.- Misión del Departamento.
Es misión de la Consejería de Presidencia, Justicia e Igualdad la propuesta y ejecución de las directrices del Gobierno de Canarias y de la gestión de los servicios y competencias que le son propias, conforme a su correspondiente Reglamento Orgánico.
Artículo 3.- Principios de la PSI.
Sin perjuicio de los principios básicos establecidos en el Esquema Nacional de Seguridad, la política de seguridad del Departamento y sus organismos autónomos en el ámbito de la Administración electrónica se desarrollará, con carácter general, de acuerdo a los siguientes principios:
a) Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.
b) Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.
c) Principio de disponibilidad y continuidad: se garantizará un alto nivel de disponibilidad en los sistemas de información y se dotarán de los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.
d) Principio de gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la seguridad de los sistemas de información.
e) Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los sistemas de información deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos.
f) Principio de concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad TIC de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.
g) Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad TIC.
h) Principio de mejora continua: se revisará el grado de eficacia de los controles de seguridad TIC implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública de la Comunidad Autónoma de Canarias.
i) Principio de seguridad TIC en el ciclo de vida de los sistemas de información: las especificaciones de seguridad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
j) Principio de función diferenciada: la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.
Artículo 4.- Definiciones.
A los efectos previstos en esta Orden, las definiciones, palabras, expresiones y términos han de ser entendidos en el siguiente sentido:
Gestión de riesgos: actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.
Infraestructura tecnológica corporativa: aquellos recursos físicos y lógicos, sobre los que se soportan los sistemas de información, los cuales gestiona el órgano superior competente en materia de telecomunicaciones y nuevas tecnologías.
Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.
Sistema de Información: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
Sistemas de Información corporativos: aquellos sistemas de información cuyo ámbito de aplicación y uso es general y común para toda la Administración Pública de la Comunidad Autónoma de Canarias.
Sistemas de Información propios: aquellos sistemas de información cuyo ámbito de aplicación es específico para un área concreta y su gestión pertenece a esta Consejería.
Artículo 5.- Marco normativo.
El marco normativo para el desarrollo de la gestión de los servicios y competencias de la Consejería es el siguiente:
a) El Decreto 331/2011, de 22 de diciembre , por el que se aprueba el Reglamento Orgánico de la Consejería de Presidencia, Justicia e Igualdad.
b) Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias.
c) Orden de 23 de enero de 2012, por la que se regula el procedimiento para recabar y emitir los informes preceptivos de la Inspección General de Servicios y de la Dirección General de Telecomunicaciones y Nuevas Tecnologías previstos en los artículos 6 y 10 del Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias.
d) Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.
e) Ley 11/2007, de 22 de junio , de acceso electrónico de los ciudadanos a los Servicios Públicos.
f) Ley Orgánica 15/1999, de 13 de diciembre , de Protección de Datos de Carácter Personal.
g) Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
h) Real Decreto 3/2010, de 8 de enero , por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Artículo 6.- Organización de la seguridad.
La estructura organizativa de la gestión de la seguridad de la información en el ámbito de la Administración electrónica de la Consejería de Presidencia, Justicia e Igualdad está compuesta por los siguientes agentes:
a) El Comité para la Gestión y Coordinación de la Seguridad de la Información.
b) Los Responsables de la Información.
c) Los Responsables del Servicio.
d) El Responsable de Seguridad.
e) El Responsable del Sistema.
Artículo 7.- Comité para la Gestión y Coordinación de la Seguridad de la Información.
1. Se crea el Comité para la Gestión y Coordinación de la Seguridad de la Información, como grupo de trabajo en el seno del Departamento y sus organismos autónomos.
2. El Comité para la Gestión y Coordinación de la Seguridad de la Información estará compuesto por:
a) Presidente: la persona titular de la Secretaría General Técnica de la Consejería.
b) Vocales:
La persona titular del órgano con competencias en materia de función pública.
La persona titular del órgano con competencias en materia de telecomunicaciones y tecnologías.
La persona titular del órgano con competencias en materia de inspección general de los servicios.
