ORDEN DE 24 DE JUNIO DE 2021, POR LA QUE SE MODIFICA LA ORDEN DE 3 DE DICIEMBRE DE 2020, POR LA QUE SE ESTABLECE LA POLÍTICA DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES DE LA CONSEJERÍA DE EDUCACIÓN Y DEPORTE.
El Decreto 1/2011, de 11 de enero 
, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, prevé en su artículo 6 la estructura organizativa de la seguridad de las Tecnologías de la Información y Comunicaciones (TIC), considerando a dicho modelo organizativo con carácter de mínimo, dado que permite que cada Consejería y entidad incluida en su ámbito de aplicación pueda crear comités o perfiles con responsabilidad de seguridad adicionales, en el marco de lo establecido en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica.
En concreto, el artículo 6.2 del citado decreto establece que la organización de la seguridad TIC en la Administración de la Junta de Andalucía se conforma mediante la siguiente estructura:
“a) Organización corporativa: 1.º Comité de Seguridad TIC de la Junta de Andalucía y su Grupo de Respuesta a Incidentes. 2.º Unidad de Seguridad TIC Corporativa. 3.º Grupo de Personas Expertas en Seguridad TIC.
b) Organización en Consejerías: 1.º Comité de Seguridad TIC. 2.º Unidad de Seguridad TIC.
c) Organización en entidades vinculadas o dependientes: 1.º Comité de Seguridad TIC. 2.º Responsable de Seguridad TIC.”
Por su parte, el artículo 10 dispone que: “Sin perjuicio de las directrices establecidas en el marco regulador de seguridad TIC de la Administración de la Junta de Andalucía, cada Consejería y entidad incluida en el ámbito de aplicación del presente Decreto deberá disponer formalmente de su propio documento de política de seguridad TIC, así como de las disposiciones de desarrollo que adecúen, en su caso, las directrices comunes de la Administración de la Junta de Andalucía a sus particularidades. Asimismo, cada Consejería y entidad deberá contar con un Comité de Seguridad TIC, que no tendrá carácter colegiado y que actuará como órgano de dirección y seguimiento en materia de seguridad de los activos TIC de su titularidad o cuya gestión tenga encomendada”. Estableciendo a continuación que el documento de política de seguridad TIC se aprobará por la persona titular de la Consejería correspondiente y se plasmará en los términos descritos en el Real Decreto 3/2010, de 8 de enero , debiendo ser coherente con la normativa en materia de protección de datos de carácter personal.
En cumplimiento de dicho mandato normativo y para adecuar la política de seguridad de la Consejería a las determinaciones del Decreto 1/2011, de 11 de enero y al Esquema Nacional de Seguridad en el ámbito de la Administración electrónica (ENS), así como, a la normativa reguladora de la protección de datos de carácter personal, se aprobó la Orden de 3 de diciembre de 2020, por la que se establece la política de seguridad de las Tecnologías de la Información y Comunicaciones de la Consejería de Educación y Deporte.
En lo que respecta a la estructura organizativa de la gestión de la seguridad TIC en la Consejería, la Orden dispone en su artículo 5 que se encuentra integrada por:
a) El Comité de Seguridad de las Tecnologías de la Información y Comunicaciones (Comité de Seguridad TIC).
b) Unidad de Seguridad TIC.
c) Responsables de la información y del servicio.
d) Responsables del sistema.
Las funciones del Comité de Seguridad TIC vienen establecidas en el artículo 7, encomendándosele, con carácter general, la aplicación en el ámbito de la Consejería de las previsiones contenidas en la normativa reguladora del ENS y de la política de seguridad TIC de la Administración de la Junta de Andalucía; así como, la determinación de la política de seguridad que se ha de emplear en la utilización de los medios electrónicos para permitir la adecuada protección de la información. El artículo 8, por su parte, regula la composición del Comité.
Recientemente, el Decreto 171/2020, de 13 de octubre , por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía, ha venido a determinar un modelo organizativo para la seguridad interior de nuestra Administración autonómica que se basa en la existencia de un órgano identificado como comité con funciones de carácter deliberativo y decisorio (en los niveles corporativo, de Consejería y provincial) y sendas unidades que dan soporte al sistema y tienen carácter ejecutivo.
