ORDEN DE 2 DE JUNIO DE 2021, POR LA QUE SE MODIFICA LA ORDEN DE 30 DE AGOSTO DE 2018, POR LA QUE SE ESTABLECE LA POLÍTICA DE LA SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES ASÍ COMO EL MARCO ORGANIZATIVO Y TECNOLÓGICO EN EL ÁMBITO DE LA CONSEJERÍA.
El Decreto 171/2020, de 13 de octubre 
, por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía regula en su Capítulo II un modelo organizativo funcional en el que por simplificación, eficacia y eficiencia se ha evitado la creación de un comité de seguridad interior, optando por incluir las que hubieran sido sus funciones y tareas entre las de los ya existentes comités de seguridad TIC.
A tal fin, el artículo 9 del Decreto 171/2020, de 13 de octubre, establece que “las respectivas normas de creación de los Comités a los que alude el artículo 10 del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones de la Administración de la Junta de Andalucía, modificarán su denominación añadiendo su definición como órganos de dirección y seguimiento en materia de seguridad interior y actualizando, de ser necesario, la composición y régimen de los mismos, con descripción incluso, de las nuevas funciones a incorporar.”
En ese mismo sentido, el Plan Corporativo de Seguridad Interior, aprobado por el Comité Corporativo de Seguridad Interior, ha establecido entre sus previsiones la necesidad de proceder a esta modificación.
En consecuencia, el presente proyecto de orden tiene por objeto dar cumplimiento a lo dispuesto en el citado Decreto 171/2020, de 13 de octubre , procediendo a introducir determinadas modificaciones en la Orden de 30 de agosto de 2018, por la que se establece la política de la seguridad de las tecnologías de la información y telecomunicaciones así como el marco organizativo y tecnológico en el ámbito de la Consejería.
Por tanto, la presente orden cumple con los principios de buena regulación a los que se refiere el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. En cumplimiento del principio de necesidad, la presente Orden responde al mandato de una norma superior, siendo además coherente con el resto del ordenamiento jurídico e integrada en el mismo. Es eficaz y proporcional ya que evita la duplicidad de órganos y, asimismo, es eficiente y su aplicación no impone cargas administrativas innecesarias o accesorias. Por otro lado, al tratarse de una norma organizativa que no afecta directamente a los derechos e intereses legítimos de la ciudadanía, se ha prescindido de los trámites de consulta, audiencia e información públicas previstos en el artículo 133 de la Ley 39/2019, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
En su virtud, a propuesta de la Secretaría General Técnica de la Consejería, en uso de las atribuciones que me vienen conferidas por el artículo 26 de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía, y el Decreto 114/2020, de 8 de septiembre , por el que se establece la estructura orgánica de la Consejería de la Presidencia, Administración Pública e Interior,
DISPONGO
Artículo único. Modificación de la Orden de 30 de agosto de 2018, por la que se establece la política de la seguridad de las tecnologías de la información y telecomunicaciones así como el marco organizativo y tecnológico en el ámbito de la Consejería.
La Orden de 30 de agosto de 2018, por la que se establece la política de la seguridad de las tecnologías de la información y telecomunicaciones así como el marco organizativo y tecnológico en el ámbito de la Consejería queda modificada como sigue:
Uno. Se añade un nuevo apartado 3 en el artículo 1. Objeto, con la siguiente redacción:
“3. La presente orden tiene también como objeto establecer la organización funcional de la seguridad interior en la Consejería.”
Dos. Se añade un nuevo apartado 3 en el artículo 2. Ámbito de aplicación, con la siguiente redacción:
“3. Lo regulado en esta orden en relación con la seguridad interior, será de aplicación tanto en la Consejería como en sus entidades vinculadas o dependientes.”
Tres. Se modifica la denominación del Capítulo II, que pasa a tener la siguiente redacción:
“CAPÍTULO II
Política de seguridad TIC y organización de la seguridad interior”
Cuatro. Se modifica el artículo 3. Objetivos, que pasa a tener la siguiente redacción:
“Artículo 3. Objetivos.
