ORDEN DE 30 DE MARZO DE 2021, POR LA QUE SE ESTABLECE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA CONSEJERÍA DE AGRICULTURA, GANADERÍA, PESCA Y DESARROLLO SOSTENIBLE.
PREÁMBULO
El Decreto del Presidente 3/2020, de 3 de septiembre 
, de la Vicepresidencia y sobre reestructuración de Consejerías, establece la organización en Consejerías de la Administración de la Junta de Andalucía y mantiene para la Consejería de Agricultura, Ganadería, Pesca y Desarrollo Sostenible (en adelante Consejería), las competencias y entidades adscritas que le fueron asignadas en el momento de su creación por el Decreto del Presidente 2/2019, de 21 de enero , de la Vicepresidencia y sobre reestructuración de Consejerías, salvo las atribuidas a la Consejería de la Presidencia, Administración Pública e Interior en relación con el Comisionado para el Cambio Climático y el Modelo Energético. El Decreto 103/2019, de 12 de febrero , modificado por el Decreto 114/2020 , determina la estructura orgánica de la Consejería y las funciones que corresponden a sus órganos directivos en aras de la mejor gestión de las competencias asignadas.
En el ámbito de actuación de la Consejería, los avances tecnológicos de la informática, las telecomunicaciones y de la sociedad de la información son ya un hecho consolidado, que afecta no solo a la sociedad sino también a la Consejería como poder público. Son los poderes públicos los responsables de generar confianza en el uso por parte de la ciudadanía de los medios tecnológicos en sus relaciones con la Administración Pública y confianza en el uso seguro que realiza esta de la información que registra, almacena y procesa. Para conseguir esta confianza, permitiendo tanto a la ciudadanía, los profesionales y las empresas, como a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes, los medios tecnológicos utilizados deben ser seguros y para ello se debe garantizar la confidencialidad, integridad y disponibilidad de la información, de los sistemas, de las comunicaciones y de los servicios telemáticos, al igual que la vigilancia, protección de las personas, órganos, edificios, y establecimientos y dependencias propias de la Consejería, como garantía de funcionamiento de nuestras instalaciones y de la seguridad de los personas usuarias de nuestros servicios.
Las Leyes 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, vienen a configurar un escenario en el que la tramitación electrónica debe constituir la actuación habitual de las Administraciones en sus múltiples vertientes de gestión interna, de relación con la ciudadanía y de relación de aquellas entre sí.
En concreto, la Ley 39/2015, de 1 de octubre , tiene como uno de sus objetivos centrales regular las relaciones entre las Administraciones y la ciudadanía y empresas, teniendo en cuenta el desarrollo de las tecnologías de la información y comunicación de los últimos años y cómo este afecta a las relaciones entre estos agentes. Pretende implantar una Administración totalmente electrónica, interconectada y transparente, mejorando la agilidad de los procedimientos administrativos y reduciendo los tiempos de tramitación. Por su parte, la Ley 40/2015, de 1 de octubre , procura dotar a nuestro sistema legal de una norma comprensiva del régimen jurídico de las Administraciones Públicas, regulando el funcionamiento interno de cada Administración y de las relaciones entre ellas.
El Estatuto de Autonomía para Andalucía, en su artículo 34, reconoce el derecho a acceder y usar las nuevas tecnologías y a participar activamente en la sociedad del conocimiento, la información y la comunicación, mediante los medios y recursos que la ley establezca. Asimismo, el artículo 58.1.2.º atribuye a la Comunidad Autónoma de Andalucía competencias exclusivas sobre el régimen de las nuevas tecnologías relacionadas con la Sociedad de la Información y del Conocimiento, en el marco de la legislación del Estado.
Por otro lado, la Ley 9/2007, de 22 de octubre , de la Administración de la Junta de Andalucía, señala en su artículo 7.2 que los principios que rigen las relaciones que mantenga la Administración de la Junta de Andalucía con la ciudadanía y con otras Administraciones Públicas a través de redes abiertas de telecomunicación son los de simplificación y agilización de trámites, libre acceso, accesibilidad universal y confidencialidad en el tratamiento de la información, y de seguridad y autenticidad en orden a la identificación de las partes y el objeto de la comunicación. Para ello establece que estos sistemas deben cumplir con el requisito de existencia de medidas de seguridad que eviten la interceptación y alteración de las comunicaciones, así como los accesos no autorizados. En este mismo texto legal se abunda en materia de seguridad señalándose que los medios o soportes en que se almacenen los documentos electrónicos contarán con las medidas de seguridad que garanticen la integridad, protección y conservación de los documentos almacenados, así como la identificación de las personas usuarias y el control de acceso de los mismos.
Para el desarrollo de esta Política de seguridad de la información de la Consejería, se ha seguido lo dispuesto en el Real Decreto 3/2010, de 8 de enero , por el que se regula el Esquema Nacional de Seguridad y su modificación mediante Real Decreto 951/2015, de 23 de octubre, el Decreto 1/2011, de 11 de enero , por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y su modificación mediante el Decreto 70/2017, de 6 de junio, y la Orden de 9 de junio de 2016, por la que se efectúa el desarrollo de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
Adicionalmente, se tienen en cuenta en esta Política de Seguridad los aspectos de seguridad digital requeridos por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) y en la Ley Orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y garantía de los derechos digitales.
Igualmente se ha atendido a lo dispuesto en el Decreto 171/2020, de 13 de octubre , por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía contra riesgos intencionales y que integra en un único Comité a las personas responsables de la Seguridad Interior de los activos de cada Consejería con las personas responsables de la Seguridad TIC.
Se han tenido también en cuenta los preceptos requeridos por la Ley 8/2011, de 28 de abril , por la que se establecen medidas para la protección de las infraestructuras críticas y de su correspondiente Real Decreto 704/2011, de 20 de mayo , por el que se aprueba el Reglamento de protección de las infraestructuras críticas, al ser la Consejería operador de este tipo de infraestructuras.
Igualmente, debido a la caracterización de la Consejería como operador de servicios esenciales, se tiene en cuenta lo establecido por el Real Decreto-ley 12/2018, de 7 de septiembre , de seguridad de las redes y sistemas de información, que ha transpuesto a nuestra normativa nacional la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
En relación con ámbitos concretos de actuación de la Consejería, se han tenido en cuenta los requisitos concretos de disponibilidad de la información ambiental establecidos por la Ley 27/2006, de 18 de julio , por la que se regulan los derechos de acceso a la información, de participación pública y de acceso a la justicia en materia de medio ambiente.
Se contempla también que la Consejería, en su calidad de Organismo Pagador de Fondos Europeos, está obligada a implantar un sistema de gestión de seguridad de la información en base a lo dispuesto en el Anexo I, apartado 3.B del Reglamento Delegado (UE) núm. 907/2014 de la Comisión, de 11 de marzo de 2014, que completa el Reglamento (UE) núm. 1306/2013 del Parlamento Europeo y del Consejo en lo relativo a los organismos pagadores y otros órganos, la gestión financiera, la liquidación de cuentas, las garantías y el uso del euro.