Como se señala en el propio preámbulo del Decreto “elementales principios de economía, eficacia y eficiencia administrativas han aconsejado evitar la creación ex novo de un comité para la seguridad interior en cada Consejería, optando por incluir las que hubieran sido sus funciones y tareas entre las de los actuales Comités de Seguridad TIC, que deberán modificar su denominación, funciones y -eventualmente su composición para incluir los relativos al ámbito de la seguridad interior”.
En este sentido, el artículo 9 del Decreto establece que las normas de creación de los Comités de Seguridad TIC de las Consejerías, habrán de modificar su denominación, añadiendo su definición como órganos de dirección y seguimiento en materia de seguridad interior y actualizando, en caso de ser necesario, la composición y régimen de los mismos, describiendo las nuevas funciones a incorporar.
Para cumplir este mandato normativo se hace necesario modificar la Orden de 3 de diciembre de 2020 en cuanto a la organización y gestión de la seguridad TIC, creación del Comité de Seguridad TIC, funciones y composición de dicho Comité.
Para la aprobación de esta Orden por la que se modifica la Orden de 3 de diciembre de 2020 se ha actuado de acuerdo con los principios enunciados en el artículo 129.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
La iniciativa normativa es necesaria para adecuar la actual estructura organizativa de seguridad en la Consejería a las previsiones del Decreto 171/2020, de 13 de octubre , siendo el dictado de una orden modificativa de la hasta ahora vigente el instrumento más adecuado y proporcionado para lograr el fin pretendido. Solo se contiene la regulación imprescindible para hacer efectivo el mandato contenido en el artículo 9 del citado decreto.
La norma es coherente con el precitado decreto, así como con el Decreto 1/2011, de 11 de enero , por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y con el Real Decreto 3/2010, de 8 de enero , que son los ítems fundamentales del marco normativo en el que viene a insertarse.
Por otra parte, la orden regula únicamente aspectos organizativos por lo que, conforme a lo establecido en el artículo 133.4 párrafo primero de la Ley 39/2015, de 1 de octubre, se prescinde de los trámites de consulta pública previa, audiencia e información públicas.
En aplicación del principio de eficiencia, la iniciativa reglamentaria no impone cargas administrativas.
Finalmente, se han seguido los trámites previstos en el artículo 45 de la Ley 6/2006, de 24 de octubre, del Gobierno de la Comunidad Autónoma de Andalucía, para la elaboración de reglamentos, excepto los de audiencia e información pública por los motivos expuestos.
En su virtud, a propuesta del Secretario General Técnico, de conformidad con el artículo 9 del Decreto 171/2020, de 13 de octubre, y en ejercicio de la potestad que me confiere el artículo 44.2 de la Ley 6/2006, de 24 de junio,
DISPONGO
Artículo único. Modificación de la Orden de 3 de diciembre de 2020, por la que se establece la política de seguridad de las Tecnologías de la Información y Comunicaciones de la Consejería de Educación y Deporte.
La Orden de 3 de diciembre de 2020, por la que se establece la política de seguridad de las Tecnologías de la Información y Comunicaciones de la Consejería de Educación y Deporte, queda modificada como sigue:
Uno. El apartado 1 del artículo 5 queda redactado del siguiente modo:
“1. La estructura organizativa de la gestión de la seguridad TIC de la Consejería, en relación con el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, está compuesta por las siguientes figuras:
a) El Comité de Seguridad Interior y de Seguridad de las Tecnologías de la Información y Comunicaciones, en adelante Comité de Seguridad Interior y Seguridad TIC.
b) Unidad de Seguridad TIC.
c) Responsables de la Información y del Servicio.
d) Responsables del Sistema.”
Dos. El artículo 6 queda redactado en los siguientes términos:
“Artículo 6. Creación del Comité de Seguridad Interior y de Seguridad de las Tecnologías de la Información y Comunicaciones.
1. Se crea el Comité de Seguridad Interior y Seguridad TIC de la Consejería de Educación y Deporte.
2. El Comité actuará como órgano de dirección y seguimiento en materia de seguridad interior y de seguridad de los activos TIC de titularidad de la Consejería o de aquellos cuya gestión tenga encomendada.”
