Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2019-5536

Orden INT/424/2019, de 10 de abril, por la que se aprueba la poltica de seguridad de la informacin en el mbito de la administracin electrnica del Ministerio del Interior y las directrices generales en materia de seguridad de la informacin para la difusin de resultados provisionales en procesos electorales.

TEXTO

La Orden INT/2213/2013, de19 de noviembre, por la que se aprueba la poltica de seguridad de la informacin en el mbito de la administracin electrnica del Ministerio del Interior, identifica responsabilidades y establece el conjunto de principios y directrices bsicos para una proteccin apropiada y consistente de los servicios y activos de informacin gestionados en el marco de competencias del Ministerio, generando as, de acuerdo con lo establecido en el Real Decreto3/2010, de8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, las condiciones necesarias de confianza en el uso de medios electrnicos.

Desde el ao2013, se ha asistido a la modificacin del marco normativo bsico de aplicacin en el mbito de la administracin electrnica. Por un lado, la Ley39/2015, de1 de octubre, del procedimiento administrativo comn de las Administraciones Pblicas recoge en su artculo13 entre los derechos de las personas en sus relaciones con las Administraciones Pblicas, el relativo a la proteccin de datos de carcter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Pblicas.

Por otra parte, la Ley40/2015, de1 de octubre, de Rgimen Jurdico del Sector Pblico, establece en su artculo3 sobre principios generales que las Administraciones Pblicas se relacionarn entre s y con sus rganos, organismos pblicos y entidades vinculados o dependientes a travs de medios electrnicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarn la proteccin de los datos de carcter personal, y facilitarn preferentemente la prestacin conjunta de servicios a los interesados. Esta Ley, recoge expresamente en su artculo156 el Esquema Nacional de Seguridad al regular, en su Ttulo III Captulo IV, las relaciones electrnicas entre las Administraciones.

La poltica de seguridad de la informacin vigente del Ministerio del Interior, en adelante PSI, establece la estructura organizativa de acuerdo con la estructura del mismo establecida por Real Decreto400/2012, de17 de febrero, por el que se desarrolla la estructura orgnica bsica del Ministerio del Interior. Esta estructura, se ha visto modificada por normativa posterior y, especialmente por el Real Decreto952/2018, de27 de julio, que adeca la estructura del departamento a las nuevas necesidades organizativas en aras de aumentar la eficacia de la actuacin administrativa, en el mbito de competencias del departamento, en un contexto de continua evolucin tecnolgica.

De acuerdo con este mismo Real Decreto952/2018, de27 de julio, el departamento asume la realizacin de las actuaciones necesarias para el desarrollo de los procesos electorales. Para ello, utiliza servicios, comunicaciones y sistemas informticos que deben reunir las condiciones tcnicas y de seguridad de la informacin adecuadas para garantizar el efectivo ejercicio del derecho fundamental a la participacin poltica y, con ello, su imbricacin con la propia legitimidad democrtica de los resultados. En este sentido, la presente Orden tiene tambin como objetivo fortalecer la capacidad de identificacin, deteccin, prevencin, contencin y adecuada gestin ante posibles ciberamenazas en el mbito de los procesos electorales, coordinando actuaciones a travs de la creacin del Subcomit de Seguridad de la Informacin en Procesos electorales, adscrito al Comit Superior para la Seguridad de la Informacin.

Asimismo, han entrado en vigor, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de27 de abril de2016 relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos y por el que se deroga la Directiva95/46/CE (Reglamento general de proteccin de datos); la Ley Orgnica3/2018, de5 de diciembre, de Proteccin de Datos Personales y garanta de los derechos digitales; el Real Decreto-ley12/2018, de7 de septiembre, de seguridad de las redes y sistemas de informacin; la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de27 de abril de2016 relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevencin, investigacin, deteccin o enjuiciamiento de infracciones penales o de ejecucin de sanciones penales, y a la libre circulacin de dichos datos y por la que se deroga la Decisin Marco2008/977/JAI del Consejo (pendiente de trasposicin).

Contina en vigor, la Ley Orgnica15/1999, de13 de diciembre, de Proteccin de Datos de Carcter Personal, y en particular el artculo22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho espaol lo dispuesto en la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de27 de abril de2016.