En la elaboración de esta política de seguridad de la información, asimismo, se han tenido en cuenta el contexto de la Red Corporativa de Telecomunicaciones de la Administración de la Junta de Andalucía, creada por el Acuerdo del Consejo de Gobierno de 2 de junio de 1998, y de los principales sistemas de información corporativos de las entidades que forman parte de la Administración de la Junta de Andalucía.
Esta política de seguridad de la información establece el compromiso de la Consejería con la seguridad integral de sus activos, define los objetivos y criterios básicos para el tratamiento de la misma, sienta los pilares del marco normativo de seguridad en este organismo y la estructura organizativa y de gestión que velará por su cumplimiento, utilizando el concepto de información como eje vertebrador que pone en valor a los diferentes tipos de activos (personas, dependencias, infraestructuras, sistemas de información, equipamiento TIC...) que permiten su gestión.
Por otra parte, de acuerdo con el artículo 5 de la Ley 12/2007, de 26 de noviembre, para la promoción de la igualdad de género en Andalucía, esta norma integra el principio de igualdad de género de forma transversal en su elaboración, garantizando con ello un impacto positivo en la igualdad de oportunidades entre mujeres y hombres.
En su virtud, a propuesta del Secretario General Técnico, conforme a lo establecido en el Decreto 103/2019, de 12 de febrero , por el que se establece la estructura orgánica de la Consejería de Agricultura, Ganadería, Pesca y Desarrollo Sostenible, y en uso de las facultades que me confiere el artículo 44.2 de la Ley 6/2006, de 24 de octubre, del Gobierno de la Comunidad Autónoma de Andalucía,
DISPONGO
CAPÍTULO I
Disposiciones generales
Artículo 1. Objeto.
1. La presente orden tiene por objeto establecer la política de seguridad de la información (en adelante PSI), en el ámbito de la Consejería de Agricultura, Ganadería, Pesca y Desarrollo Sostenible (en adelante Consejería), así como su marco organizativo y tecnológico. El alcance de la PSI engloba cualquier aspecto específico relativo a la política de seguridad de las tecnologías de la información y comunicaciones (en adelante TIC) y a la política de seguridad interior.
2. La presente orden constituye el documento de política de seguridad de la información de la Consejería.
Artículo 2. Misión de la Consejería
1. La misión de la Consejería se corresponde con la propuesta y ejecución de las directrices del Gobierno de Andalucía en relación con las competencias que les son atribuidas en el artículo 1 del Decreto 103/2019, de 12 de febrero, por el que se establece la estructura orgánica de la Consejería, en la redacción del mismo dada por el Decreto 114/2020 .
Artículo 3. Ámbito de aplicación.
1. La política de seguridad de la información de la Consejería será de aplicación además de a sus órganos directivos centrales y periféricos, a las entidades vinculadas o dependientes de la misma, en coordinación con lo establecido en las posibles políticas de seguridad propias de estas.
2. Deberá ser observada por todo el personal que acceda a sus sistemas de información o a la propia información que sea gestionada por la Consejería, mediante el uso de activos de tecnologías de la información y comunicaciones o de cualquier otro tipo, con independencia de cuál sea su destino, adscripción o relación con la misma.
Artículo 4. Marco normativo.
1. Se asume como marco normativo general el que en cada momento aplique a la Consejería en virtud de su naturaleza legal y sus competencias.
2. Se asume como marco normativo específico en seguridad TIC el que se defina, en virtud de la Disposición adicional primera del Decreto 1/2011, de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y su modificación mediante el Decreto 70/2017, de 6 de junio, por la Consejería competente en materia de coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones, a propuesta del Comité de Seguridad TIC de la Junta de Andalucía.
3. La Consejería podrá ampliar y desarrollar su marco documental específico en materia de seguridad de la información en los términos previstos en el artículo 21 de esta orden.
4. La normativa aplicable en los ámbitos anteriormente mencionados deberá estar recogida en un listado de requisitos legales aplicables, disponible para su consulta y que tendrá que mantenerse actualizado.
CAPÍTULO II
Política de seguridad de la información
Artículo 5. Objetivos de la política de seguridad de la información.
1. Son objetivos de la política de seguridad de la información de la Consejería:
a) Garantizar la seguridad de la información, protegiendo los activos o recursos de información.
b) Crear la estructura básica de organización de la seguridad de la información de la Consejería, así como los mecanismos para su posible ampliación.
c) Marcar las directrices, los objetivos y los principios básicos de seguridad de la información de la organización.
d) Orientar la organización hacia la prestación de servicios basados en la gestión de riesgos, a través de un único modelo integral de gestión de la seguridad de la información, que cubra un ciclo continuo de mejora.
e) Servir de base para el desarrollo de las normas, procedimientos y procesos de gestión de la seguridad de la información.
2. Estos objetivos incorporan para el ámbito de actuación de la Consejería los objetivos establecidos para la Administración de la Junta de Andalucía y contenidos en el artículo 4 del Decreto 1/2011, de 11 de enero, relativos a la política de seguridad de las tecnologías de la información y comunicaciones, y en el artículo 4 del Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía contra riesgos intencionales, relativos a la política de seguridad interior.
Artículo 6. Principios básicos de la seguridad de la información.
Los principios básicos que regirán la política de seguridad de la información de la Consejería, además de los establecidos en el Esquema Nacional de Seguridad (en adelante ENS), por el artículo 4 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, por la Política de seguridad de las tecnologías de la información y comunicaciones, en el artículo 5 del Decreto 1/2011, de 11 de enero, y por la Política de seguridad interior en la Administración de la Junta de Andalucía, en el artículo 5 del Decreto 171/2020, de 13 de octubre, son los siguientes:
a) Principio de valoración de la información. La información que posee, trata y genera la Consejería tiene un valor muy importante, siendo su protección frente a daños accidentales o deliberados un objetivo primordial para la organización; la información de carácter personal será especialmente protegida, de acuerdo con la normativa de protección de datos vigente en cada momento. La preservación de la seguridad de la información será considerada objetivo común de todas las personas al servicio de los órganos contemplados en el ámbito de aplicación de esta norma, siendo éstas responsables del uso correcto de los activos de información y tecnológicos puestos a su disposición.
b) Principio de detección. Se debe monitorizar la operación de los servicios de manera continua para establecer líneas de defensa y para detectar anomalías en los niveles de prestación requeridos, actuando en consecuencia.
c) Principio de reacción. Deberá minimizarse el tiempo requerido de recuperación, de forma que el impacto de los incidentes de seguridad sea el menor posible, para lo cual se establecerán mecanismos de respuesta eficaces.
d) Principio de responsabilidad. Todas las personas que de una forma u otra participen en la utilización, operación, administración o gestión de un sistema de información y de los activos precisos para su funcionamiento, serán responsables de observar las normas de seguridad establecidas. Para ello las correspondientes responsabilidades deberán quedar determinadas de forma explícita, y ser comunicadas a cada una de ellas.
Artículo 7. Estructura organizativa de la seguridad de la información.
