Agencia Estatal Boletín Oficial del Estado
El marco de relación entre la Administración Pública y los ciudadanos a través de los medios electrónicos se encuentra establecido mediante la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
En línea con el impulso hacia la digitalización de dicho marco, y con objeto de que las consolidadas relaciones digitales se popularicen, la Administración debe ser confiable, para que los ciudadanos realicen los trámites administrativos con total seguridad y fiabilidad. Esta confianza en los sistemas de información debe extenderse a las garantías no solo sobre las comunicaciones sino también sobre el tratamiento y almacenamiento de la información.
Para ello, el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas.
La Política de Seguridad de la Información constituye el marco de referencia orientado a facilitar la definición, gestión, administración e implementación de los mecanismos y procedimientos de seguridad establecidos en el Real Decreto 3/2010, de 8 de enero.
Del mismo modo, la Política de Seguridad de la Información debe ser coherente con lo establecido en el Reglamento UE/2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
Asimismo, cabe mencionar que esta orden se ajusta a los principios de buena regulación contenidos en la Ley 39/2015, de 1 de octubre, principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia, en tanto que la misma persigue un interés general al proporcionar la necesaria confianza en la relación de los ciudadanos y la administración a través de medios electrónicos. También cumple estrictamente el mandato establecido en el artículo 6.4 de la Ley, no existiendo ninguna alternativa regulatoria menos restrictiva de derechos, resulta coherente con el ordenamiento jurídico y permite así mismo una gestión más eficiente de los recursos públicos.
Esta orden se dicta en cumplimiento de lo requerido por el artículo 11 del Real Decreto 3/2010, de 8 de enero.
Esta orden ministerial ha sido informada por la Comisión Ministerial de Administración Digital del Ministerio de Educación, Cultura y Deporte y por la Agencia Española de Protección de Datos.
En su virtud, con la aprobación previa del Ministro de Hacienda y Función Pública, dispongo:
1. Constituye el objeto de la presente orden la aprobación de la Política de Seguridad de la Información (en adelante PSI) en el ámbito de la administración electrónica del Ministerio de Educación, Cultura y Deporte, así como del marco organizativo y tecnológico de la misma.
2. La PSI será de obligado cumplimiento para todos los órganos superiores y directivos del Ministerio de Educación, Cultura y Deporte, incluidos los órganos dependientes o adscritos al mismo que no tengan establecida su propia política de seguridad, siendo aplicable a todos los activos empleados por el Departamento.
3. Se podrán adherir a la presente PSI aquellos organismos públicos dependientes o adscritos al Ministerio de Educación, Cultura y Deporte que así lo soliciten.
4. La PSI será de obligado cumplimiento para todo el personal que acceda tanto a los sistemas de información como a la propia información que sea gestionada por el Departamento, con independencia de cuál sea su destino, adscripción o relación con el mismo.
El Ministerio de Educación, Cultura y Deporte es el Departamento de la Administración General del Estado encargado de la propuesta y ejecución de la política del Gobierno en materia educativa, de formación profesional y de universidades, así como la promoción, protección y difusión del patrimonio histórico español, de los museos estatales y de las artes, del libro, la lectura y la creación literaria, de las actividades cinematográficas y audiovisuales y de los archivos y bibliotecas estatales, la promoción y difusión de la cultura en español, así como la propuesta y ejecución de la política del Gobierno en materia de deporte. Asimismo, le corresponde a este Departamento el impulso de las acciones de cooperación y, en coordinación con el Ministerio de Asuntos Exteriores y de Cooperación, de las relaciones internacionales en materia de educación, cultura y deporte.
El marco normativo en que se desarrollan las actividades del Ministerio de Educación, Cultura y Deporte en el ámbito de la prestación de los servicios electrónicos a los ciudadanos, sin perjuicio de la legislación específica, se compone de:
1. Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
2. Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
3. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en al ámbito de la Administración Electrónica.
4. Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en al ámbito de la Administración Electrónica.
5. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
6. Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento nacional de identidad y sus certificados de firma electrónica.
7. Orden EDU/3607/2009, de 30 de diciembre, por la que se crea la Sede Electrónica en el Ministerio de Educación.
8. Orden CUL/395/2010, de 17 de febrero, por la que se crea la Sede Electrónica del Ministerio de Cultura.
9. Resolución de 19 de febrero de 2010, de la Presidencia del Consejo Superior de Deportes, por la que se crea la Sede Electrónica del Consejo Superior de Deportes.