La persona titular del órgano con competencias en las relaciones con la Administración de Justicia.
La persona titular del órgano con competencias relativas a las relaciones institucionales, participación ciudadana y juventud.
La persona titular del organismo con competencias en formación y perfeccionamiento del personal de la Administración Pública Canaria.
La persona titular del organismo con competencias en materia de igualdad.
c) Secretario: una persona con vínculo funcionarial perteneciente al órgano superior con competencias en materia de telecomunicaciones o con competencias en materia de inspección de servicios, designado por el Presidente, que actuará con voz y sin voto.
3. El Comité para la Gestión y Coordinación de la Seguridad de la Información coordinará todas las actividades relacionadas con la seguridad de la información en el Departamento y sus organismos autónomos y ejercerá las siguientes funciones:
a) Elaborar los borradores de modificación y actualización de la PSI.
b) Analizar los riesgos e impulsar su evaluación.
c) Impulsar la actualización de los criterios y directrices sobre seguridad de la información.
d) Impulsar medidas para mejorar y reforzar los sistemas de seguridad y control.
e) Impulsar el cumplimiento y difusión de la PSI, promoviendo las actividades de concienciación y formación en materia de seguridad para el personal dentro del ámbito de aplicación de la PSI definido en la presente Orden.
f) Redactar los borradores de las disposiciones generales de seguridad de carácter básico para toda la Administración Pública de la Comunidad Autónoma de Canarias.
g) Elaborar los borradores de directrices y normas de seguridad generales dentro del ámbito de aplicación de la PSI definido en la presente Orden.
h) Elaborar la normativa de seguridad de segundo nivel, que según el artículo 15 de la presente Orden, se corresponde con las políticas específicas de seguridad y con las Normas de Seguridad TIC (en adelante, Normas STIC), de obligado cumplimiento.
i) Coordinar las decisiones y actuaciones de los Responsables de Seguridad.
j) Impulsar los proyectos para la adecuación al cumplimiento del Esquema Nacional de Seguridad.
k) Compartir experiencias de éxito en materia de seguridad entre sus miembros para velar por el cumplimiento de la PSI y su normativa de desarrollo.
l) Impulsar planes de mejora de la seguridad de la información de los sistemas de información corporativos que dan soporte al servicio de sede electrónica del Gobierno de Canarias y los sistemas de información de la Consejería de Presidencia, Justicia, e Igualdad.
m) Proponer la priorización de las actuaciones en materia de seguridad de la información cuando los recursos sean limitados.
n) Impulsar la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
4. El Comité ajustará su funcionamiento a las previsiones contenidas en el capítulo II del Título II de la Ley 30/1992, de 26 de noviembre , de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
5. El Comité se deberá reunir con carácter ordinario al menos una vez al año, y con carácter extraordinario cuando lo decida su Presidencia. Las reuniones se realizarán en horario de trabajo y, cuando proceda, por videoconferencia. No se percibirán indemnizaciones en concepto de asistencia por concurrencia al Comité.
6. El Comité podrá recabar de personal técnico la información o asesoramiento pertinente para el ejercicio de sus funciones. En caso necesario este personal podrá ser convocado por el Comité para su asistencia a las reuniones, en calidad de asesores, con voz pero sin voto.
7. Podrá acordarse la constitución de subgrupos de trabajo para el análisis, elaboración y ejecución de trabajos o actividades específicas, dentro del ámbito de sus funciones.
Artículo 8.- Los Responsables de la Información.
1. Conforme a los artículos 10 y 44 del ENS, el Responsable de la Información es la persona que establece las necesidades de seguridad de la información que se maneja y efectúa las valoraciones del impacto que tendría un incidente que afectara a su seguridad. Tiene además, en exclusiva, la potestad de modificar el nivel de seguridad requerido para la misma (Anexo II.5.7.2 del ENS).