1. La gestión de la seguridad de la información va íntimamente ligada al establecimiento de una organización de seguridad. Dicha organización se establece mediante la identificación de las diferentes actividades y responsabilidades en materia de gestión de la seguridad y mediante su asignación formal a los agentes que correspondan, agrupadas en los siguientes bloques de responsabilidad:
a) La especificación de las necesidades y requisitos en materia de seguridad de la información.
b) El desarrollo y/o explotación de sistemas de información.
c) La función de supervisión de la seguridad de los sistemas de información y de la seguridad interior.
2. La estructura organizativa básica de gestión de la seguridad de la información en el ámbito de la Consejería estará compuesta por los siguientes agentes:
a) Comité de Seguridad de la Información.
b) Unidad de Seguridad de la Información.
c) Unidad de Seguridad Interior y Puntos Coordinadores de Seguridad Interior.
d) Personas responsables de la Información.
e) Personas responsables de los Servicios.
f) Personas responsables de los Sistemas.
g) Persona responsable de Seguridad y Enlace de Infraestructuras Críticas.
h) Responsable de Seguridad de la Información de Servicios Esenciales.
i) Delegado/a de Protección de Datos.
j) Personas responsables o encargados de tratamientos de datos de carácter personal.
3. En cada una de las entidades vinculadas o dependientes existirá una estructura organizativa de gestión de la seguridad de la información que estará compuesta al menos por:
a) Comité de Seguridad Interior y de Seguridad TIC.
b) Personas responsables de la Información.
c) Personas responsables de los Servicios.
d) Personas responsables de los Sistemas.
e) Persona responsable de Seguridad.
f) Unidad de Seguridad Interior y Puntos Coordinadores de Seguridad Interior, si el Comité los considera necesarios por virtud del volumen o singularidad de los activos de la entidad.
g) Delegado/a de Protección de Datos.
h) Personas responsables o encargados de tratamientos de datos de carácter personal.
4 Dependiendo de las necesidades y circunstancias de la organización, en ciertos casos, la función de algunos de estos agentes podrá recaer sobre una misma persona, unidad o departamento, teniendo en cuenta las siguientes salvedades:
a) De acuerdo con el artículo 5.j) del Decreto 1/2011, de 11 de enero, la responsabilidad de la seguridad de los sistemas de tecnologías de la información y comunicaciones estará diferenciada de la responsabilidad sobre la prestación de los servicios, no pudiendo recaer en una misma persona la condición de responsable de seguridad y la de responsable de la información, servicios o sistemas.
b) Las que se deriven de la normativa reguladora en materia de Infraestructuras Críticas, Servicios Esenciales y Protección de Datos de Carácter Personal.
c) De conformidad con la organización interna de la Consejería, las responsabilidades que esta Orden asocie a las personas titulares de los centros directivos serán incompatibles con las de responsable de sistemas, de seguridad o de delegado/a de protección de datos.
5. Este modelo organizativo tiene el carácter de mínimo, pudiendo la Consejería o sus entidades vinculadas o dependientes crear subcomités o perfiles adicionales con responsabilidad en seguridad, para una mejor consecución de los objetivos y principios establecidos en esta Política mediante la ejecución de las funciones que se le puedan encomendar. Las propuestas de nuevas estructuras o perfiles de seguridad deberán ser remitidas, para su estudio y aprobación, al Comité de Seguridad de la Información, especificando las funciones que se le asignarán y, en caso de perfiles, las competencias requeridas para su desempeño.
6. Con sujeción al marco previsto por el ENS, por la normativa en materia de protección de datos, por la políticas de seguridad TIC y de seguridad interior de la Junta de Andalucía y por sus normativas de desarrollo, en las entidades vinculadas o dependientes de la Consejería la responsabilidad de la conformación y designación de estas figuras, recaerá sobre las propias entidades vinculadas o dependientes.
Artículo 8. Comité de Seguridad de la Información de la Consejería.
1. Se crea el Comité de Seguridad de la Información de la Consejería como órgano no colegiado de dirección y seguimiento en materia de seguridad de los activos de información de los que la Consejería sea titular o cuya gestión tenga encomendada. Estará adscrito al centro directivo de la Consejería que ostente las competencias en materia de Seguridad de la Información.
2. El Comité de Seguridad de la Información de la Consejería estará formado por los siguientes miembros:
a) La persona titular del centro directivo de la Consejería que ostente las competencias en materia de Seguridad de la Información, que ejercerá la presidencia del Comité; la cual tendrá voto de calidad en la toma de decisiones del Comité en caso de empate.
b) La persona titular de la Coordinación del centro directivo de la Consejería que ostente las competencias en materia de Seguridad de la Información, que ejercerá la vicepresidencia del Comité.
c) Un representante, de nivel 28 o superior, de cada uno de los Centros Directivos de la Consejería con rango de Viceconsejería, por designación de su persona titular, que actuará como vocal.
d) Un representante, de nivel 28 o superior, del Centro Directivo de la Consejería al que corresponda la dirección del Organismo Pagador de Andalucía de Fondos Europeos Agrarios, por designación de su persona titular, que actuará como vocal.
e) Las personas titulares de los Servicios con competencias en Tecnologías de la Información y Comunicaciones, que actuarán como vocales.
f) Dos representantes, por designación de la persona titular de la Secretaría General Técnica, seleccionados entre las personas que ostenten las jefaturas de los Servicios de la Secretaría General Técnica con competencias en Legislación, Contratación, Personal y Administración General, que actuarán como vocales.
g) La persona que hubiere sido designada Delegado/a de Protección de Datos, que actuará como vocal.
h) La persona designada Responsable de Seguridad y Enlace de las infraestructuras críticas responsabilidad de la Consejería, que actuará como vocal.
i) La persona designada como Responsable de Seguridad de la Información de los servicios de información de la Consejería categorizados como esenciales, que actuará como vocal. Si dicha designación hubiese recaído en un unidad u órgano colegiado, actuará como vocal la persona titular de la unidad o una persona designada por la presidencia del órgano colegiado.
j) La persona titular de la Unidad de Seguridad Interior, que actuará como vocal.
k) La persona titular de la Unidad de Seguridad de la Información, que actuará como vocal y que ejercerá la secretaría del Comité; podrá delegar esta función en un técnico/a de su Unidad, que asistiría a las reuniones del Comité con voz pero sin voto.
3. Se habilita el siguiente esquema de suplencias para el caso de que las personas titulares no puedan acudir a las reuniones del mismo.
a) Los vocales titulares de centros directivos podrán ser sustituidos por las personas titulares de las correspondientes Coordinaciones. Los vocales que ostenten la Coordinación de un centro directivo podrán ser sustituidos por la persona que designe de su propio centro de nivel 28 o superior.
b) Las personas titulares de centros directivos que designen vocales, deberán igualmente proponer sus posibles sustitutos.
c) Los restantes miembros podrán designar a una persona suplente que asuma sus funciones interinamente por ausencia o enfermedad; en caso de vacante, la designación se hará por la persona titular de la presidencia. Se procurará que la persona suplente pertenezca al mismo centro directivo que la persona vocal a la que suple y deberá contar además con similar cualificación y requisitos establecidos para el cargo.
4. En las designaciones de vocales y suplentes del Comité de Seguridad de la Información se procurará tener en cuenta la composición de género que permita la representación equilibrada de mujeres y hombres.