Tres. El artículo 7 queda redactado del siguiente modo:
“Artículo 7. Funciones del Comité de Seguridad Interior y Seguridad TIC.
1. Corresponde al Comité aplicar, en el ámbito de la Consejería, las previsiones contenidas en la normativa sobre Política de Seguridad Interior en la Administración de la Junta de Andalucía; así como las previsiones contenidas en la normativa reguladora del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y en la normativa reguladora de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y determinar la política de seguridad que se ha de emplear en la utilización de los medios electrónicos que permita la adecuada protección de la información.
2. En particular, le corresponde en el ámbito de la Seguridad Interior:
a) La definición, aprobación y seguimiento de los objetivos, iniciativas y planes estratégicos para la seguridad interior, incluido el Plan de Seguridad Interior.
b) Velar por la disponibilidad de los recursos necesarios para desarrollar las iniciativas y planes estratégicos definidos.
c) El establecimiento de directrices comunes y la supervisión del cumplimiento de la normativa de seguridad interior.
d) La aprobación del modelo de relación con los Puntos Coordinadores de Seguridad Interior.
e) La promoción de la educación, el entrenamiento y la concienciación sobre las medidas relativas a la seguridad interior entre el personal.
f) El análisis y la adopción de decisiones en la respuesta a incidentes susceptibles de generar una crisis de seguridad interior.
g) La designación de la Unidad de Seguridad Interior.
h) Las previsiones para la designación de los Puntos Coordinadores de Seguridad Interior.
3. En el ámbito de la seguridad TIC le corresponde:
a) Aprobar el desarrollo de la política de seguridad TIC de segundo nivel.
b) Velar por el desarrollo, implantación, concienciación, formación y divulgación, así como por el cumplimiento y actualización de la política de seguridad TIC en la Consejería.
c) Definir, aprobar y realizar el seguimiento de los objetivos, iniciativas y planes estrátegicos en materia de seguridad TIC.
d) Planificar y priorizar las iniciativas necesarias para cumplir con las directrices, los objetivos y los principios básicos marcados en la presente política de seguridad TIC.
e) Velar por la disponibilidad de los recursos necesarios para desarrollar las iniciativas y planes estratégicos definidos.
f) Coordinar a alto nivel todas las actuaciones de seguridad, velando para que la definición y el desarrollo de las mismas se adecuen en todo momento a las directrices marcadas por la política de seguridad TIC, involucrando a las diferentes áreas implicadas.
g) Velar para que todos los ámbitos de responsabilidad y actuación en relación a la seguridad TIC y su tratamiento queden perfectamente definidos, aprobando los nombramientos necesarios para ello.
h) Nombrar la Unidad de Seguridad TIC de la Consejería designando a su persona responsable.
i) Promover y fomentar la divulgación y formación en cultura de la seguridad TIC, así como la mejora continua de la seguridad en la organización, aprobando los planes de mejora de seguridad TIC propuestos por la Unidad de Seguridad TIC, y velando por la asignación y cumplimiento de las responsabilidades oportunas.
j) Velar porque la seguridad TIC se tenga en cuenta en todos los proyectos TIC desde su especificación inicial hasta su puesta en operación.
k) Asegurar que el desarrollo normativo que tenga incidencia en el desarrollo o explotación de sistemas de información se adecua a lo establecido en la política de seguridad TIC.
l) Resolver los conflictos que puedan aparecer entre las diferentes personas responsables o entre diferentes áreas de la organización en materia de seguridad TIC.
m) Coordinar las medidas técnicas y organizativas establecidas en la normativa de protección de datos personales, de acuerdo con los correspondientes análisis de riesgos y, en su caso, las evaluaciones de impacto en la protección de datos, contando con el asesoramiento del Delegado de protección de datos.
n) Elevar las propuestas de revisión de la Política de Seguridad TIC de la Consejería o de revisión del marco regulador de seguridad TIC de la Junta de Andalucía, a los órganos competentes para su reglamentaria tramitación.
ñ) Aprobar y revisar periódicamente un plan para mantener la continuidad TIC de los procesos y sistemas críticos y garantizar su recuperación en caso de un incidente que afecte gravemente a su disponibilidad.”