2. Esta responsabilidad recaerá en el titular del órgano que gestione cada procedimiento o trámite.
3. Son funciones de cada Responsable de la Información, dentro de su ámbito de actuación, las siguientes:
a) Determinar los niveles de seguridad de la información tratada, valorando los impactos de los incidentes que afecten a la seguridad de la información (artículo 44 del ENS).
b) Son los responsables, junto a los Responsables del Servicio, de aceptar los riesgos residuales calculados en el análisis de riesgos, y de realizar su seguimiento y control.
4. Los Responsables de la Información son los determinados en el anexo de la presente Orden.
Artículo 9.- Los Responsables del Servicio.
1. Conforme al artículo 10 del ENS, el Responsable del Servicio es la persona que determina los requisitos de seguridad de los servicios prestados.
2. Esta responsabilidad recaerá en el titular del órgano que gestione cada servicio.
3. Respecto al proceso de gestión del riesgo, los Responsables del Servicio son los encargados, junto a los Responsables de la Información, de aceptar los riesgos residuales calculados en el análisis de riesgos, y de realizar su seguimiento y control.
4. Los Responsables de los Servicios son los determinados en el anexo de la presente Orden.
Artículo 10.- El Responsable de Seguridad.
1. Conforme al artículo 10 del ENS, el Responsable de Seguridad es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
2. Esta responsabilidad recaerá en la persona titular de la Secretaría General Técnica de la Consejería de Presidencia, Justicia e Igualdad.
3. Serán funciones del Responsable de Seguridad las siguientes:
a) Promover la seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.
b) Proponer la normativa de seguridad de segundo nivel, que según el artículo 15 de la presente Orden, se corresponde con las políticas específicas de seguridad y con las normas STIC, de obligado cumplimiento.
c) Aprobar la normativa de seguridad de tercer nivel, que según el artículo 15 de la presente Orden, se corresponde a los procesos, procedimientos STIC e instrucciones técnicas STIC.
d) Procurar que la documentación de seguridad se mantenga organizada y actualizada, y de gestionar los mecanismos de acceso a la misma.
e) Promover las actividades de concienciación y formación en materia de seguridad en su ámbito de responsabilidad.
f) Realizar la coordinación y seguimiento de la implantación de los proyectos de adecuación al Esquema Nacional de Seguridad.
g) Realizar los preceptivos análisis de riesgos, de seleccionar las salvaguardas a implantar y de revisar el proceso de gestión del riesgo, elevando un informe anual al Comité.
h) Promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información, y analizar los informes de auditoría, elaborando las conclusiones a presentar a los Responsables del Servicio y los Responsables de la Información para que adopten las medidas correctoras adecuadas.
i) Coordinar el proceso de Gestión de la Seguridad.
j) Firmar la Declaración de Aplicabilidad, que comprende la relación de medidas de seguridad seleccionadas para un sistema (art.º. 27 y Anexo II.2 del ENS).
k) Elaborar informes periódicos de seguridad que incluyan los incidentes más relevantes en cada período.
l) Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y las medidas de seguridad que deben aplicarse de acuerdo con lo previsto en el Anexo II del ENS.
m) Proponer la Declaración de Conformidad, para su aprobación por el titular del Departamento, previo informe del Comité para la Gestión y Coordinación de la Seguridad de la Información.
n) Verificar que las medidas de seguridad son adecuadas para la protección de la información y los servicios.
4. Cuando la complejidad, distribución, separación física de sus elementos o número de usuarios de los sistemas de información lo justifiquen, el Responsable de Seguridad podrá designar los responsables de seguridad delegados que considere necesarios, que tendrán dependencia funcional directa de aquel y serán responsables en su ámbito de todas aquellas acciones que les delegue el mismo.
5. Para el ejercicio de sus funciones podrá contar con el asesoramiento y apoyo del Comité para la Gestión y Coordinación de la Seguridad de la Información.
Artículo 11.- El Responsable del Sistema.
1. Esta responsabilidad recaerá en el titular del órgano superior competente en materia de telecomunicaciones y nuevas tecnologías para los sistemas de información corporativos y para los sistemas de información propios de esta Consejería.