10. Orden EDU/947/2010, de 13 de abril, por la que se crea y regula el Registro Electrónico del Ministerio de Educación.
11. Orden CUL/3410/2009, de 14 de diciembre, por la que se regula el Registro Electrónico del Ministerio de Cultura.
12. Resolución de 24 de junio de 2009, de la Presidencia del Consejo Superior de Deportes, por la que se crea el registro electrónico del Consejo Superior de Deportes.
13. Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.
14. Texto refundido de la Ley de Propiedad Intelectual, aprobado por Real Decreto Legislativo 1/1996, de 12 de abril, y su normativa de desarrollo.
Del mismo modo, forman parte del marco regulatorio las normas aplicables a la Administración Electrónica del Departamento que desarrollen o complementen las anteriores y que se encuentren dentro del ámbito de aplicación de la PSI.
1. Principios básicos.
Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Se establecen los siguientes:
a) Alcance estratégico: La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas del Departamento para conformar un todo coherente y eficaz.
b) Responsabilidad diferenciada: En los sistemas de información se diferenciará el responsable de la información, que determina los requisitos de seguridad de la información tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable del sistema, que tiene la responsabilidad sobre la prestación de los servicios; y el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad.
c) Seguridad integral: La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información debe considerarse como parte de la operativa habitual, estando presente y aplicándose desde el diseño inicial de los sistemas de información.
d) Gestión de Riesgos: De acuerdo a lo establecido en el artículo 24 del Reglamento (UE) 2016/679, así como en el artículo 6 del Esquema Nacional de Seguridad, el análisis y gestión de riesgos será parte esencial del proceso de seguridad. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de seguridad.
e) Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información y de los servicios afectados.
f) Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal cualificado, instruido, dedicado y diferenciado.
g) Seguridad por defecto: Los sistemas deben diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.
2. Principios particulares y responsabilidades específicas.
Las directrices fundamentales de seguridad se concretan en un conjunto de principios particulares y responsabilidades específicas, que se configuran como objetivos instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que inspiran las actuaciones del Departamento en dicha materia. Se establecen los siguientes:
a) Protección de datos de carácter personal: se adoptarán las medidas técnicas y organizativas destinadas a garantizar una adecuada protección de los datos. Tal y como establece en el Reglamento (UE) 2016/679, dichas medidas, deberán ser apropiadas en función del análisis de riesgos mencionado en el apartado 4.1.d), así como de una evaluación de impacto en la protección de datos cuando sea probable que un tratamiento, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
b) Gestión de activos de información: Los activos de información del Departamento se encontrarán inventariados y categorizados y estarán asociados a un responsable.
c) Seguridad ligada a las personas: se implantarán los mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a los activos de información, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos.
d) Seguridad física: Los activos de información serán emplazados en áreas seguras, protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los sistemas y los activos de información que contienen dichas áreas estarán suficientemente protegidos frente a amenazas físicas o ambientales.
e) Seguridad en la gestión de comunicaciones y operaciones: se establecerán los procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación y actualización de las Tecnologías de la Información y Comunicaciones. La información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad.
f) Control de acceso: se limitará el acceso a los activos de información por parte de usuarios, procesos y otros sistemas de información mediante la implantación de los mecanismos de identificación, autenticación y autorización acordes a la criticidad de cada activo. Además, quedará registrada la utilización del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organización.
g) Adquisición, desarrollo y mantenimiento de los sistemas de información: se contemplarán los aspectos de seguridad de la información en todas las fases del ciclo de vida de los sistemas de información, garantizando su seguridad por defecto.
h) Gestión de los incidentes de seguridad: se implantarán los mecanismos apropiados para la correcta identificación, registro y resolución de los incidentes de seguridad.
i) Gestión de la continuidad: se implantarán los mecanismos apropiados para asegurar la disponibilidad de los sistemas de información y mantener la continuidad de sus procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus usuarios.
j) Cumplimiento: se adoptarán las medidas técnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la información.
k) Derechos y deberes de los empleados públicos: Los empleados públicos que prestan servicio al departamento tienen el derecho y el deber de conocer y aplicar la presente PSI y todas las directrices generales, normas y procedimientos de seguridad de la información que puedan afectar a sus funciones, así como de participar en acciones de difusión y formación orientadas a mejorar el estado de la seguridad de la información.
3. Aplicabilidad de los principios y requisitos mínimos marcados en el Esquema Nacional de Seguridad.
Sin perjuicio de lo establecido en los apartados 1 y 2 del presente artículo, la presente PSI se establecerá asimismo en base a los principios básicos y se desarrollará aplicando los requisitos mínimos contemplados en los artículos 4 y 11 del Real Decreto 3/2010, de 8 de enero.