5. Serán funciones propias del Comité de Seguridad de la Información en el ámbito de la Consejería y sus entidades vinculadas o dependientes:
a) Impulsar el conocimiento y cumplimiento de la política de seguridad de la información y su desarrollo normativo, estableciendo las directrices comunes y de supervisión de seguridad de la información.
b) Aprobar las propuestas de creación de nuevas estructuras o perfiles de seguridad y ofrecer asesoramiento, de ser requerido, respecto al nombramiento de perfiles de seguridad.
c) Realizar tareas de coordinación con los Comités de Seguridad Interior y Seguridad TIC de las entidades instrumentales vinculadas o dependientes de la Consejería.
d) Velar por la coordinación entre los diferentes planes estratégicos en materia de seguridad de la información que puedan coexistir tanto en la Consejería como en sus entidades vinculadas o dependientes.
e) Informar regularmente a la persona titular de la Consejería del estado de la seguridad de la información en su ámbito.
f) Elevación de propuestas de revisión de la política de seguridad de la información de la Consejería, de directrices y normas de seguridad de la Consejería, o de revisión de los marcos normativos de seguridad interior y de seguridad TIC de la Junta de Andalucía, a los órganos competentes para su reglamentaria tramitación.
6. Serán funciones propias del Comité de Seguridad de la Información en el ámbito de la Consejería:
a) Impulsar el conocimiento y cumplimiento de la política de seguridad de la información y su desarrollo normativo, estableciendo las directrices comunes y de supervisión de seguridad de la información.
b) Definir, aprobar y realizar el seguimiento de los objetivos, iniciativas y planes estratégicos en materia de seguridad de la información.
c) Promover la implantación y mejora continua del sistema de gestión de la seguridad de la información (en adelante SGSI) de la Consejería.
d) Velar por la disponibilidad de los recursos necesarios para desarrollar las iniciativas y planes estratégicos definidos y priorizar las actuaciones en materia de seguridad en la Consejería.
e) Designar la Unidad de Seguridad de la Información de la Consejería, garantizando el principio de función diferenciada.
f) Designar la Unidad de Seguridad Interior de la Consejería.
g) Designar a las personas responsables de los sistemas y dirimir cualquier posible conflicto respecto a la asignación de responsabilidades sobre la información y los servicios.
h) Establecer las normas básicas de funcionamiento del Grupo de Respuesta ante Incidentes de Seguridad de la Información y, en su caso, designar entre sus miembros a participantes en el mismo, adicionales a la composición mínima establecida en esta Política.
i) Identificación de la normativa aplicables a la Consejería en el ámbito de la Seguridad de la Información, manteniendo actualizado y aprobando el listado de requisitos legales aplicables.
j) Determinar los niveles de calificación de la información gestionada por la Consejería, estableciendo y documentando los criterios de aplicación.
k) Aprobación de los documentos del SGSI de la Consejería correspondientes al segundo y tercer nivel de los definidos en el artículo 21 de esta Política.
l) Coordinar los esfuerzos de todo el equipo humano con responsabilidad en materia de seguridad, elevando propuesta para la resolución de los conflictos de competencia que se puedan suscitar entre ellos, o resolviéndolos cuando el superior jerárquico de los mismos no pueda hacerlo o delegue su resolución.
m) Promoción de formación, entrenamiento y concienciación sobre las medidas legales y organizativas relativas a la seguridad de la información entre el personal de la Consejería, aprobando los planes anuales de formación.
n) Coordinar y aprobar los planes de continuidad de la Consejería.
o) Promover, aprobar y realizar el seguimiento de la planificación de auditorías periódicas para verificar el correcto cumplimiento de la política, la normativa y los procedimientos de seguridad.
p) Supervisar el nivel de riesgo y la toma de decisiones en la respuesta a incidentes de seguridad que afecten a los activos de información, monitorizando el desempeño de los procesos de gestión de incidentes de seguridad.
q) Impulsar la determinación de los niveles de seguridad de la información tratada, en la que se valorarán los impactos que tendrían los incidentes que afectaran a la seguridad de la información, todo ello con la participación de las personas responsables de la información correspondientes y de la Unidad de Seguridad de la Información.
r) Impulsar los preceptivos análisis de riesgos, junto a las personas Responsables de la Información y de los Servicios que correspondan, contando con la participación de la Unidad de Seguridad de la Información.
s) Establecer el nivel de riesgo aceptable, por encima del cual deberían adoptarse medidas enfocadas a la reducción del riesgo de las amenazas identificadas, y la aprobación de los planes de tratamiento que se definan a este respecto.
t) Coordinar la aceptación de los riesgos residuales por sus responsables correspondientes respecto de la información y/o servicios de su competencia, obtenidos en el análisis de riesgos.
u) Coordinar las medidas técnicas y organizativas establecidas para el cumplimiento de la normativa de protección de datos personales, de acuerdo con los correspondientes análisis de riesgos y, en su caso, las evaluaciones de impacto en la protección de datos, contando con el asesoramiento de la persona delegada de protección de datos.
Artículo 9. Funcionamiento del Comité.
1. El Comité se reunirá con carácter ordinario al menos dos veces al año y, con carácter extraordinario cuando lo decida la persona titular de la presidencia, de oficio o a propuesta de alguno de sus miembros, y siempre que se produzcan incidencias de seguridad graves o surjan nuevas necesidades de seguridad que requieran la participación del Comité.
2. El Comité podrá constituirse, convocar y celebrar sus sesiones, adoptar acuerdos y remitir actas, tanto de forma presencial como telemática, utilizando redes de comunicación a distancia, con las medidas adecuadas que garanticen la identidad de las personas comunicantes y la autenticidad de la información entre ellas transmitida, de conformidad con lo establecido en el artículo 91.3 de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía, y los artículos 17 y 18 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. A los efectos de convocatorias, requisitos para celebración de sesiones, mayorías necesarias para adopción de acuerdos, votos dirimentes en caso de empate o funciones de sus integrantes, se estará a lo previsto en dichos artículos 17 y 18 de la Ley 40/2015, de 1 de octubre.
3. Cuando el tratamiento de determinadas cuestiones lo requiera, se podrá convocar a las reuniones del Comité a personal técnico especializado, a los efectos de prestar asesoramiento experto, sin que en ningún caso pueda ocasionar coste económico.
4. La persona que ostente la secretaría del Comité levantará acta de cada reunión del mismo.
5. El Comité de Seguridad de la Información establecerá entre sus miembros un grupo de respuesta a incidentes de seguridad de la información y definirá sus normas básicas de funcionamiento, cuya función será la toma urgente de decisiones en caso de contingencia grave que afecte a la seguridad de los activos o sistemas de información críticos de la Consejería. Será el Presidente del Comité quien determine la existencia de tales contingencias. Las decisiones adoptadas por este grupo serán sometidas con prontitud al conocimiento del Comité y a la revisión posterior de su eficacia.