Por todo ello, debe adaptarse la Poltica de Seguridad de la Informacin del Ministerio a los nuevos requerimientos normativos.

Esta orden cumple con los principios de necesidad, eficacia, proporcionalidad, seguridad jurdica, transparencia y eficiencia recogidos en el artculo129 de la Ley39/2015, de1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas.

Se ha recabado informe de la Comisin Ministerial de Administracin Digital del Ministerio del Interior y de la Agencia Espaola de Proteccin de Datos.

En virtud de lo anterior, con la aprobacin previa de la Ministra de Poltica Territorial y Funcin Pblica, dispongo:

Artculo1. Objeto.

La presente orden tiene por objeto:

a) La creacin del Subcomit de Seguridad de la Informacin para la Difusin de Resultados Provisionales en Procesos Electorales.

b) La actualizacin de la Poltica de Seguridad de la Informacin del Ministerio del Interior en el mbito de la administracin electrnica (en adelante, PSI), para adecuarla al marco jurdico actual, al progreso de los servicios de administracin electrnica, a la evolucin tecnolgica y la consolidacin de las infraestructuras que la apoyan.

c) La aprobacin de las Directrices de Seguridad de la Informacin para la Difusin de Resultados Provisionales en materia de procesos electorales.

CAPTULO I
Poltica de seguridad de la informacin
Artculo2. Poltica de Seguridad de la Informacin.

1. La PSI en el mbito de la administracin electrnica del Ministerio del Interior identifica responsabilidades y establece principios y directrices para una proteccin apropiada y consistente de los servicios y activos de informacin gestionados en el mbito de competencias del Ministerio del Interior, estableciendo el marco organizativo y tecnolgico de la misma.

2. La PSI se desarrollar posteriormente en otros niveles normativos, de acuerdo con lo establecido en el artculo18 de esta orden, en el que se detallarn los aspectos particulares involucrados en la gestin de la seguridad de los sistemas de informacin que soportan los servicios electrnicos prestados por el Ministerio del Interior a los ciudadanos y personas jurdicas con los que se relaciona.

3. Se aplicarn los principios bsicos y los requisitos mnimos que se establecen en el Real Decreto3/2010, de8 de enero, por el que se regula el Esquema Nacional de Seguridad (en adelante, ENS) en el mbito de la administracin electrnica, de acuerdo con el inters general, naturaleza y complejidad de la materia regulada, que permita una proteccin adecuada de la informacin y los servicios.

4. La PSI ser de aplicacin a los sistemas de informacin y activos utilizados por el Ministerio del Interior en la prestacin de los servicios de administracin electrnica, en el marco de sus competencias. Asimismo, la PSI deber ser de obligado cumplimiento por todo el personal con acceso a los sistemas de informacin del citado Departamento, con independencia de cul sea su destino, adscripcin o relacin con el mismo.

5. Por otra parte, ser de obligado cumplimiento para todos los rganos y unidades del Ministerio del Interior, as como para los organismos pblicos dependientes del mismo.

6. Se faculta a los Centros Directivos para que, en el mbito de sus competencias, amplen de manera progresiva el mbito de aplicacin de la PSI a los sistemas de informacin no relacionados con la administracin electrnica.

Artculo3. Misin del Departamento.

Corresponde al Ministerio del Interior, de acuerdo con lo establecido en el Real Decreto952/2018, de27 de julio, por el que se desarrolla su estructura orgnica bsica, la propuesta y ejecucin de la poltica del Gobierno en materia de seguridad ciudadana; la promocin de las condiciones para el ejercicio de los derechos fundamentales, en particular la libertad y seguridad personales, en los trminos establecidos en la Constitucin Espaola y en las leyes que los desarrollen; el mando superior y la direccin y coordinacin de las Fuerzas y Cuerpos de Seguridad del Estado; las competencias que le encomienda la legislacin sobre seguridad privada; las que le atribuye la legislacin en materia de extranjera; el rgimen de proteccin internacional de refugiados, el rgimen de aptridas y la proteccin a desplazados; la administracin y rgimen de las instituciones penitenciarias; la realizacin de las actuaciones necesarias para el desarrollo de los procesos electorales; el ejercicio de las competencias sobre proteccin civil; atencin y apoyo a las vctimas del terrorismo y las atribuidas en materia de trfico, seguridad vial y movilidad sostenible.

