ORDEN DE 10 DE ENERO DE 2017, POR LA QUE SE REGULA LA COMPOSICIÓN, ATRIBUCIONES, FUNCIONAMIENTO Y MÉTODO DE TRABAJO DEL COMITÉ DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES DE LA CONSEJERÍA DE ECONOMÍA Y CONOCIMIENTO.
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, en su artículo 42.2 creó el Esquema Nacional de Seguridad, cuyo objeto es el establecimiento de la política de seguridad en la utilización de medios electrónicos en el ámbito de dicha Ley, estando constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
El Real Decreto 3/2010, de 8 de enero 
, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, determina que todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente, entendiendo por tales en las Comunidades Autónomas a los responsables de la ejecución de la acción del gobierno autonómico en un sector de actividad específico, de acuerdo con lo establecido en el respectivo estatuto de autonomía y normas de desarrollo.
El artículo 1.2 del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, dispone que cada entidad incluida en su ámbito de aplicación desarrollará y aprobará el documento de política de seguridad TIC de la entidad, así como las normas y procedimientos que adecuen, en su caso, las directrices comunes de la Administración de la Junta de Andalucía a sus particularidades.
El artículo 10 del citado Decreto 1/2011, de 11 de enero, dispone que en cada entidad se creará un Comité de Seguridad TIC como órgano colegiado de dirección y seguimiento en materia de seguridad de los activos TIC de su titularidad o cuya gestión tenga encomendada, cuya composición, atribuciones, funcionamiento y método de trabajo deberá ser aprobada, en el caso de las Consejerías, mediante Orden de la persona titular de la misma.
El Decreto de la Presidenta 12/2015, de 17 de junio, de la Vicepresidencia y sobre reestructuración de Consejerías, dispone en su artículo 4 que corresponden a la Consejería de Economía y Conocimiento las competencias atribuidas a la Secretaría General de Economía y a la Secretaría General de Universidades, Investigación y Tecnología, hasta entonces adscritas a la Consejería de Economía, Innovación, Ciencia y Empleo.
Con la presente Orden se pretende dar cumplimiento al mandato contenido en el Decreto 1/2011, de 11 de enero , regulando la composición, atribuciones, funcionamiento y método de trabajo del Comité de Seguridad de las Tecnologías de la Información y Comunicaciones de la Consejería de Economía y Conocimiento.
En su virtud, de conformidad con lo dispuesto en el citado artículo 10 del Decreto 1/2011, de 11 de enero, y en ejercicio de las atribuciones conferidas por el artículo 44.2 de la Ley 6/2006, de 24 de octubre, del Gobierno de la Comunidad Autónoma de Andalucía,
D I S P O N G O
Artículo 1. Comité de Seguridad de las Tecnologías de la Información y Comunicaciones de la Consejería de Economía y Conocimiento.
El Comité de Seguridad de las Tecnologías de la Información y Comunicaciones (en adelante el Comité de Seguridad TIC) de la Consejería de Economía y Conocimiento, es el órgano colegiado de dirección y seguimiento en materia de seguridad de los activos TIC de titularidad de la Consejería o cuya gestión tenga encomendada.
Artículo 2. Funciones del Comité de Seguridad TIC.
1. Al Comité de Seguridad TIC le corresponde velar por la aplicación en el ámbito de la Consejería de Economía y Conocimiento y sus servicios periféricos en las Delegaciones Territoriales de Economía, Innovación, Ciencia y Empleo, de las previsiones contenidas en el Real Decreto 3/2010, de 8 de enero , por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica, y en el Decreto 1/2011, de 11 de enero , por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, así como en la Ley Orgánica 15/1999, de 13 de diciembre , de Protección de Datos de Carácter Personal.
2. En particular, le corresponde:
a) Atender las peticiones en materia de seguridad TIC de los centros directivos de la Consejería.
b) Informar regularmente a la persona titular de la Consejería del estado de la seguridad de las tecnologías de la información y comunicaciones en su ámbito.
c) Promover la mejora continua del sistema de gestión de la seguridad TIC.
d) Elaborar la estrategia de evolución de la seguridad TIC de la Consejería, en el marco de las directrices e iniciativas estratégicas emanadas del Comité de Seguridad TIC de la Junta de Andalucía.
e) Nombrar a la persona responsable de seguridad TIC en la Consejería.
f) Coordinar los esfuerzos de todo el equipo humano con responsabilidad en materia de seguridad TIC para asegurar que son consistentes y están alineados con la estrategia decidida, evitando duplicidades.
g) Elaborar y revisar regularmente la política de seguridad TIC de la Consejería y proponer su aprobación.
h) Aprobar las normas y procedimientos de seguridad TIC de la Consejería.
i) Elaborar y aprobar los requisitos de formación y cualificación de las personas administradoras, operadoras y usuarias desde el punto de vista de seguridad TIC.
j) Monitorizar los principales riesgos residuales asumidos por la Consejería y recomendar posibles actuaciones respecto a ellos.