Cuatro. El título y los apartados 1 y 4 del artículo 8 quedan redactados de la siguiente forma:
“Artículo 8. Composición del Comité de Seguridad Interior y seguridad TIC.
1. El Comité de Seguridad Interior y Seguridad TIC estará compuesto por los siguientes miembros:
a) Presidencia: La persona titular de la Viceconsejería.
b) Vicepresidencia: La persona titular de la Secretaría General Técnica.
c) Vocalías:
1.º Las personas titulares de todos los órganos directivos centrales, o las designadas por éstas entre el personal funcionario a su servicio que ocupen un puesto de trabajo con nivel, al menos, de Jefatura de Servicio.
2.º La persona o personas titulares de las unidades administrativas que lleven a cabo la planificación, diseño y ejecución de las actividades necesarias para la construcción, operación y mantenimiento de los sistemas de información de la Consejería.
3.º La persona que ejerza las funciones de dirección de cada entidad vinculada o dependiente, o la designada por ésta entre el personal a su servicio.
4.º La persona a la que se asignen las funciones de Delegado de Protección de Datos.
5.º La persona responsable de la Unidad de Seguridad Interior de la Consejería.
d) Secretaría: La persona titular de la Unidad de Seguridad TIC.”
“4. El Comité de Seguridad Interior y Seguridad TIC podrá convocar a sus reuniones a las personas que en cada caso autorice la presidencia, por propia iniciativa o a propuesta de alguno de sus miembros. Asimismo podrá recabar de personal técnico especializado, propio o externo, la información pertinente para la toma de decisiones.”
Cinco. El artículo 9 queda redactado del siguiente modo:
“Artículo 9. Funcionamiento y régimen jurídico del Comité de Seguridad Interior y Seguridad TIC.
1. El Comité de Seguridad Interior y Seguridad TIC se reunirá con carácter ordinario una vez al año y con carácter extraordinario por acuerdo de la presidencia, a iniciativa propia o previa solicitud razonada de uno de sus miembros.
2. El Comité se podrá constituir, convocar, celebrar sus sesiones, adoptar acuerdos y remitir actas, tanto de forma presencial como utilizando redes de comunicación a distancia.
3. El Comité de Seguridad Interior y Seguridad TIC se regirá por esta orden, por la normativa reguladora de la política de seguridad interior y de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, así como por la normativa reguladora del ENS y de protección de datos de carácter personal.”
Seis. El artículo 10 queda redactado en los siguientes términos:
“1. La Consejería, de acuerdo con lo establecido en el artículo 11 del Decreto 1/2011, de 11 de enero, contará con una Unidad de Seguridad TIC, garantizando el principio de función diferenciada recogido en el artículo 5.j) de dicho Decreto, que ejerza las funciones de Responsabilidad de Seguridad TIC de la Consejería, debiendo ser designada la persona responsable de la citada Unidad entre personal funcionario al servicio de la Consejería por el Comité de Seguridad Interior y Seguridad TIC de la misma.
La Unidad de Seguridad TIC de la Consejería tendrá las atribuciones que establece el artículo 11.1 del Decreto 1/2011, de 1 de enero.
2. Conforme establece el artículo 10 del Decreto 171/2020, de 13 de octubre, la Consejería contará con una Unidad de Seguridad Interior que ejercerá la responsabilidad ejecutiva para la seguridad interior del conjunto de los activos en su ámbito, debiendo ser designada por el Comité de Seguridad Interior y Seguridad TIC.
Las funciones que competen a la Unidad de Seguridad Interior son las establecidas en el artículo 10.2 del citado decreto.”
Siete. El apartado 1 del artículo 15 queda redactado del siguiente modo:
“1. Los conflictos entre las diferentes personas, unidades u órganos responsables que componen la estructura organizativa de la política de seguridad TIC serán resueltos por el superior jerárquico común. En su defecto, prevalecerá la decisión del Comité de Seguridad Interior y Seguridad TIC.”
Ocho. El apartado 1 del artículo 16 se redacta del siguiente modo:
“1. Todo el personal que preste servicios en la Consejería tiene la obligación de conocer y cumplir la política de seguridad TIC y la normativa de seguridad derivada, siendo responsabilidad del Comité de Seguridad Interior y Seguridad TIC disponer los medios necesarios para que la información llegue a las personas afectadas.”