Artculo4. Marco normativo.

1. El marco normativo en que se desarrollan las actividades del Ministerio del Interior comprende la legislacin sectorial reguladora de la actuacin de los rganos superiores y directivos del mismo y de sus organismos pblicos adscritos, as como la normativa en vigor correspondiente a la administracin electrnica y al sistema de archivos y gestin documental del Departamento.

2. Tambin forman parte del marco normativo las restantes normas aplicables a la administracin electrnica del Departamento, derivadas de las anteriores y publicadas en las sedes electrnicas comprendidas dentro del mbito de aplicacin de la PSI.

Artculo5. Estructura organizativa de la PSI.

1. La organizacin de la seguridad debe tener en cuenta la propia organizacin del Ministerio del Interior, en consecuencia, las responsabilidades en seguridad de la informacin deben emerger de todos los mbitos, garantizndose la actuacin coordinada y eficaz.

2. Sin perjuicio de lo anterior, la estructura organizativa de la PSI en el Ministerio del Interior est compuesta por los siguientes agentes:

a) El Comit Superior para la Seguridad de la Informacin.

b) El Grupo de Trabajo de los Responsables de la Seguridad.

c) Los Grupos de Trabajo para la Seguridad de la Informacin.

d) El Grupo de Trabajo de los Delegados de Proteccin de Datos.

e) El Responsable de la Informacin.

f) El Responsable del Servicio.

g) El Responsable de la Seguridad.

h) El Responsable del Sistema.

Artculo6.  El Comit Superior para la Seguridad de la Informacin.

1. El Comit Superior para la Seguridad de la Informacin (en adelante, CSSI), se configura como un grupo de trabajo en el seno del Pleno de la Comisin Ministerial de Administracin Digital del Departamento, y ser el encargado de coordinar todas las actividades relacionadas con la seguridad de los sistemas de informacin en el mbito del Ministerio del Interior, ejerciendo las siguientes funciones:

a) Aprobar las propuestas de modificacin y actualizacin permanente de la PSI.

b) Velar e impulsar el cumplimiento de la PSI, as como su desarrollo normativo.

c) Informar sobre el estado de las principales variables de seguridad en los sistemas de informacin al Comit de Seguridad de la Informacin de las Administraciones pblicas para la elaboracin de un perfil general del estado de seguridad de las mismas.

d) Promover la mejora continua en la gestin de la seguridad de la informacin.

e) Impulsar la formacin y concienciacin.

f) Resolver los conflictos que puedan aparecer entre los diferentes responsables y/o entre diferentes reas de la organizacin, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

2. El CSSI est compuesto por los siguientes miembros, que podrn ser sustituidos por un suplente con categora mnima de Subdirector General o asimilado:

a) Presidencia: La persona titular de la Subsecretara del Ministerio del Interior.

b) Vicepresidencia: La persona titular de la Secretara General Tcnica.

c) Vocalas: Las personas titulares de los siguientes Centros Directivos:

1. Direccin General de la Polica.

2. Direccin General de la Guardia Civil.

3. Secretara General de Instituciones Penitenciarias.

4. Direccin General de Relaciones Internacionales y Extranjera.

5. Direccin General de Poltica Interior.

6. Direccin General de Trfico.

7. Direccin General de Proteccin Civil y Emergencias.

8. Direccin General de Apoyo a Vctimas del Terrorismo.

9. Gabinete del Secretario de Estado de Seguridad.

d) Secretara: con voz y voto, la persona titular de la Subdireccin General de Sistemas de Informacin y Comunicaciones para la Seguridad de la Secretara de Estado de Seguridad, que ser el garante de la ejecucin directa o delegada de las decisiones del CSSI. Se encarga de preparar los temas a tratar en las reuniones, realizar la convocatoria y elaborar el acta de las mismas.

e) Un representante del Grupo de Trabajo de los Delegados de Proteccin de Datos participar, con voz pero sin voto, en las reuniones del CSSI cuando en el mismo vayan a abordarse cuestiones relacionadas con el tratamiento de datos de carcter personal, as como siempre que se requiera su participacin. En todo caso, si un asunto se sometiese a votacin se har constar siempre en acta el parecer del Delegado de Proteccin de Datos.