2. Los sistemas de información propios de esta Consejería se alojarán en la infraestructura tecnológica corporativa.
3. Serán funciones del Responsable del Sistema las siguientes:
a) Desarrollar, operar y mantener el sistema de Información durante todo su ciclo de vida, así como aprobar los cambios que afecten a la seguridad del modo de operación del sistema.
b) Implantar las medidas necesarias para garantizar la seguridad del sistema durante todo su ciclo de vida, siguiendo las indicaciones del Responsable de Seguridad.
c) Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.
d) Suspender el manejo de una determinada información o la prestación de un servicio electrónico si es informado de deficiencias graves de seguridad, previo acuerdo con el Responsable de dicha información o servicio, y con el Responsable de Seguridad.
4. El Administrador de la Seguridad de los sistemas de información corporativos y sistemas de información propios de esta Consejería, dependerá del órgano superior competente en materia de telecomunicaciones y nuevas tecnologías.
5. Serán funciones del Administrador de la Seguridad del Sistema las siguientes:
a) La implementación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.
b) La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad de los sistemas de información.
c) La gestión de las autorizaciones concedidas a los usuarios del sistema.
d) La aplicación de los procedimientos de seguridad.
e) Aprobar los cambios de configuración del sistema de información.
f) Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.
g) Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
h) Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema.
i) Informar a los Responsables de Seguridad y del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.
j) Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.
Artículo 12.- Resolución de conflictos.
1. En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la PSI, este será resuelto por el superior jerárquico de los mismos. En su defecto, será resuelto por el titular del Departamento, oído el Comité para la Gestión y Coordinación de la Seguridad de la Información.
2. En caso de conflicto entre los responsables que componen la estructura organizativa de la PSI y los definidos en seguimiento de la normativa de protección de datos de carácter personal, prevalecerá la decisión que determine el responsable del fichero que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.
Artículo 13.- Obligaciones del personal.
1. Todo el personal que presta servicios dentro del ámbito de aplicación de la PSI definido en el artículo 1, tiene la obligación de conocer y cumplir la Política de Seguridad de la Información, aprobada por la presente Orden, y la normativa de seguridad derivada, siendo responsabilidad del Comité disponer los medios necesarios para que la información llegue a los afectados.
2. Todo el personal que se incorpore o vaya tener acceso a alguno de los sistemas de información o a la información gestionada por ellos deberá ser informado de la PSI.
Artículo 14.- Gestión de riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre los sistemas de información, conforme a los principios de gestión de la seguridad basada en los riesgos (artículo 6 del ENS) y reevaluación periódica (artículo 9 del ENS).
2. El Responsable de Seguridad es el encargado de realizar los preceptivos análisis de riesgos, y de seleccionar las salvaguardas a implantar.
3. Los Responsables de la Información y de los Servicios son los responsables de los riesgos sobre la información y sobre los servicios, respectivamente, y por tanto de aceptar los riesgos residuales calculados en el análisis, y de realizar su seguimiento y control.
4. El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse cada año por parte del Responsable de Seguridad, que elevará un informe al Comité para la Gestión y Coordinación de la Seguridad de la Información.
Artículo 15.- Desarrollo normativo de la PSI. Documentación de seguridad.
1. El cuerpo normativo sobre seguridad de la información será de obligado cumplimiento y se desarrollará en tres niveles según el ámbito de aplicación y nivel de detalle técnico, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:
a) Primer nivel normativo: la Orden de 31 de julio de 2013 por la que se establece el marco común y las directrices básicas de la política de seguridad de la información de la Administración Pública de la Comunidad Autónoma de Canarias, la presente Orden, y las disposiciones generales, directrices y normas de seguridad generales dentro del ámbito de aplicación de la PSI definido en el artículo 1.
b) Segundo nivel normativo: Políticas Específicas de Seguridad de la Información y Normas de Seguridad TIC (Normas STIC). Las Políticas Específicas desarrollan con un mayor grado de detalle la PSI dentro de un ámbito determinado. Las Normas dan respuesta, sin entrar en detalles de implementación ni tecnológicos, a qué se puede hacer y qué no en relación a un cierto tema desde el punto de vista de la seguridad: qué se considera un uso apropiado o inapropiado, las consecuencias derivadas del incumplimiento, entre otros aspectos.