La composición mínima inicial de este grupo, que puede ser ampliada por el propio Comité, es la siguiente:
a) Persona titular de la presidencia del Comité de Seguridad de la Información.
b) Persona responsable de la Unidad de Seguridad de la Información de la Consejería.
c) Persona responsable de la Unidad de Seguridad Interior de la Consejería.
d) Personas titulares de los Servicios con competencias en Tecnologías de la Información y Comunicaciones.
Artículo 10. Unidad de Seguridad de la Información.
1. Es la unidad administrativa de la Consejería que asume la responsabilidad de que los servicios y sistemas de información se mantengan con el mayor grado de seguridad, atendiendo a los principios establecidos en esta política y supervisando el SGSI implantado. Esta unidad tendrá las atribuciones en materia de seguridad TIC que establece el artículo 11.1 del Decreto 1/2011, de 11 de enero.
2. La Unidad de Seguridad de la Información de la Consejería será nombrada o renovada por el Comité de Seguridad de la Información, mediante acto documentado que se comunicará a la persona responsable que se encuentre a su frente. Esta designación deberá garantizar el cumplimiento del principio de función diferenciada recogido en el art. 10 del Esquema Nacional de Seguridad y en el artículo 5.j) del Decreto 1/2011, de 11 de enero.
3. Sus funciones dentro del ámbito de la Consejería son:
a) Labores de soporte, asesoramiento e información al Comité de Seguridad de la Información, así como de ejecución de las decisiones y acuerdos adoptados por éste.
b) Supervisar el cumplimiento de la presente Política, y de sus normas y procedimientos derivados.
c) Asesorar en materia de seguridad de la información a los integrantes de la Consejería que así lo requieran.
d) Coordinación en materia de seguridad de la información en la Consejería y con otros organismos especializados.
e) Tomar conocimiento y supervisar la investigación y monitorización de los incidentes de seguridad.
f) Establecer las medidas de seguridad adecuadas y eficaces para cumplir los requisitos de seguridad definidos por las personas Responsables de los Servicios y de la Información afectados por el ENS, siguiendo en todo momento lo exigido en el Anexo II del ENS (Medidas de Seguridad).
g) Establecer las medidas de seguridad adecuadas y eficaces para cumplir los requisitos de protección de los datos de carácter personal, siguiendo en todo momento lo dispuesto en la normativa de Protección de Datos Personales.
h) Trasladar los requisitos y medidas de seguridad a aplicar durante el desarrollo de la actividad a las personas Responsables de sistemas, velando por su cumplimiento, para lo que deberá establecer directrices que posibiliten su demostración.
i) Desarrollo y seguimiento de programas de formación y concienciación en su ámbito de competencia.
j) Asesorar y participar en el proceso de la gestión de los riesgos a realizar por las personas Responsables de la Información, de los Servicios o de los Sistemas, en relación con la adquisición, incorporación desarrollo o modificación de productos o sistemas de información o en el desarrollo de nuevos proyectos.
k) Elevar un informe anual sobre el estado del proceso de gestión de riesgos al Comité de Seguridad de la Información.
l) Promover y realizar el seguimiento de las auditorías periódicas que den cumplimiento a las obligaciones en materia de seguridad de la información.
m) Analizar los informes de auditoría, presentando las conclusiones al Comité de Seguridad de la Información, transmitiendo con posterioridad los resultados a las diferentes personas responsables para que adopten las medidas correctoras oportunas.
n) Elaborar informes periódicos de seguridad para el Comité de Seguridad de la Información, con inclusión y estudio de los incidentes más relevantes de cada período y la gestión realizada de los mismos, así como de los principales riesgos residuales asumidos por la organización, recomendando posibles actuaciones respecto de ellos.
4. La persona responsable de la Unidad de Seguridad de la Información de la Consejería tendrá la condición de Responsable de Seguridad y, en virtud del artículo 10.4 del Decreto 1/2011, de 11 de enero, la presente política establece que le corresponderán los deberes y responsabilidades en los términos recogidos en el ENS y la guía CCN-STIC-801.
5. La Unidad de Seguridad de la Información de la Consejería elaborará y mantendrá un inventario de servicios y sistemas, con indicación expresa de su categorización según el ENS y las personas u órganos que asumen, para cada uno de ellos, las figuras de responsable de la información, responsable del servicio y responsable del sistema. Dicho listado se entregará, actualizado, al Comité de Seguridad TIC del organismo en cada una de sus reuniones, con indicación de aquellas deficiencias o faltas de información que se produzcan, de modo que el Comité disponga de información completa y pueda arbitrar los mecanismos necesarios para la subsanación de las mismas.
Artículo 11. Unidad de seguridad interior y Puntos coordinadores de seguridad interior.
1. La Unidad de seguridad interior es la unidad administrativa de la Consejería que asume la responsabilidad ejecutiva para la seguridad interior del conjunto de los activos en su ámbito, atendiendo a los principios establecidos en esta Política. Esta unidad tendrá las atribuciones y funciones que establece el artículo 10 del Decreto 171/2020, de 13 de octubre.
2. La Unidad de Seguridad interior de la Consejería será nombrada o renovada por el Comité de Seguridad de la Información, mediante acto documentado que se comunicará a la persona responsable que se encuentre a su frente.
3. Los Puntos coordinadores de seguridad interior tendrán las atribuciones y funciones que establece el artículo 13 del Decreto 171/2020, de 13 de octubre.
Artículo 12. Personas responsables de la información y de los servicios de la Consejería
1. Los Responsables de la información y/o de los servicios serán las personas titulares de los centros directivos que decidan sobre la finalidad, contenido y uso de la información y/o sobre las características de los servicios a prestar, así como las que determinen los niveles de seguridad dentro del marco establecido en el anexo I del ENS.
2. En virtud del artículo 10.4 del Decreto 1/2011, de 11 de enero, los deberes y responsabilidades principales de estos perfiles de responsabilidad, dentro de su ámbito de actuación y sin perjuicio de otras previstas en el ENS y la guía CCN-STIC-801, son los siguientes:
a) Ayudar a determinar los requisitos de seguridad de la información y/o de los servicios a prestar, identificando los niveles de seguridad de la información y/o servicios mediante la valoración del impacto sobre los mismos de los incidentes que pudieran producirse.
b) Determinar el nivel de calificación que debe aplicarse a la información bajo su responsabilidad y promover el correcto etiquetado de sus posibles soportes.
c) Proporcionar la información necesaria a la Unidad de Seguridad de la Información para realizar los preceptivos análisis de riesgos, con la finalidad de establecer las salvaguardas a implantar. Para ello contará con la ayuda de la persona Responsable del Sistema (o las personas Responsables si hubiere varias).
d) En relación con los análisis de riesgos de los sistemas de información, aceptar los riesgos residuales de las informaciones manejadas y/o servicios prestados que sean de su competencia.
3. El nombramiento o renovación de estas figuras responsables se realiza en virtud de la presente política de seguridad de la información, estando aparejados automáticamente a la toma de posesión de la titularidad de los correspondientes centros directivos o unidades organizativas y a la adscripción a los mismos en cada momento de las distintas informaciones manejadas y servicios prestados.
Artículo 13. Personas responsables de los sistemas.