3. El CSSI se reunir con carcter ordinario, al menos, una vez al ao. Por razones de urgencia podr reunirse siempre que la Presidencia lo estime conveniente.

4. En las reuniones del CSSI podrn participar cuantos asesores, internos o externos, se estime conveniente por parte de la Presidencia del mismo.

Artculo7. El Grupo de Trabajo de Responsables de la Seguridad.

1. El Grupo de Trabajo de Responsables de la Seguridad (en adelante, GTRS), se configura bajo dependencia directa del CSSI.

2. Las funciones del GTRS son:

a) Elaborar las propuestas de modificacin y actualizacin permanente de la PSI, y someterlas a la aprobacin del CSSI.

b) Asegurar la coherencia de las polticas de seguridad sectoriales que afecten al Departamento.

c) Elaboracin del perfil general del estado de seguridad del Ministerio, integrando el estado de las principales variables de seguridad de cada Centro Directivo para someterlo al CSSI.

d) Coordinar la comunicacin del Departamento con el Centro Criptolgico Nacional (CCN) en la utilizacin de servicios de respuesta a incidentes de seguridad, sin perjuicio de las comunicaciones que, en su mbito competencial, se realicen por el Responsable de la Seguridad de cada GTSI.

e) Colaboracin en la investigacin y resolucin de incidentes de seguridad de la informacin, tanto en el mbito interno como externo al Departamento.

3. El GTRS est compuesto por los siguientes miembros:

a) Presidencia: la persona titular de la Subdireccin General de Sistemas de Informacin y Comunicaciones para la Seguridad

b) Vocalas: las personas responsables de la Seguridad de cada Centro Directivo. Una misma persona puede ser responsable de seguridad de ms de un Centro Directivo.

c) Secretara: Un funcionario de carrera de la Subdireccin General de Sistemas de Informacin y Comunicaciones para la Seguridad.

4. En las reuniones del GTRS podrn participar cuantos asesores, internos o externos, estimen necesarios los miembros del mismo.

5. El GTRS se reunir con carcter ordinario, al menos, trimestralmente. Por razones de urgencia podr reunirse siempre que la Presidencia lo estime conveniente.

Artculo8. Los Grupos de Trabajo para la Seguridad de la Informacin.

1. Se constituir un Grupo de Trabajo para la Seguridad de la Informacin (en adelante, GTSI) en cada uno de los Centros Directivos del Ministerio del Interior que tenga competencias de gestin de tecnologas de la informacin y, en particular los siguientes:

a) Grupo de Trabajo para los servicios centrales de la Secretara de Estado de Seguridad y de la Subsecretara del Ministerio del Interior

b) Direccin General de la Polica.

c) Direccin General de la Guardia Civil.

d) Secretara General de Instituciones Penitenciarias.

e) Direccin General de Trfico.

f) Direccin General de Proteccin Civil y Emergencias.

g) Entidad de Derecho Pblico Trabajo Penitenciario y Formacin para el Empleo.

2. Se establece la posibilidad de que, en razn de infraestructuras compartidas, se puedan agrupar algunos de los grupos de trabajo citados en el apartado anterior.

3. Los GTSI ejercern las siguientes funciones, que podrn ser ampliadas dentro su mbito competencial:

a) Redactar y aprobar las normas de segundo nivel correspondientes al mbito de influencia de su Centro Directivo.

b) Velar e impulsar el cumplimiento de las normas de segundo nivel y promover el desarrollo del tercer nivel normativo.

c) Aprobacin de documentos de correspondencia de responsables en su mbito competencial, detallados de acuerdo a la normativa en vigor en materia de seguridad y privacidad.

d) Aprobacin de los planes de mejora de la seguridad en su mbito de competencias, de acuerdo a los presupuestos disponibles.

e) Informar sobre el estado de las principales variables de seguridad de sus sistemas de informacin, para la elaboracin de un perfil general del estado de seguridad del Ministerio.

f) Promover la mejora continua en la gestin de la seguridad de la informacin en su mbito de competencias.

g) Impulsar la formacin y concienciacin en su mbito.

h) Resolver los conflictos que puedan aparecer entre los diferentes responsables y/o entre diferentes reas de la Organizacin, elevando aquellos casos en los que no tenga suficiente autoridad para decidir.