Nueve. Los apartados 4 y 5 del artículo 17 quedan redactados de la siguiente forma:
“4. Los niveles de desarrollo son los siguientes:
a) Primer nivel: Política de seguridad TIC, constituido por la presente orden. Es de obligado cumplimiento en toda la Consejería.
b) Segundo nivel: Normas de seguridad. Son de obligado cumplimiento en toda la Consejería y deben ser aprobadas por el Comité de Seguridad Interior y Seguridad TIC. Describen de forma general los principios y normas de seguridad que serán concretados en los niveles posteriores.
c) Tercer nivel: Procedimientos y documentación técnica. Describen las acciones a realizar, de una manera más específica, en un proceso relacionado con la seguridad siendo dependientes de las normas de seguridad, así como todo tipo de documentación técnica o especializada que se considere necesario para completar y facilitar el desarrollo de las medidas de seguridad. Los procedimientos y documentación deben ser aprobados por la persona responsable del Sistema correspondiente.
5. El Comité de Seguridad Interior y Seguridad TIC establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo con el propósito de regularizarlo, en la medida de lo posible, en todo el ámbito de aplicación de la política de seguridad TIC.”
Diez. El apartado 5 del artículo 18 queda redactado del siguiente modo:
“5. El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse al menos con periodicidad anual por parte de la Unidad de Seguridad TIC, que elevará un informe al Comité de Seguridad Interior y Seguridad TIC.”
Once. El artículo 23 queda redactado del siguiente modo:
“Artículo 23. Cooperación con otros órganos y otras administraciones en materia de seguridad.
A efectos de coordinación, obtención de asesoramiento e intercambio de experiencias para la mejora continua de la gestión de la seguridad de la información, el Comité de Seguridad Interior y Seguridad TIC fomentará el establecimiento de mecanismos de comunicación, en coordinación con la Unidad de Seguridad TIC Corporativa y la Unidad Corporativa de Seguridad Interior para aquellos agentes externos a la Junta de Andalucía, con otros agentes especializados en esta materia. En especial, se contemplarán los siguientes:
a) AndalucíaCERT.
b) Comité Corporativo de Seguridad Interior de la Junta de Andalucía.
c) Comité de Seguridad TIC de la Junta de Andalucía.
d) Unidad Corporativa de Seguridad interior.
e) Unidad de Seguridad TIC Corporativa.
f) Centro directivo con competencias en coordinación y seguimiento del cumplimiento de la normativa aplicable en materia de protección de datos.
g) Consejo de Transparencia y Protección de Datos de Andalucía.
h) CCN-CERT: Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), como soporte y coordinación para la resolución de incidentes que sufra la Administración General, Autonómica o Local.
i) Agencia Española de Protección de Datos (AEPD).
j) Instituto Nacional de Ciberseguridad (INCIBE).
K) Grupo de Delitos Telemáticos de la Guardia Civil y Brigada Central de Investigación Tecnológica del Cuerpo Nacional de Policía, para la investigación de acciones relacionadas con la delincuencia informática y los fraudes en el sector de las telecomunicaciones.”
Doce. El apartado 3 del artículo 27 queda redactado como sigue:
“3. La persona que ostente la condición de Delegado o Delegada de Protección de Datos podrá poner en conocimiento del Comité de Seguridad Interior y Seguridad TIC las cuestiones relacionadas con la protección de datos que sea necesario y participará, desde el inicio, en todas las cuestiones relacionadas con la protección de datos, contribuyendo así al cumplimiento de la protección de datos personales desde el diseño y por defecto”.
Trece. El apartado 2 de la disposición adicional segunda queda redactada del siguiente modo:
“2. Las revisiones de la política de seguridad de la información se harán a propuesta del Comité de Seguridad Interior y Seguridad TIC.”
Disposición adicional única. Constitución del Comité de Seguridad Interior y Seguridad TIC.
La primera sesión del Comité tendrá por objeto su constitución y en la misma se designará a la Unidad de Seguridad Interior. Dicha sesión se celebrará en el plazo máximo de tres meses a partir de la entrada en vigor de la presente orden.
Disposición final única. Entrada en vigor.
La presente orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de la Junta de Andalucía.