La estructura organizativa para la gestión de la seguridad de la información en el ámbito descrito por la PSI del Ministerio de Educación, Cultura y Deporte está compuesta por los siguientes agentes:
1. La Comisión Ministerial de Administración Digital (en adelante CMAD).
2. El Responsable de Seguridad.
3. Los Responsables de la Información.
4. Los Responsables del Servicio.
5. Los Responsables del Sistema.
6. El Delegado de Protección de Datos.
1. La CMAD es el órgano colegiado de ámbito departamental responsable del impulso y coordinación interna en materia de Administración Digital.
2. El pleno de la CMAD ejercerá las siguientes funciones, aparte de las que le son conferidas en su Orden Ministerial de creación:
a) Elaborar las propuestas de modificación y actualización permanente de la PSI.
b) Velar e impulsar el cumplimiento de la PSI y de su desarrollo normativo.
c) Promover la mejora continua en la gestión de la seguridad de la información.
d) Resolver los posibles conflictos que puedan derivarse del establecimiento de la citada estructura organizativa.
e) Ordenar la realización de las auditorías o autoevaluaciones de seguridad y recibir información de los resultados de las mismas.
f) Proveer los recursos y medios necesarios para asegurar la concienciación y formación en materia de seguridad de la información de todo el personal afectado por esta Orden.
g) Evaluación y seguimiento las decisiones tomadas para satisfacer los requisitos de seguridad de la información y de los servicios.
h) Coordinar la comunicación con el Centro Criptológico Nacional en la utilización de servicios de respuesta a incidentes de seguridad.
i) Compartir experiencias de éxito en materia de seguridad entre sus miembros para velar por el cumplimiento de la PSI y su normativa de desarrollo.
3. El pleno de la CMAD podrá recabar de personal técnico, propio o externo, la información pertinente para la toma de sus decisiones.
1. Conforme al artículo 10 del Esquema Nacional de Seguridad, el Responsable de Seguridad es quien determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
2. Las funciones del Responsable de Seguridad se ejercerán por el grupo técnico de seguridad de la información, presidido y coordinado por el Subdirector General de Tecnologías de la Información y las Comunicaciones, y compuesto por un representante de cada uno de los organismos públicos adscritos a la presente política de seguridad, en el ámbito del Ministerio de Educación, Cultura y Deporte.
3. Serán funciones del Responsable de Seguridad y, por tanto, de dicho grupo técnico de seguridad de la información, las siguientes:
a) Mantener la seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.
b) Verificar que las medidas de seguridad son adecuadas para la protección de la información y los servicios.
c) Impulsar el cumplimiento del cuerpo normativo definido en el artículo 11, así como velar por el mantenimiento de la documentación de seguridad y la gestión de mecanismos de acceso a la misma.
d) Mantener un inventario actualizado de las normas de primer y segundo nivel detalladas en el artículo 11, de los nombramientos derivados de la presente orden, así como de los informes de auditorías, autoevaluaciones y análisis de riesgos realizados y de las declaraciones y certificaciones de seguridad.
e) Apoyar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución.
f) Elaborar informes periódicos de seguridad que incluyan los incidentes más relevantes de cada período.
g) Promover la mejora continua en la gestión de la seguridad de la información.
h) Impulsar la formación y concienciación en materia de seguridad de la información.
i) Aprobar la declaración de aplicabilidad, que comprende la relación de medidas de seguridad seleccionadas para un sistema.
j) Realizar los preceptivos análisis de riesgos y mantenerlos actualizados según la legislación vigente.
k) Promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información, y analizar los informes de auditoría, elaborando las conclusiones a presentar a los Responsables del Servicio y los Responsables de la Información para que adopten las medidas correctoras adecuadas bajo su responsabilidad.
l) Cualesquiera otras funciones que el Real Decreto 3/2010, de 8 de enero, asigne a los responsables de seguridad.
4. Cuando la complejidad, distribución, separación física de sus elementos o número de usuarios de los sistemas de información lo justifiquen, el grupo técnico de seguridad de la información podrá designar los responsables de seguridad delegados que considere necesarios, que tendrán dependencia funcional directa de aquél y serán responsables en su ámbito de todas aquellas acciones que les delegue el mismo.