4. La composicin final y funcionamiento de cada GTSI ser determinada por el titular del Centro Directivo de entre los funcionarios de carrera adscritos al mismo adecundose a la estructura del Centro Directivo. Estar compuesto, al menos, por los siguientes miembros:

a) Responsable de la Informacin.

b) Responsable del Servicio.

c) Responsable de la Seguridad.

d) Responsable de Sistemas.

5. Por cada Centro Directivo podrn designarse uno o varios Responsables de la Informacin, uno o varios Responsables de los Servicios, y uno o varios Responsables de Sistemas, de acuerdo a su organizacin, siendo los mismos titulares de las unidades administrativas competentes en la gestin de la informacin, los servicios y los sistemas informticos, respectivamente. Respecto al mbito y objeto de la presente Orden, dichas funciones podrn ser encomendadas a personal funcionario de la correspondiente Unidad Administrativa.

6. La designacin del responsable de la Seguridad en cada Centro Directivo la realizar el titular del mismo, y ser coherente con las estructuras organizativas existentes en relacin con la Seguridad de la Informacin.

7. El Delegado de Proteccin de Datos del Centro Directivo participar, con voz pero sin voto, en las reuniones del GTSI cuando en el mismo vayan a abordarse cuestiones relacionadas con el tratamiento de datos de carcter personal, as como siempre que se requiera su participacin. En todo caso, si un asunto se sometiese a votacin se har constar siempre en acta el parecer del Delegado de Proteccin de Datos.

8. La composicin final de cada GTSI se comunicar a la Secretara del Comit Superior para la Seguridad de la Informacin para su traslado a la Comisin Ministerial de Administracin Digital, en el plazo mximo de un mes desde su constitucin.

Artculo9. El Grupo de Trabajo de los Delegados de Proteccin de Datos.

1. Se constituye el Grupo de Trabajo de los Delegados de Proteccin de Datos (GTDPD, en adelante), compuesto por los Delegados de Proteccin de Datos (DPD en adelante) nombrados en el Ministerio del Interior:

a) DPD de la Direccin General de la Polica.

b) DPD de la Direccin General de la Guardia Civil.

c) DPD de la Secretara General de Instituciones Penitenciarias.

d) DPD de la Direccin General de Trfico.

e) DPD de la Secretara de Estado de Seguridad.

f) DPD del Ministerio, para el mbito del Ministro, y de la Subsecretara del Interior (excluida la Direccin General de Trfico).

2. El GTDPD ejercer las siguientes funciones, que podrn ser ampliadas dentro su mbito competencial:

a) Supervisar la normativa de seguridad del ministerio en relacin al cumplimiento de lo dispuesto en el Reglamento general de proteccin de datos, en otras disposiciones de proteccin de datos de la Unin Europea o de los Estados miembros en materia de proteccin de datos personales, incluida la asignacin de responsabilidades, la concienciacin y formacin del personal que participa en las operaciones de tratamiento, y las auditoras correspondientes.

b) Normalizar metodologas de accin, criterios comunes y documentacin general a utilizar en materia de proteccin de datos personales.

c) Proponer recomendaciones o sugerencias que considere oportunas relativas a materia de proteccin de datos a los responsables y encargados de tratamiento del Ministerio del Interior.

d) En las reuniones del GTDPDS podrn participar cuantos asesores, internos o externos, estimen necesarios los miembros del mismo.

Artculo10. El Responsable de la Informacin.

1. Conforme a los artculos10 y44 del Real Decreto3/2010, de8 de enero, el Responsable de la Informacin es la persona u rgano corporativo que tiene la potestad de establecer los requisitos de la informacin en materia de seguridad o, en terminologa del ENS, la potestad de determinar los niveles de seguridad de la informacin.