1. La figura de Responsable del sistema, desde la perspectiva del ENS, de cada sistema de información que gestione la Consejería, deberá ser asumida por la persona titular de un Servicio con competencias en Tecnologías de la Información y Comunicaciones de la Consejería.
2. La asignación de dicha responsabilidad se realizará por decisión del Comité de Seguridad de la Información de la Consejería y se comunicará, mediante acto documentado, a la persona o personas designadas.
3. En virtud del artículo 10.4 del Decreto 1/2011, de 11 de enero, la presente política establece que los deberes y responsabilidades de este perfil de responsabilidad serán los previstos en el ENS y la guía CCN-STIC-801 para la figura del Responsable del Sistema.
4. En el caso de aquellos sistemas de información cuya implantación, explotación y mantenimiento se haga fuera de la Consejería, en otros organismos de la Junta de Andalucía o en empresas externas, éstos deberán asumir la responsabilidad de esta figura, debiendo formalizarse a través de los correspondientes acuerdos y contratos, de los que deberá ser informado el Comité de Seguridad de la Información de la Consejería.
Artículo 14. Persona responsable de Seguridad y Enlace de Infraestructuras Críticas.
1. La Consejería tiene la consideración de Operador de Infraestructuras Críticas, por lo que se encuentra obligada a la designación de una persona Responsable de Seguridad y Enlace con la Administración y a su comunicación formal a la autoridad competente, en base a lo dispuesto en el artículo 16.1 de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
2. La persona Responsable de Seguridad y Enlace velará en el marco organizativo de la Consejería por la garantía de la seguridad de la información relativa a las infraestructuras críticas y a sus planes de protección, según la clasificación de la información almacenada.
3. Deberá ser informado y participar en el análisis y tratamiento de cualquier incidente de seguridad que afecte a la información y sistemas relativos a infraestructuras críticas, debiendo velar por su correcta resolución.
4. Los sistemas, las comunicaciones y la información referida a la protección de las infraestructuras críticas contarán con las medidas de seguridad necesarias que garanticen su confidencialidad, integridad y disponibilidad, según el nivel de clasificación que les sea asignado.
Artículo 15. Responsable de Seguridad de la Información de Servicios Esenciales.
1. La Consejería tiene la consideración de Operador de Servicios Esenciales, por lo que se encuentra obligada a la designación del Responsable de Seguridad de la Información de los Servicios Esenciales y su comunicación formal a la autoridad competente, respecto a la que actuará como punto de contacto y de coordinación técnica, en base a lo dispuesto en el artículo 16.3 del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
2. El Responsable de Seguridad de la Información de Servicios Esenciales velará en el marco organizativo de seguridad de la Consejería por la adopción de medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios esenciales por parte de la Consejería, así como la notificación de incidentes y la adopción de medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidente les afecten.
3. El rol de responsable de Seguridad de la Información de Servicios Esenciales puede ser desempeñado por una persona, unidad u órgano colegiado.
Artículo 16. Delegado/a de Protección de Datos.
1. La figura del Delegado/a de Protección de Datos, en los términos establecidos en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos , en adelante RGPD ), podrá ser asumida por una persona o grupo de personas de la Consejería o por una persona externa, física o jurídica. En cualquiera de estos casos, se deberá acreditar a nivel personal conocimientos especializados en derecho y competencia en materia de protección de datos. Tendrá una adscripción dentro de la estructura de la organización a un órgano con competencias y funciones de carácter horizontal, a los efectos de poder relacionarse adecuadamente con la dirección de la organización y con las autoridades de control.
2. En los casos en que la figura esté atribuida a un grupo de personas de la Consejería, una de ellas ostentará la responsabilidad de su coordinación, convocará sus reuniones y ejercerá la función de su representación, quedando este hecho explícitamente recogido en el acto de nombramiento. Este grupo de trabajo podrá celebrar sus reuniones y adoptar acuerdos, tanto de forma presencial como telemática, utilizando redes de comunicación a distancia, con las medidas adecuadas que garanticen la identidad de las personas comunicantes y la autenticidad de la información entre ellas transmitida, de conformidad con lo establecido en el artículo 91.3 de la Ley 9/2007, de 22 de octubre, y el artículo 17.1 de la Ley 40/2015, de 1 de octubre. Los acuerdos serán adoptados por mayoría de votos, teniendo la persona coordinadora del grupo voto dirimente en caso de empate.
3. El nombramiento o renovación de la figura del Delegado/a de Protección de Datos se realizará y comunicará, mediante acto documentado, por la persona titular de la Viceconsejería, con el parecer, si es requerido, del Comité de Seguridad de la Información de la Consejería.
4. El Delegado/a de Protección de Datos deberá desempeñar las funciones y responsabilidades asignadas a dicha figura por la normativa en materia de protección de datos recogida en el art. 22 de esta orden.
5. El Delegado/a de Protección de Datos de la Consejería velará por la elaboración y mantenimiento de un registro unificado de tratamientos de datos de carácter personal, con indicación expresa de las personas u órganos que asumen las figuras de responsable del tratamiento, encargado del tratamiento y resto de requisitos exigidos por el art 30 del RGPD. Dicho listado se entregará actualizado al Comité de Seguridad de la Información de la Consejería en sus reuniones en caso de que haya sido modificado. Asimismo deberá informar de posibles deficiencias o faltas de información que se produzcan, de modo que el Comité pueda arbitrar los mecanismos necesarios para la subsanación de las mismas.
Artículo 17. Personas responsables y encargados de tratamientos de datos de carácter personal.
1. Los Responsables de los Tratamientos de datos de carácter personal de la Consejería serán los órganos directivos que determinen los fines y medios de los tratamientos, de conformidad con el artículo 4.7 del RGPD.
2. Los órganos directivos que realicen tratamientos de datos de carácter personal cuya responsabilidad resida en un tercero tendrán la consideración de encargado de tratamiento de conformidad con el artículo 4.8 del RGPD.
3. Los centros directivos, responsables o encargados de tratamientos, deberán desempeñar las funciones y responsabilidades asignadas a dichas figuras por la normativa en materia de protección de datos recogida en el art. 22 de esta orden.
Artículo 18. Resolución de conflictos.
1. En caso de conflicto entre diferentes personas, unidades u órganos responsables, éste será resuelto por el órgano superior jerárquico de los mismos. En defecto de lo anterior, prevalecerá la decisión del Comité de Seguridad de la Información.
2. En los conflictos entre los responsables que componen la estructura organizativa de la política de seguridad de la información de la Consejería y los responsables definidos en virtud de la normativa de protección de datos de carácter personal prevalecerá la decisión que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal. En caso de conflicto en la determinación de dicho nivel de exigencia, prevalecerá la decisión del Comité de Seguridad de la Información.
3. En caso de conflicto de atribuciones se actuará de acuerdo a lo previsto en el artículo 110 de la Ley 9/2007, de 22 de octubre.
Artículo 19. Responsabilidad del Personal.
1. La preservación de la seguridad de la información será considerada objetivo común de todas las personas al servicio de los órganos contemplados en el ámbito de aplicación de esta norma, siendo éstas responsables del uso correcto de los activos, de información y/o tecnológicos, puestos a su disposición.