k) Monitorizar el desempeño de los procesos de gestión de incidentes de seguridad y recomendar posibles actuaciones respecto a ellos, velando en particular por la coordinación en la gestión de incidentes de seguridad TIC.
l) Promover la realización de las auditorias periódicas que permitan verificar el cumplimiento de las obligaciones de la Consejería en materia de seguridad TIC.
m) Aprobar los planes de mejora de la seguridad TIC en la Consejería, velando en particular por la coordinación entre diferentes planes que puedan coexistir.
n) Priorizar las actuaciones en materia de seguridad TIC cuando los recursos sean limitados.
o) Velar para que la seguridad TIC se tenga en cuenta en todos los proyectos desde su especificación inicial hasta su puesta en producción, procurando la creación y utilización de servicios horizontales que reduzcan duplicidades y permitan un funcionamiento homogéneo de todos los sistemas.
p) Resolver los conflictos de competencia que se puedan suscitar entre los diferentes responsables de la gestión de la seguridad TIC o elevar propuesta para resolverlos, en su caso.
Artículo 3. Composición del Comité de Seguridad TIC.
1. El Comité de Seguridad TIC estará integrado por las siguientes personas:
a) Presidencia: La persona titular de la Secretaría General Técnica.
b) Vicepresidencia: Será ejercida por la persona que designe la Presidencia entre el personal funcionario que ocupe puesto de nivel 30 adscrito a la Secretaría General Técnica.
c) Vocalías:
La persona titular del Servicio de Informática de la Secretaría General Técnica.
La persona responsable de seguridad TIC en la Consejería.
Una persona en representación de cada uno de los siguientes órganos directivos, designada por sus titulares entre el personal funcionario a su servicio con nivel 28 o superior:
1.º Viceconsejería.
2.º Secretaría General de Economía.
3.º Secretaría General de Universidades, Investigación y Tecnología.
d) Secretaría: Será ejercida, con voz pero sin voto, por la persona designada por la Presidencia del Comité de Seguridad TIC, entre el personal funcionario de la Secretaría General Técnica.
2. En caso de vacante, ausencia, enfermedad u otras causas legales, la persona titular de la Presidencia será sustituida por la persona titular de la Vicepresidencia. La Vicepresidencia podrá ser sustituida por la persona que ocupe la Vocalía del Servicio de Informática de la Secretaría General Técnica. Las Vocalías y la Secretaría podrán ser sustituidas por las personas suplentes que, al tiempo de su designación, se hayan determinado. Las suplencias de las Vocalías y de la Secretaría deberán recaer sobre personas con la misma cualificación y requisitos establecidos para sus titulares.
3. En la composición del Comité de Seguridad TIC se deberá respetar una representación equilibrada entre mujeres y hombres que lo integran, conforme a lo establecido en el artículo 19.2 de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía.
Artículo 4. Funcionamiento y método de trabajo del Comité de Seguridad TIC.
1. El Comité de Seguridad TIC se reunirá con carácter ordinario, al menos, tres veces al año y, con carácter extraordinario, cuando lo decida la persona titular de la Presidencia de oficio o a propuesta de alguno de sus miembros, y siempre que:
a) Se produzcan incidencias de seguridad graves que afecten a cualquier sistema de la Consejería.
b) Surjan nuevas necesidades de seguridad que requieran la participación del Comité.
2. El Comité de Seguridad TIC se podrá constituir, convocar, celebrar sus sesiones, adoptar acuerdos y remitir actas, tanto de forma presencial como a distancia, salvo que su reglamento interno recoja expresa y excepcionalmente lo contrario.
3. Los miembros del Comité de Seguridad TIC podrán proponer a la Presidencia, individual o colectivamente, la inclusión de asuntos en el orden del día. La propuesta deberá realizarse por escrito dirigido a la Presidencia y al resto de los miembros, con una antelación mínima de 24 horas de la convocatoria.
4. A las sesiones del Comité de Seguridad TIC podrán asistir en calidad de asesoras, con voz pero sin voto, las personas que en cada caso estime pertinente la Presidencia, por iniciativa propia o a propuesta de sus miembros.
5. El Comité de Seguridad TIC podrá crear en su seno, las ponencias técnicas o grupos de trabajo que requiera el normal desarrollo de sus funciones.
6. El funcionamiento del Comité de Seguridad TIC y, en su caso, de las ponencias técnicas o grupos de trabajo, se ajustará a lo dispuesto en la presente Orden y a las normas establecidas para el funcionamiento de los órganos colegiados por la Sección 3.ª del Capítulo II del Título Preliminar de la Ley 40/2015, de 1 de octubre , de Régimen Jurídico del Sector Público, y por la Sección 1.ª del Capítulo II del Título IV de la Ley 9/2007, de 22 de octubre .
Disposición final única. Entrada en vigor.
La presente Orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de la Junta de Andalucía.