5. Como apoyo del grupo técnico de seguridad de la información para el cumplimiento de sus funciones, éste contará con un equipo de seguridad que aglutinará las tareas de prevención de incidentes de seguridad, detección de anomalías, mecanismos de respuesta eficaz ante los mismos y actividades de recuperación mediante el desarrollo de planes de continuidad de los sistemas de información para garantizar la disponibilidad de los servicios críticos:
a) A estos efectos, el equipo de seguridad realizará las auditorías periódicas de seguridad (prevención), el seguimiento y control del estado de seguridad del sistema (detección), la respuesta eficaz a los incidentes de seguridad desde su notificación hasta su resolución (respuesta) y el desarrollo de los planes de continuidad de los sistemas de información (recuperación).
b) La composición del equipo de seguridad se determinará por el grupo técnico de seguridad de la información, que también podrá designar equipos de seguridad delegados para el apoyo en estas tareas de los responsables de seguridad delegados.
1. Los Responsables de la Información y los Responsables del Servicio tienen la potestad, dentro de su ámbito de actuación y de sus competencias, de establecer los requisitos, en materia de seguridad, de los servicios y de la información que manejan. A los efectos previstos en el Reglamento (UE) 2016/679, los Responsables de la Información tendrán asimismo la consideración de encargados del tratamiento respecto de los datos personales contenidos en la información incluida en su ámbito de actuación. En particular, los Responsables de la Información deberán mantener los registros de las actividades de tratamiento a los que se refiere el artículo 30 del citado Reglamento (UE) 2016/679.
2. Los órganos superiores o directivos del Ministerio de Educación, Cultura y Deporte así como los organismos públicos dependientes del Departamento a los que, conforme al artículo 1, les sea de aplicación la presente PSI, designarán estos perfiles de acuerdo con su propia organización interna. Se comunicarán los nombramientos al Responsable de Seguridad, para que pueda mantener el inventario mencionado en el artículo 7.3.d.
1. El Responsable del Sistema es quien tiene la responsabilidad de desarrollar, operar y mantener el sistema de información durante todo su ciclo de vida.
2. En conformidad con la disposición adicional sexta del Real Decreto 284/2017, de 24 de marzo, por el que se desarrolla la estructura orgánica básica del Ministerio de Educación, Cultura y Deporte, la Subdirección General de Tecnologías de la Información y Comunicaciones actuará como responsable del sistema para todos aquellos activos de información que hayan sido sometidos a un proceso de consolidación de recursos TIC. En el resto de casos, cada unidad u organismo público dependiente del Departamento a los que, conforme al artículo 1, les sea de aplicación la presente PSI, designará este perfil de acuerdo con su propia organización interna. Se comunicarán los nombramientos al Responsable de Seguridad, para que pueda mantener el inventario mencionado en el artículo 7.3.d.
1. El Delegado de Protección de Datos ejerce las funciones detalladas en la Sección 4 del Capítulo IV del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Tendrá en todo caso acceso al registro de las actividades de tratamientos de datos de carácter personal al que se refiere el artículo 30 del Reglamento (UE) 2016/679.
2. La designación de los Delegados de Protección de Datos del Ministerio de Educación, Cultura y Deporte y de los organismos adheridos a la presente PSI se efectuará conforme con el artículo 37 del Reglamento (UE) 2016/679. En consecuencia, serán designados atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones que tiene encomendadas. Se comunicarán los nombramientos al Responsable de Seguridad, para que pueda mantener el inventario mencionado en el artículo 7.3.d.
1. El cuerpo normativo sobre seguridad de la información es de obligado cumplimiento y se podrá estructurar como máximo en los siguientes niveles relacionados jerárquicamente:
a) Primer nivel normativo: PSI y directrices. Está constituido por la PSI y las directrices generales de seguridad aplicables a los órganos superiores o directivos del Ministerio de Educación, Cultura y Deporte a los que, conforme al artículo 1, sea de aplicación la presente PSI.
b) Segundo nivel normativo: Normativa y recomendaciones de seguridad. – Está constituido por la normativa y recomendaciones de seguridad que se definan en cada ámbito organizativo de aplicación específico (órganos superiores y directivos, y organismos públicos dependientes a los que sea de aplicación la presente PSI, conforme al artículo 1). La normativa, que comprende los procedimientos, las normas y las instrucciones técnicas de seguridad, es de obligado cumplimiento y se formalizará mediante instrucciones o resoluciones de los titulares de los órganos correspondientes, previa aprobación del presidente del grupo técnico de seguridad de la información, mientras que las recomendaciones consistirán en buenas prácticas y consejos no vinculantes para mejorar las condiciones de seguridad.
c) Tercer nivel normativo. Procedimientos técnicos. Está constituido por el conjunto de procedimientos técnicos orientados a resolver las tareas, consideradas críticas por el perjuicio que causaría una actuación inadecuada, de seguridad, desarrollo, mantenimiento y explotación de los sistemas de información. Son recomendaciones o informaciones relativas a temas concretos de seguridad basadas en Instrucciones previas, que establecen las configuraciones mínimas de seguridad de los diferentes elementos de un sistema de información, recomendaciones de uso o de otro tipo. La responsabilidad de aprobación de estos procedimientos técnicos dependerá de su ámbito de aplicación, que podrá ser en un ámbito específico o en un sistema de información determinado. Se consideran incluidas en este nivel normativo las guías CCN-STIC elaboradas por el Centro Criptológico Nacional.