2. Todas las personas que presten servicios a la Consejería tienen la obligación de conocer y cumplir, en sus respectivos ámbitos de actuación, la presente política de seguridad, así como la normativa de seguridad que emana de la misma, siendo responsabilidad del Comité de Seguridad de la Consejería facilitar los medios necesarios para que la información llegue a los interesados.
3. El incumplimiento manifiesto de la Política de Seguridad de la Información o la normativa y procedimientos derivados de ésta podrá acarrear el inicio de las oportunas medidas disciplinarias y, en su caso, las responsabilidades legales correspondientes.
4. Con carácter general, para el personal de la Consejería, regirán las normas de comportamiento de los empleados públicos en el uso de los sistemas informáticos y redes de comunicaciones de la Administración de la Junta de Andalucía vigentes en cada momento.
5. Las normas de uso de los recursos derivadas de esta Política serán trasladadas convenientemente, en la medida en que pueda resultar necesario o recomendable, al clausulado de los contratos suscritos por la Consejería.
Artículo 20. Terceras partes.
1. Cuando la Consejería preste servicios a otros organismos o maneje información de estos, se les hará partícipes de esta política de seguridad de la información, estableciéndose los canales que procedan para la comunicación y coordinación entre las respectivas organizaciones, en especial para una rápida y eficaz reacción ante incidentes de seguridad.
2. Cuando la Consejería utilice servicios de terceros o ceda información a terceros, se les hará partícipes de esta política de seguridad de la Información y de la normativa de seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta, a través de cláusulas contractuales o acuerdos de nivel de servicio, a las obligaciones generales establecidas en dicha normativa, pudiendo disponer la tercera parte de sus propios procedimientos operativos para satisfacerla. Se establecerán mecanismos de comunicación y resolución de incidencias. Se velará por que el personal de terceros esté adecuadamente concienciado en materia de seguridad, al menos, al mismo nivel que el establecido en esta política de seguridad de la información.
3. Cuando algún aspecto de esta política de seguridad de la información no pueda ser satisfecho por una tercera parte según se requiere en el párrafo anterior, se requerirá un informe de la Unidad de Seguridad de la Información que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá que, antes de continuar con las actuaciones, los responsables de la información y/o los servicios afectados asuman expresa y plenamente el informe.
Artículo 21. Desarrollo documental de la seguridad de la información.
1. El conjunto de documentos que integran el SGSI se desarrollará en cinco niveles, según el ámbito de aplicación y nivel de detalle técnico requerido, de manera que cada documento de un determinado nivel se fundamente en los documentos del nivel superior. Dichos niveles de desarrollo documental son los siguientes:
a) Primer nivel: Política de Seguridad de la Información. Documento de obligado cumplimiento por todo el personal de la Consejería, aprobado por la persona titular de la Consejería.
b) Segundo nivel: Normativas de seguridad, que desarrollan y detallan la Política de Seguridad de la Información, estableciendo premisas que deben cumplir los usuarios en un área o aspecto determinado. Son documentos de carácter horizontal y de obligado cumplimiento para todo el personal de la Consejería en sus respectivos ámbitos de actuación; serán aprobadas por el Comité de Seguridad de la Información.
c) Tercer nivel: Procedimientos de seguridad, que detallan las anteriores normativas de seguridad especificando sus procesos de realización. Son documentos de obligado cumplimiento de acuerdo al ámbito organizativo, técnico o legal correspondiente. Los procedimientos se aprobarán por el Comité de Seguridad de la Información; en su redacción podrán participar las unidades organizativas que participen en el proceso normalizado con la supervisión de la Unidad de Seguridad de la Información.
d) Cuarto nivel: Instrucciones Técnicas de Seguridad de la información, documentos muy detallados a nivel técnico, orientados a pautar determinadas tareas, consideradas críticas por el perjuicio que causaría una actuación inadecuada en las mismas. Su aprobación recae en la persona responsable del área donde se desarrollen las actividades descritas en cada instrucción.
e) Quinto nivel: Informes, registros y otras evidencias, documentación que permite probar el cumplimiento de requisitos y la puesta en práctica de los procedimientos e instrucciones establecidos en los niveles anteriores. La responsabilidad de su generación es de los responsables de las áreas donde se desarrollen cada una de las actividades.
2. Al amparo de la presente orden, la Consejería podrá ampliar y desarrollar, sobre la base de los mínimos establecidos, sus propias normas en materia de seguridad TIC, en virtud del artículo 2.5 de la Orden de 9 de junio de 2016, por la que se efectúa el desarrollo de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
3. Además de los documentos citados en el apartado 1, la documentación de seguridad de la información de los órganos contemplados en el ámbito de aplicación de esta norma podrá contar, bajo criterio de la Unidad de Seguridad de la Información con otros documentos de carácter no vinculante: recomendaciones, buenas prácticas, etc.
4. La Unidad de Seguridad de la Información deberá mantener la documentación de seguridad actualizada y organizada, y gestionar los mecanismos de acceso a la misma, de conformidad con las normas y procedimientos de gestión que se establezcan.
5. El Comité de Seguridad de la Información establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo documental con el propósito de normalizarlo, en la medida de lo posible, en todo el ámbito de aplicación de la Política.
Artículo 22. Seguridad de los Datos de Carácter Personal.
1. Para el tratamiento de datos de carácter personal por parte de la Consejería se seguirá en todo momento lo establecido en el RGPD , en la Ley Orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y garantía de los derechos digitales y en la restante legislación europea, nacional y autonómica vigente en cada momento en relación con esta materia. En aplicación del principio de responsabilidad proactiva establecido en el RGPD , la Consejería debe ser capaz de demostrar la conformidad de los tratamientos de datos realizados con dicha normativa.
2. La gestión de la seguridad de los datos de carácter personal se basará en implantación de medidas técnicas y organizativas desde el diseño y por defecto, con vistas a la reducción del riesgo asociado a la tipología y volumen de los mismos y a la naturaleza de los tratamientos efectuados.
Artículo 23. Gestión de riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre los activos de información e infraestructuras de la Consejería, conforme a los principios de gestión de la seguridad basada en los riesgos y de re-evaluación periódica.
2. El proceso de gestión de riesgos comprende las fases de identificación y valoración de la información manejada y de los servicios prestados, categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, las cuales deberán ser proporcionales a los riesgos y estar justificadas.
3. Este análisis deberá revisarse por parte de la Unidad de Seguridad de la información al menos de forma anual o cuando se produzcan cambios importantes en la información manejada o los servicios prestados o ante vulnerabilidades e incidentes de seguridad graves. Como resultado, se elevará el correspondiente informe al Comité de Seguridad de la información, para el establecimiento del nivel de riesgo aceptable y, cuando proceda, la propuesta de medidas a aplicar para evitar los riesgos identificados, así como de planes de tratamiento pertinentes.
4. Los responsables de la información y/o servicios son responsables de los riesgos sobre su información y/o servicios y, por tanto, de aceptar los riesgos residuales calculados en el análisis de riesgos, así como de realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
5. El Comité de Seguridad de la información realizará un seguimiento de los riesgos y de la eficacia de las medidas adoptadas para su tratamiento.