Los documentos relativos a este segundo nivel normativo los deberá elaborar el Comité para la Gestión y Coordinación de la Seguridad de la Información. Serán aprobados, a propuesta del Responsable de Seguridad, por el titular del Departamento.
c) Tercer nivel normativo: Procesos y Procedimientos STIC e Instrucciones Técnicas STIC. Son documentos que dan respuesta, incluyendo detalles de implementación y tecnológicos, a cómo se puede realizar una determinada tarea respetando los principios de seguridad de la organización, y los procesos internos en ella establecidos.
Los Procesos, Procedimientos STIC e Instrucciones Técnicas STIC serán aprobados por el Responsable de Seguridad.
2. Aparte de los documentos citados en el apartado 1, la documentación de seguridad del sistema podrá contar, bajo criterio del Responsable de Seguridad, con otros documentos de carácter no vinculante: recomendaciones, buenas prácticas, informes, registros, evidencias electrónicas, entre otros aspectos.
3. El Responsable de Seguridad será responsable de mantener la documentación de seguridad actualizada y organizada, y de gestionar los mecanismos de acceso a la misma.
4. El Comité establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo normativo con el propósito de normalizarlo en la medida de lo posible en todo el ámbito de aplicación de la PSI.
Artículo 16.- Protección de datos de carácter personal.
1. En lo que se refiere a los ficheros con datos de carácter personal, estarán referenciados en el correspondiente Documento de Seguridad donde se harán constar tanto los ficheros afectados como los responsables correspondientes.
2. Todos los sistemas de información de la Administración Pública de la Comunidad Autónoma de Canarias se ajustarán a los niveles de seguridad requeridos por la normativa de protección de datos de carácter personal. En caso de conflicto con la normativa de seguridad indicada en el artículo 15 prevalecerá la norma que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.
Artículo 17.- Formación y concienciación.
1. El Departamento deberá desarrollar actividades formativas específicas orientadas a la concienciación y formación de sus empleados públicos, así como a la difusión entre los mismos de la PSI y de su desarrollo normativo.
2. El Comité para la Gestión y Coordinación de la Seguridad de la Información y el Responsable de Seguridad se encargarán de promover las actividades de formación y concienciación en materia de seguridad, según lo indicado en el artículo 7, apartado 3, letra e) y en el artículo 10, apartado 3, letra e) de la presente Orden.
Artículo 18.- Actualización de la PSI.
La propuesta de revisión de la PSI la elaborará el Responsable de Seguridad con el apoyo del Comité para la Gestión y Coordinación de la Seguridad de la Información y serán aprobadas por el titular del Departamento.
Artículo 19.- Auditoría.
1. Los sistemas de información corporativos, así como los sistemas de información propios de este Departamento y sus organismos autónomos serán objeto, al menos cada dos años, de una auditoría regular ordinaria interna o externa que verifique el cumplimiento de los requerimientos del ENS. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad requeridas.
2. Los informes de auditoría quedarán a disposición del Comité para la Gestión y Coordinación de la Seguridad de la Información.
Disposición Adicional Única.
La aplicación de las previsiones contenidas en esta Orden, no supondrá incremento del gasto público. Por tanto, los órganos y entidades afectadas deberán desarrollar las medidas derivadas de su cumplimiento ateniéndose a sus disponibilidades presupuestarias ordinarias, no dando lugar, en ningún caso, a planteamientos de necesidades adicionales de financiación.
Disposiciones Finales.
Primera.- Facultad para dictar instrucciones de interpretación y aplicación.
Se faculta a la Inspección General de Servicios y a la Dirección General de Telecomunicaciones y Nuevas Tecnologías, para dictar las instrucciones que sean necesarias para la correcta interpretación y aplicación de la presente Orden.
Segunda.- Entrada en vigor.
La presente Orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de Canarias.
Anexos
Omitidos.