2. Sern funciones del Responsable de la Informacin, dentro de su mbito de actuacin, las siguientes:

a) Determinar los niveles de seguridad de la informacin tratada, valorando los impactos de los incidentes que afecten a la seguridad de la informacin.

b) Son los encargados, junto a los Responsables del Servicio y contando con la participacin del Responsable de la Seguridad, de realizar los preceptivos anlisis de riesgos y seleccionar las salvaguardas que se han de implantar.

c) Son los responsables de aceptar los riesgos residuales respecto de la informacin, calculados en el anlisis de riesgos.

d) Para la determinacin de los niveles de seguridad de la informacin, el Responsable de la Informacin solicitar informe del Responsable de la Seguridad.

Artculo11. El Responsable del Servicio.

1. Conforme al artculo10 del Real Decreto3/2010, de8 de enero, el Responsable del Servicio es la persona u rgano corporativo que tiene la potestad de establecer los requisitos del servicio en materia de seguridad. Es el encargado de determinar los niveles de seguridad del servicio en cada dimensin de seguridad, dentro del marco establecido en el anexo I del citado Real Decreto.

2. Sern funciones del Responsable del Servicio, dentro de su mbito de actuacin, las siguientes:

a) Determinar los niveles de seguridad del servicio, valorando los impactos de los incidentes que afecten a la seguridad del servicio.

b) Son los encargados, junto a los Responsables de la Informacin y contando con la participacin del responsable de la seguridad, de realizar los preceptivos anlisis de riesgos y seleccionar las salvaguardas que se han de implantar.

c) Son los responsables de aceptar los riesgos residuales respecto de los servicios calculados en el anlisis de riesgos.

d) Para la determinacin de los niveles de seguridad del servicio, el Responsable del Servicio solicitar informe del Responsable de la Seguridad.

3. Podr coincidir en la misma persona u rgano las responsabilidades de la informacin y del servicio. La diferenciacin tendr lugar cuando el servicio maneja informacin de distintas procedencias, no necesariamente de la misma unidad departamental que la que presta el servicio cuando dicha prestacin no depende de la unidad que es Responsable de la Informacin.

Artculo12. El Responsable de la Seguridad.

1. Conforme al artculo10 del Real Decreto3/2010, de8 de enero, el Responsable de la Seguridad es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la informacin y de los servicios.

2. Sern funciones del Responsable de la Seguridad, dentro de su mbito de actuacin, las siguientes:

a) Desarrollar las directrices, estrategias y objetivos dictados por el GTSI.

b) Proveer de asesoramiento y apoyo al GTSI.

c) Elaborar la normativa de seguridad.

d) Aprobar los procedimientos operativos de seguridad.

e) Mantener la seguridad de la informacin manejada y de los servicios electrnicos prestados por los sistemas de informacin.

f) Realizar o promover auditoras peridicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la informacin.

g) Realizar el seguimiento y control del estado de seguridad del sistema de informacin.

h) Verificar que las medidas de seguridad son adecuadas para la proteccin de la informacin y los servicios.

i) Apoyar y supervisar la investigacin de los incidentes de seguridad desde su notificacin hasta su resolucin.

j) Elaborar informes peridicos de seguridad para el GTSI que incluyan los incidentes ms relevantes de cada perodo.

k) Supervisar el registro de activos.

3. Por cada Centro Directivo con competencias de gestin de tecnologas de comunicacin, en particular los sealados en el artculo10.1 se designar un Responsable de Seguridad entre los funcionarios de carrera del Centro. Cuando la complejidad, distribucin, separacin fsica de sus elementos o nmero de usuarios de los sistemas de informacin lo justifiquen, el titular del Centro Directivo podr designar los Responsables de la Seguridad delegados que considere necesarios entre los funcionarios de carrera del Centro, que tendrn dependencia funcional directa del Responsable de la Seguridad y sern responsables en su mbito de todas aquellas acciones que les delegue.

Artculo13. El Responsable del Sistema.

1. El Responsable del Sistema es la persona que tiene la responsabilidad de desarrollar, operar y mantener el Sistema de Informacin durante todo su ciclo de vida, de sus especificaciones, instalacin y verificacin de su correcto funcionamiento.