Son objetivos de la política de seguridad TIC y de la organización de la seguridad interior:
a) Garantizar la seguridad TIC y proteger los activos o recursos de información.
b) Crear la estructura de la organización de la seguridad TIC de la Consejería y la seguridad interior.
c) Marcar las directrices, los objetivos y los principios básicos de seguridad TIC de la Consejería.
d) Orientar la organización para la prestación de servicios basados en la gestión de riesgos.
e) Servir de base para el desarrollo de las normas, procedimientos y procesos de gestión de la seguridad TIC.”
Cinco. Se añade un artículo 5.bis. Organización de la seguridad interior, con la siguiente redacción:
“Artículo 5.bis. Organización de la seguridad interior.
La estructura organizativa de la gestión de la seguridad interior en la Consejería está compuesta por las siguientes figuras:
a) El Comité de Seguridad Interior y seguridad de las Tecnologías de la Información y Comunicaciones, en adelante Comité de Seguridad Interior y Seguridad TIC.
b) La Unidad de Seguridad Interior.
c) Los puntos coordinadores de seguridad interior en cada provincia.”
Seis. Se modifica el artículo 6. Creación del Comité de Seguridad de las Tecnologías de la Información y Comunicaciones, que pasa a tener la siguiente redacción:
“Artículo 6. Creación del Comité de Seguridad Interior y Seguridad TIC.
1. Se crea el Comité de Seguridad Interior y Seguridad TIC de la Consejería de la Presidencia, Administración Pública e Interior.
2. El comité actuará como órgano de dirección y seguimiento en materia de seguridad de los activos TIC de titularidad de la Consejería o cuya gestión tenga encomendada, así como en materia de seguridad interior.”
Siete. Se modifica el artículo 7. Funciones del Comité de Seguridad TIC, que pasa a tener la siguiente redacción:
“Artículo 7. Funciones del Comité de Seguridad Interior y Seguridad TIC.
1. Al Comité le corresponde aplicar, en el ámbito de la Consejería, las previsiones contenidas en la normativa reguladora del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, y en la normativa reguladora de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y determinar la política de seguridad que se ha de emplear en la utilización de los medios electrónicos que permita la adecuada protección de la información.
2. En particular, le corresponde:
a) Aprobar el desarrollo de la política de seguridad TIC de segundo nivel, según lo previsto en el artículo 18.
b) Velar por el desarrollo, implantación, concienciación, formación y divulgación, así como por el cumplimiento y actualización de la política de seguridad TIC en la Consejería.
c) Planificar y priorizar las iniciativas necesarias para cumplir con las directrices, los objetivos y los principios básicos marcados en la presente política de seguridad TIC. En especial, la elaboración, actualización y reevaluación periódica de los análisis de riesgos necesarios.
d) Proporcionar, dentro de los límites establecidos en los programas asignados por las leyes anuales de presupuestos a la Consejería, los medios y recursos necesarios para posibilitar la realización de las iniciativas planificadas.
e) Coordinar a alto nivel todas las actuaciones de seguridad, velando para que la definición y el desarrollo de las mismas se adecuen en todo momento a las directrices marcadas por la política de seguridad TIC, involucrando a las diferentes áreas implicadas.
f) Velar para que todos los ámbitos de responsabilidad y actuación en relación a la seguridad TIC y su tratamiento queden perfectamente definidos, aprobando los nombramientos necesarios para ello. Especialmente, para asegurar que la totalidad de miembros de la estructura de seguridad definida conozcan sus funciones y responsabilidades.
g) Nombrar un Grupo de Respuesta a Incidentes de Seguridad de la Información.
h) Nombrar la Unidad de Seguridad TIC de la Consejería designando su persona responsable que ostentará la condición de Responsable de Seguridad TIC de la Consejería.
i) Promover y fomentar la divulgación y formación en cultura de la seguridad TIC, así como la mejora continua de la seguridad en la organización, aprobando los planes de mejora de seguridad TIC propuestos por la Unidad de Seguridad TIC, y velando por la asignación y cumplimiento de las responsabilidades oportunas.
j) Velar porque la seguridad TIC se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.
k) Asegurar que el desarrollo normativo que tenga incidencia en el desarrollo o explotación de sistemas de información se adecua a lo establecido en la política de seguridad TIC.
l) Resolver los conflictos que puedan aparecer entre las diferentes personas responsables o entre diferentes áreas de la organización en materia de seguridad TIC.
m) Coordinar las medidas técnicas y organizativas establecidas en la normativa de protección de datos personales, de acuerdo con los correspondientes análisis de riesgos y, en su caso, las evaluaciones de impacto en la protección de datos, contando con el asesoramiento del DPD.
n) Coordinar el Documento de Seguridad en los términos exigidos por la normativa de protección de datos de carácter personal.