2. Además de la normativa enunciada en el presente artículo, la estructura normativa podrá disponer, a criterio de cada uno de los órganos u organismos adscritos a la presente PSI, y siempre dentro del ámbito de sus competencias y responsabilidades, de otros documentos tales como: informes técnicos, registros, evidencias, etc.
1. La gestión de riesgos debe realizarse de manera continua sobre el sistema de información, conforme a los principios de gestión de la seguridad basada en los riesgos (artículo 6 Real Decreto 3/2010, de 8 de enero) y reevaluación periódica (artículo 9 Real Decreto 3/2010, de 8 de enero), siendo el Responsable del Servicio el encargado de solicitar el preceptivo análisis de riesgos y se proponga el tratamiento adecuado, calculando los riesgos residuales. El Responsable de Seguridad, tras la calificación de la información y la determinación del nivel de seguridad del sistema, obtendrá la matriz de aplicabilidad y el conjunto de medidas para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información y del servicio. Se realizará la evaluación de riesgo, identificando los riesgos residuales y, en base a ellos, se determinará el Plan de Tratamiento de Riesgo, que le será comunicado al Responsable de la Información y del Servicio.
2. El Responsable de Seguridad es el encargado de realizar dicho análisis en tiempo y forma a petición del Responsable del Servicio, así como de identificar carencias y debilidades y ponerlas en conocimiento de los Responsables de la Información y del Servicio.
3. Los Responsables de la Información y del Servicio son los propietarios de los riesgos sobre la información y sobre los servicios, respectivamente, siendo responsables de su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
4. El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse y aprobarse cada año por el titular del órgano o unidad administrativa o, en su caso, organismo autónomo, a través de un Plan de Adecuación al Esquema Nacional de Seguridad.
5. Las indicadas fases del proceso de gestión de riesgos se realizarán según lo dispuesto en los anexos I y II del Real Decreto 3/2010, de 8 de enero y siguiendo las normas, instrucciones, guías CCN-STIC y recomendaciones para la aplicación del mismo elaboradas por el Centro Criptológico Nacional.
Se aplicarán a los datos de carácter personal que sean objeto de tratamiento por parte del Ministerio de Educación, Cultura y Deporte las medidas de seguridad apropiadas derivadas del análisis de riesgos así como de la evaluación de impacto relativa a la protección de datos, tal cual se detalla en Reglamento (UE) 2016/679. Además, se aplicarán las medidas correspondientes al Anexo II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. En el caso de que el análisis de riesgos determine medidas agravadas respecto a la normativa recogida en el Anexo II del Real Decreto 3/2010, dichas medidas derivadas del análisis de riesgos serán las que se implementarán en la protección de datos de carácter personal.
1. Se desarrollarán actividades formativas específicas orientadas a la concienciación y formación de los empleados públicos del Departamento, así como a la difusión entre los mismos de la PSI y de su desarrollo normativo.
2. La CMAD y los Responsables de Seguridad se encargarán de promover las actividades de formación y concienciación en materia de seguridad, según lo indicado en el artículo 6.2.f y en el artículo 7.3.h.
La presente orden deberá mantenerse actualizada permanentemente para adecuarla al progreso de los servicios de Administración Electrónica, a la evolución tecnológica y al desarrollo de la sociedad de la información, así como a los estándares internacionales de seguridad.
La Subsecretaría del Departamento podrá dictar las instrucciones necesarias para el mejor cumplimiento de esta Orden.
Las medidas descritas en esta orden no supondrán incremento del gasto, siendo atendidas con los medios materiales y humanos de que dispone el Ministerio de Educación, Cultura y Deporte.
Todos los órganos y unidades del Departamento prestarán su colaboración en las actuaciones de implementación de la PSI aprobada por esta orden.
1. La presente orden entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».
2. Esta orden se publicará en las sedes electrónicas del Ministerio de Educación, Cultura y Deporte en cuyo ámbito sea de aplicación.
Madrid, 12 de marzo de 2018.–El Ministro de Educación, Cultura y Deporte, Íñigo Méndez de Vigo y Montojo.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