2. Son funciones del Responsable del Sistema:

a) Definir la topologa y sistema de gestin del Sistema de Informacin estableciendo los criterios de uso y los servicios disponibles en el mismo.

b) Cerciorarse de que las medidas especficas de seguridad se integren adecuadamente dentro del marco general de seguridad.

c) Posibilidad de acordar la suspensin del manejo de una cierta informacin o la prestacin de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfaccin de los requisitos establecidos. Esta decisin debe ser acordada con los Responsables de la Informacin afectada, del Servicio afectado y el Responsable de la Seguridad, antes de ser ejecutada.

d) Para las dems funciones que por su naturaleza as lo requieran, se coordinar con la Secretara General Tcnica, especialmente a los efectos de eliminacin de la informacin, de transferencia al archivo electrnico nico y de cuantas otras actuaciones estn comprendidas en el marco del Sistema de Archivos del Ministerio del Interior.

Artculo14. Resolucin de conflictos.

En caso de conflicto entre los diferentes responsables, ste ser resuelto por el superior jerrquico de los mismos. En defecto de lo anterior, prevalecer la decisin del CSSI.

Artculo15. Gestin de riesgos.

1. La gestin de riesgos debe realizarse de manera continua sobre el sistema de informacin, conforme a los principios de gestin de la seguridad basada en los riesgos y de reevaluacin peridica, segn los artculos6 y9, respectivamente, del Real Decreto3/2010, de8 de enero, y de acuerdo con el artculo24 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de27 de abril de2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos y por el que se deroga la Directiva95/46/CE (en adelante, Reglamento general de proteccin de datos).

En caso de que el anlisis de gestin de riesgos de acuerdo con el Reglamento general de proteccin de datos agraven las medidas a implantar respecto de las previstas en el Real Decreto3/2010, de8 de enero, tienen prioridad las medidas de acuerdo con el artculo24.1 del Reglamento general de proteccin de datos.

2. Los Responsables de la Informacin y del Servicio son los responsables de los riesgos sobre la informacin y sobre los servicios, respectivamente, y por tanto, de aceptar los riesgos residuales calculados en el anlisis, as como de realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.

3. La seleccin de las medidas de seguridad a aplicar ser propuesta por cada Responsable de Seguridad al GTSI correspondiente.

4. El proceso de gestin de riesgos, que comprende las fases de categorizacin de los sistemas, anlisis de riesgos y seleccin de medidas de seguridad a aplicar, que debern ser proporcionales a los riesgos y estar justificadas, deber revisarse cada ao por parte del Responsable de Seguridad, que elevar un informe al GTSI correspondiente.

Artculo16. Desarrollo normativo de la PSI. Documentacin de Seguridad.

1. El cuerpo normativo sobre seguridad de la informacin es de obligado cumplimiento y se desarrollar en tres niveles, segn el mbito de aplicacin y nivel de detalle tcnico, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:

a) Primer nivel normativo: Poltica de Seguridad de la Informacin y directrices y normas de seguridad generales para todo el Ministerio del Interior.

b) Segundo nivel normativo: Normas Especficas de Seguridad de la Informacin y Normas de Seguridad TIC (Normas STIC). Las mismas desarrollan y detallan la Poltica de Seguridad de la Informacin, centrndose en un rea o aspecto determinado de la seguridad de la informacin.

c) Tercer nivel normativo: Procesos y Procedimientos STIC e Instrucciones Tcnicas STIC. Son documentos que dan respuesta, incluyendo detalles de implementacin y tecnolgicos, a cmo se puede realizar una determinada tarea cumpliendo con lo expuesto en la PSI.

Los Procesos, Procedimientos STIC e Instrucciones Tcnicas STIC de un determinado mbito de actuacin los aprueba el correspondiente Responsable de Seguridad.

2. Adems de los documentos citados en el apartado1, la documentacin de seguridad del sistema podr contar, bajo criterio del Responsable de Seguridad correspondiente, con otros documentos de carcter no vinculante: recomendaciones, buenas prcticas, informes, registros, evidencias electrnicas, etc.

3. Cada Responsable de Seguridad deber mantener la documentacin de seguridad actualizada y organizada, y gestionar los mecanismos de acceso a la misma.

