ORDEN DE 16 DE MARZO DE 2015, DEL CONSEJERO DE SANIDAD, BIENESTAR SOCIAL Y FAMILIA, POR LA QUE SE APRUEBA LA POLÍTICA DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN EN EL SERVICIO ARAGONÉS DE SALUD Y SE CREAN EL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN Y LA FIGURA DEL RESPONSABLE DE SEGURIDAD.
El desarrollo y el impulso de la Sociedad de la Información y la aplicación de las tecnologías en los campos de la informática y las telecomunicaciones, son ya un hecho consolidado, que afecta tanto a la sociedad como a los poderes públicos, siendo éstos los responsables de generar confianza en el uso global por parte de la ciudadanía de los medios tecnológicos en sus relaciones con la Administración Pública. Para ello, dichos medios deben ser seguros, garantizando la confidencialidad, integridad y disponibilidad de la información y de los servicios telemáticos en los que se apoya, permitiendo tanto a la ciudadanía como a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
En este sentido, la Ley Orgánica 5/2007, de 20 de abril 
, de reforma del Estatuto de Autonomía de Aragón, en su artículo 28.2, establece que los poderes públicos deberán promover las condiciones que garanticen en el territorio de Aragón el acceso sin discriminaciones a los servicios audiovisuales y a las tecnologías de la información y la comunicación.
La Ley 11/2007, de 22 de junio , de acceso electrónico de los ciudadanos a los Servicios Públicos, señala entre sus fines el crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y en especial los relacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos.
Del mismo modo, la Ley Orgánica 15/1999, de 13 de diciembre , de Protección de Datos de Carácter Personal, así como su Reglamento de Desarrollo 1720/2007, aportan criterios para establecer la proporcionalidad entre las medidas de seguridad y la información a proteger, información que en el caso del Servicio Aragonés de Salud es en su mayor parte de nivel alto, según la citada ley orgánica, siendo por ello mayor el celo y la necesidad de implementar cuantas medidas sean necesarias para garantizar la confidencialidad, disponibilidad e integridad de la información.
Estos fines han sido definidos y desarrollados por el Real Decreto 3/2010, de 8 de enero , por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Es precisamente en esta norma donde, en su artículo 11, se establece que todos los órganos superiores de las Administraciones Públicas deberán contar con una Política de Seguridad, así como con un comité de seguridad de la información y un responsable de seguridad.A estos efectos, conforme a lo establecido en el mismo artículo, se consideran órganos superiores, los responsables directos de la ejecución de la acción del gobierno, central, autonómico o local, en un sector de actividad específico.
Por otra parte, de acuerdo con el Decreto Legislativo 2/2004, de 30 de diciembre , del Gobierno de Aragón, por el que se aprueba el texto refundido de la Ley del Servicio Aragonés de Salud, el Servicio Aragonés de Salud se configura como un organismo autónomo, que adscrito al Departamento responsable en materia de Salud de la Administración de la Comunidad Autónoma, está dotado de personalidad jurídica propia y plena capacidad de obrar, patrimonio propio y recursos humanos, financieros y materiales, al objeto de hacer efectivo el derecho a la protección de la salud en el ámbito de la Comunidad Autónoma, de acuerdo con lo establecido en los artículos 43 y concordantes de la Constitución Española.
En consecuencia con todo lo expuesto, la presente orden viene a establecer el compromiso del Servicio Aragonés de Salud con la seguridad de los sistemas de información, y dar cumplimiento a las disposiciones del Esquema Nacional de Seguridad, definiendo así los objetivos y criterios básicos para el tratamiento de la misma, y sentando los pilares del marco normativo de seguridad del Servicio Aragonés de Salud, concretados en el Comité de Seguridad de la Información, y en la figura del Responsable de Seguridad. De este modo, la presente orden, aprueba y da a conocer la Política de Seguridad de las Tecnologías de la Información y la Comunicación del servicio Aragonés de Salud, sus objetivos y principios básicos, el marco de referencia común y la descripción de la estructura organizativa sobre la que se apoyará el gobierno de la seguridad en el Servicio Aragonés de Salud.
Por todo ello, y en virtud de las competencias previstas en el Decreto 337/2011, de 6 de octubre , del Gobierno de Aragón, por el que se aprueba la estructura orgánica del Departamento de Sanidad, Bienestar Social y Familia, y en el artículo 43.4 de la Ley 2/2009, de 11 de mayo, del Presidente y del Gobierno de Aragón, dispongo:
Artículo primero.- Política de Seguridad de la Información.
Se aprueba la Política de Seguridad de las Tecnologías de la Información y la Comunicación (en adelante Política de Seguridad TIC), del Servicio Aragonés de Salud, recogida en el anexo, que se ha de aplicar en el tratamiento de los activos TIC de su titularidad o cuya gestión tenga encomendada, conformando, junto a la normativa que la desarrolle, el marco normativo de seguridad TIC del Servicio Aragonés de Salud, sin perjuicio de las directrices establecidas o que puedan establecerse por otros órganos competentes en materia de sistemas de información del Gobierno de Aragón.
Artículo segundo.- Definiciones y estándares.
A los efectos previstos en esta resolución, las definiciones y estándares han de ser entendidas en el sentido indicado en el Esquema Nacional de Seguridad.
Disposición final única.- Entrada en vigor.
La presente orden entrará en vigor el día siguiente al de su publicación en el "Boletín Oficial de Aragón".