3. Al Comité le corresponde también aplicar, en el ámbito de la Consejería, las previsiones contenidas en la normativa de seguridad interior.
4. A este respecto, le corresponde en particular:
a) Definición, aprobación y seguimiento de los objetivos, iniciativas y planes estratégicos para la seguridad interior, incluido el Plan de Seguridad Interior.
b) Velar por la disponibilidad de los recursos necesarios para desarrollar las iniciativas y planes estratégicos definidos.
c) El establecimiento de directrices comunes y la supervisión del cumplimento de la normativa de seguridad interior.
d) La aprobación del modelo de relación con los Puntos Coordinadores de Seguridad Interior.
e) La promoción de la educación, el entrenamiento y la concienciación sobre medidas relativas a la seguridad interior entre el personal.
f) El análisis y la adopción de decisiones en la respuesta a incidentes susceptibles de generar una crisis de seguridad interior.
g) La designación de la Unidad de Seguridad Interior.
h) Las previsiones para la designación de los Puntos Coordinadores de Seguridad Interior.”
Ocho. Se modifica el artículo 8. Composición del Comité de Seguridad TIC, que pasa a tener la siguiente redacción:
“Artículo 8. Composición del Comité de Seguridad Interior y Seguridad TIC.
1. El Comité de Seguridad Interior y Seguridad TIC estará compuesto por las siguientes personas:
a) Presidencia: La persona titular de la Viceconsejería.
b) Vicepresidencia: La persona titular de la Secretaría General Técnica.
c) Vocalías: Las personas titulares de todos los órganos directivos centrales, la persona titular de la Coordinación General de la Secretaría General Técnica y la persona titular de la Coordinación de los Servicios Territoriales y Entidades Adscritas.
d) Secretaría: La persona titular de la Jefatura del Servicio de Informática, con voz y voto. En los casos de vacante, ausencia, enfermedad u otra causa legal, será sustituida por una persona funcionaria adscrita al Servicio de Informática, que designe la presidencia del Comité de Seguridad Interior y Seguridad TIC.
2. En caso de vacante, ausencia, enfermedad u otras causas legales, la persona titular de la Presidencia será sustituida por la persona titular de la Vicepresidencia. Tanto la Vicepresidencia como las Vocalías podrán designar una persona que les sustituya en estas circunstancias entre personal funcionario que ocupen puestos de trabajo de nivel 28 o superior.
3. En la composición del Comité ha de garantizarse, en la medida de lo posible, la representación paritaria de mujeres y hombres, conforme a lo establecido en el artículo 19.2 de la Ley 9/2007, de 22 de octubre, y a la definición de representación equilibrada contenida en el artículo 3.3 de la Ley 12/2007, de 26 de noviembre, para la Promoción de la Igualdad de Género en Andalucía.
4. La persona titular de la unidad de Seguridad TIC, la de la Unidad de Seguridad Interior y la de la persona que ostente la condición de Delegado o Delegada de Protección de Datos asistirán en calidad de asesoras a las reuniones del Comité, salvo que puntualmente se disponga lo contrario de forma expresa por parte de la presidencia, El Comité podrá convocar a sus reuniones a las personas que en cada caso autorice la presidencia, por propia iniciativa o a propuesta de cualquiera de sus miembros. Así mismo podrá recabar del personal técnico especializado, propio o externo, la información pertinente para la toma de decisiones.”
Nueve. Se modifica el artículo 9. Funcionamiento y régimen jurídico del Comité de Seguridad TIC, que pasa a tener la siguiente redacción:
“Artículo 9. Funcionamiento y régimen jurídico del Comité de Seguridad Interior y Seguridad TIC.
1. El Comité de Seguridad Interior y Seguridad TIC se reunirá con carácter ordinario una vez al año y con carácter extraordinario por acuerdo de la presidencia, a iniciativa propia o previa solicitud razonada de uno de sus miembros.