6. Para realizar el análisis de riesgos se utilizarán metodologías y herramientas reconocidas en el ámbito de la Administración Pública.
Artículo 24. Gestión de incidentes de seguridad y de la continuidad.
1. La Consejería deberá estar preparado para prevenir, detectar, reaccionar y recuperarse de incidentes, según los términos previstos en el artículo 7 del ENS.
2. El Comité de Seguridad de la Información deberá aprobar y revisar periódicamente un plan para mantener la continuidad de los procesos y sistemas críticos y garantizar su recuperación en caso de desastre. La finalidad de este plan es reducir el tiempo de indisponibilidad a niveles aceptables mediante la combinación de controles de carácter organizativo, tecnológico y procedimental tanto preventivos como de recuperación.
3. A los efectos de una mejor gestión de los incidentes, se actuará de forma coordinada con el Centro de Respuesta a Incidentes de Seguridad de la Junta de Andalucía.
Artículo 25.Formación y concienciación en seguridad de la información.
El Comité de Seguridad de la Información aprobará un Plan anual de formación y concienciación en seguridad de la información, que contemplará las actividades necesarias, destinadas a las personas empleadas públicas de los órganos contemplados en el ámbito de aplicación de esta política, para fomentar la conciencia de seguridad integral, sensibilizada respecto a los riesgos de seguridad que afectan a todo el personal y en todas sus actividades de tratamiento de la información. Entre tales actividades se incluirán las de difusión de esta política de seguridad y de su desarrollo normativo.
Artículo 26. Auditorías y conformidad con la normativa.
1 La Consejería realizará revisiones periódicas independientes sobre su SGSI, establecido para implementar esta Política de Seguridad, con objeto de garantizar el cumplimiento normativo vigente y su adecuación respecto a estándares internacionales de seguridad.
2. Los sistemas de información de la Consejería serán objeto, al menos cada dos años, de una auditoría regular ordinaria interna o externa que verifique el cumplimiento de los requisitos del ENS. Independientemente, se realizarán aquellas auditorías que sean requeridas por otras normas o estándares que apliquen o se implanten en la Consejería. La Unidad de Seguridad de la Información realizará o, en su caso, coordinará, estas actividades de auditoría.
3. El sistema de seguridad interior de la Consejería serán objeto de una auditoría regular ordinaria interna o externa que verifique su funcionamiento respecto de las normas o estándares que apliquen o se implanten en la Consejería. La Unidad de Seguridad Interior realizará o, en su caso, coordinará, estas actividades de auditoría.
4. Con carácter extraordinario deberán realizarse dichas auditorías siempre que se realicen modificaciones sustanciales en el SGSI, en los sistemas de información y, en general, en los activos de la Consejería, que puedan repercutir en el cumplimiento de las medidas de seguridad requeridas.
5. Los informes de auditoría quedarán a disposición del Comité de Seguridad de la Información. Por su parte, la Unidad de Seguridad de la Información y la Unidad de Seguridad Interior deberán analizar cada informe y elevar al Comité de Seguridad de la Información las conclusiones que procedan para que éste adopte las medidas correctoras adecuadas.
6. La Consejería auditará su cumplimiento de la normativa de protección de datos de forma periódica, al menos cada dos años. La persona con funciones de Delegado de Protección de Datos realizará o, en su caso, coordinará, estas actividades de auditoría, trasladando el informe de auditoría y sus conclusiones a la Dirección de la Consejería.
Artículo 27. Cooperación con otros órganos y otras administraciones en materia de seguridad de la información.
A efectos de coordinación, obtención de asesoramiento e intercambio de experiencias para la mejora continua de la gestión de la seguridad de la información, se fomentará el establecimiento de mecanismos de comunicación por parte de los agentes definidos en el artículo 7 de esta Orden con otros agentes especializados en esta materia, en base a sus respectivas funciones y ámbitos de actuación. En especial, se contemplarán los siguientes:
a) El Comité de Seguridad TIC de la Junta de Andalucía y el Comité Corporativo de Seguridad Interior de la Junta de Andalucía.
b) La Unidad de Seguridad TIC de la Junta de Andalucía y la Unidad Corporativa de Seguridad Interior.
c) El Centro de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), como soporte y coordinación para la resolución de incidentes que sufran las administraciones públicas.
d) El Centro de Respuesta a Incidentes de Seguridad de la Información de la Junta de Andalucía.
e) La Agencia Española de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía.
f) El Instituto Nacional de Ciberseguridad.
g) El Grupo de Delitos Telemáticos de la Guardia Civil y la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía, para la investigación de acciones relacionadas con la delincuencia informática y los fraudes en el sector de las telecomunicaciones.
Artículo 28. Revisión, actualización permanente y difusión de la Política de Seguridad de la Información.
1. La política de seguridad de la información deberá mantenerse actualizada para adecuarla a la evolución tecnológica y al desarrollo de la sociedad de la información, así como a los estándares internacionales de seguridad.
2. Las revisiones de la política de seguridad de la información se harán al menos con carácter anual por el Comité de Seguridad de la información, proponiendo su revisión o el mantenimiento de la misma. Las modificaciones en la política de seguridad serán aprobadas por la persona titular de la Consejería.
3. A los efectos de su mejor difusión entre el personal de la organización y de otras partes interesadas, la política de seguridad de la información se publicará y divulgará, además de en el Boletín Oficial de la Junta de Andalucía, a través de los medios que se establezcan por el Comité de Seguridad de la Información.
Disposición adicional única. Constitución del Comité de Seguridad de la Información.
La primera reunión del Comité de Seguridad de la Información tendrá por objeto la constitución del mismo y se celebrará en un plazo máximo de un mes a partir de la entrada en vigor de la presente orden. En dicha reunión, se procederá a la designación de la Unidad de Seguridad de la Información y de la Unidad de Seguridad Interior, a propuesta de la persona titular de la Presidencia del Comité.
Disposición transitoria única. Mantenimiento de funciones y responsabilidades.
Los agentes que a la fecha de entrada en vigor de esta orden conformen la estructura organizativa de la seguridad de la información en la Consejería mantendrán sus funciones y responsabilidades, de manera transitoria, hasta la efectiva constitución del nuevo Comité de Seguridad de la Información y la designación de nuevos agentes que sean requeridas por esta política de seguridad de la información.
Disposición derogatoria única. Derogación de normas.
Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo establecido en la presente orden y, en particular, la Orden de 11 de abril de 2016, por la que se regula el Comité de Seguridad de la Información de la Consejería de Agricultura, Pesca y Desarrollo Rural, publicada en el BOJA núm. 73, de 19 de abril de 2016, y la Orden de 5 de julio de 2016, por la que se aprueba la política de seguridad de la información de la Consejería de Agricultura, Pesca y Desarrollo Rural.
Disposición final primera. Habilitación para ejecución y desarrollo.
Se habilita a la persona titular del centro directivo de la Consejería con competencias en materia de seguridad de la información, para dictar cuantas actuaciones sean necesarias para la ejecución y desarrollo de lo establecido en la presente orden.
Disposición final segunda. Entrada en vigor.
La presente orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de la Junta de Andalucía.