2. El Comité se podrá constituir, convocar, celebrar sus sesiones, adoptar acuerdos y remitir actas, tanto de forma presencial como utilizando redes de comunicación a distancia, con las medidas adecuadas que garanticen la identidad de las personas comunicantes y la autenticidad de la información entre ellas transmitida, de conformidad con lo establecido en el artículo 91.3 de la Ley 9/2007, de 22 de octubre.
3. El Comité se regirá por esta Orden, por la normativa reguladora de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, así como por el resto de normativa aplicable, como la reguladora del ENS y las normativas de seguridad interior y de protección de datos de carácter personal.”
Diez. Se modifica la letra c) del apartado 2 del artículo 10. Grupo de Respuesta a Incidentes en los Sistemas de la Información, que pasa a tener la siguiente redacción:
“c) Una persona en representación de la Portavocía del Gobierno de la Junta de Andalucía.”
Once. Se añade un artículo 11.bis. Unidad de Seguridad Interior, con la siguiente redacción:
“Artículo 11.bis. Unidad de Seguridad Interior.
La Consejería, de acuerdo con lo establecido en el artículo 10 del Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía, contará con una Unidad de Seguridad Interior que desempeñará las funciones relacionadas en el citado artículo y que tendrá como responsables a las personas designadas por el Comité de Seguridad Interior y Seguridad TIC.”
Doce. Se añade un nuevo apartado 6 en el artículo 17. Obligaciones del personal, con la siguiente redacción:
“6. Todo el personal que preste servicios en la Consejería está comprometido con la preservación de la seguridad interior, siendo responsable de utilizar correctamente los activos y de participar, durante el desempeño ordinario de sus funciones y tareas, en la detección precoz de cuantos indicios puedan servir a la prevención de riesgos para la seguridad interior.”
Trece. Se añade un nuevo apartado 6 en el artículo 18. Desarrollo, de la Orden de 30 de agosto de 2018, por la que se establece la política de la seguridad de las tecnologías de la información y telecomunicaciones así como el marco organizativo y tecnológico en el ámbito de la Consejería, con la siguiente redacción:
“6. La gestión de los riesgos para la seguridad interior se acomodará a lo previsto en el Modelo de Seguridad Interior, en el Plan Corporativo de Seguridad Interior, en el Plan de Seguridad Interior de la Consejería de la Presidencia, Administración Pública e Interior y en los demás instrumentos de planificación previstos en el artículo 17 del Decreto 171/2020, de 13 de octubre.”
Catorce. Se añade un nuevo apartado 6 en el artículo 19. Gestión de riesgos, con la siguiente redacción:
“6. En relación con la seguridad interior, la clasificación y control de activos se acomodará a lo previsto en el Modelo de Seguridad Interior, en el Plan Corporativo de Seguridad Interior, en el Plan de Seguridad Interior de la Consejería de la Presidencia, Administración Pública e Interior y en los demás instrumentos de planificación previstos en el artículo 17 del Decreto 171/2020, de 13 de octubre.”
Quince. Se añade un nuevo apartado 3 en el artículo 20. Clasificación y control de activos, con la siguiente redacción:
“3. La seguridad interior se auditará en la Consejería conforme a las previsiones que se contengan en el Modelo de Seguridad Interior, en el Plan Corporativo de Seguridad Interior, en el Plan de Seguridad Interior de la Consejería de la Presidencia, Administración Pública e Interior y en los demás instrumentos de planificación previstos en el artículo 17 del Decreto 171/2020, de 13 de octubre.”
Disposición transitoria única.
El Comité de Seguridad Interior y Seguridad TIC se reunirá en el plazo de un mes desde la entrada en vigor de la presente orden, incluyendo en los asuntos del orden del día la designación de la Unidad de Seguridad Interior de la Consejería.
Disposición final primera. Desarrollo y ejecución.
Se faculta a la persona titular de la Secretaría General Técnica de la Consejería para dictar cuantas instrucciones sean necesarias y adoptar cuantas medidas técnicas sean oportunas para el desarrollo, difusión y ejecución de la presente orden.
Disposición final segunda. Entrada en vigor.
La presente orden entrará en vigor a partir del día siguiente al de su publicación en el Boletín Oficial de la Junta de Andalucía.