4. El GTSI establecer los mecanismos necesarios para compartir la documentacin derivada del desarrollo normativo con el propsito de normalizarlo, en todo el mbito de aplicacin de la PSI.

Artculo17. Proteccin de datos de carcter personal: la poltica de privacidad.

1. En el mbito del Ministerio del Interior la garanta de la proteccin de datos de carcter personal de las actividades de tratamiento es un objetivo compartido por todas las unidades del departamento que se rige por los siguientes principios:

a) Licitud, lealtad y transparencia.

b) Limitacin de la finalidad.

c) Minimizacin de datos.

d) Exactitud.

e) Limitacin del plazo de conservacin.

f) Integridad y confidencialidad.

g) Responsabilidad proactiva.

2. Para su consecucin se establecen las siguientes directrices:

a) Estructura organizativa: En el mbito del Ministerio del Interior se nombran los siguientes Delegados de Proteccin de Datos (en adelante, DPD) que asumen, en su mbito de competencias, las funciones recogidas en el artculo39 del Reglamento general de proteccin de datos:

1. DPD de la Direccin General de la Polica.

2. DPD de la Direccin General de la Guardia Civil.

3. DPD de la Direccin General de Trfico.

4. DPD de la secretara General de Instituciones Penitenciarias.

5. DPD de la Secretara de Estado de Seguridad.

6. DPD del Ministerio, que acta como coordinador, al que corresponden el resto de mbitos del Ministerio.

La actuacin de los DPD se regir por el principio de independencia, por lo que no recibirn ninguna instruccin en lo que respecta al desempeo de sus funciones. Podrn estar asistidos por grupos de trabajo integrados por representantes de las unidades administrativas de su mbito de actuacin.

b) Actividades de tratamiento: Se entiende por tratamiento cualquier operacin o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organizacin, estructuracin, conservacin, adaptacin o modificacin, extraccin, consulta, utilizacin, comunicacin por transmisin, difusin o cualquier otra forma de habilitacin de acceso, cotejo o interconexin, limitacin, supresin o destruccin.

De acuerdo con el Reglamento general de proteccin de datos, y en especial con lo dispuesto en su artculo17, el responsable del tratamiento es el titular de la Unidad Administrativa que determine los fines y medios del tratamiento; con carcter general, se corresponde con el titular de la unidad en que se produzca la operacin sobre los datos; en los casos en que no se corresponda la definicin legal del responsable del tratamiento con el titular de la unidad en que se produzca la operacin sobre los datos o haya varias unidades en las que se produzca la operacin de los datos, el titular del centro directivo determinar el responsable del tratamiento, para lo cual puede ser asesorado por parte del DPD.

Para todos aquellos tratamientos de datos que procesen datos de carcter personal que se realicen en el Ministerio del Interior, los responsables de tratamiento debern proporcionar la informacin necesaria para elaborar un Registro con sus Actividades de Tratamiento. Los DPD darn instrucciones sobre la herramienta y el apoyo necesario para el mantenimiento del citado registro, cuyo contenido deber corresponderse con la establecida en el artculo30 del Reglamento general de proteccin de datos, incluyendo tambin su base legal.

c) Clusulas informativas: Para garantizar la adecuacin permanente de las clusulas informativas en materia de privacidad, os responsables de tratamiento debern verificar el cumplimiento continuo de la inclusin de clusulas informativas sobre el tratamiento de datos personales (artculos13 y14 del Reglamento general de proteccin de datos), en especial en el momento previo a la recogida de datos personales, tanto en formularios en papel como en medios electrnicos.

d) Procedimientos de relacin entre las agencias de control, DPD, responsables de tratamiento y ciudadanos: Los ciudadanos pueden ejercitar sus derechos directamente a los responsables de tratamiento, o bien hacerlo a un DPD o incluso directamente ante una agencia de control como, por ejemplo, la Agencia Espaola de Proteccin de Datos. Los responsables de tratamiento respondern a las peticiones, pudiendo actuar el DPD correspondiente como intermediario con el ciudadano y con otras administraciones, as como llevando la interlocucin con las agencias de control.

e) Gestin de riesgos de privacidad: La gestin de riesgos de privacidad se alinear con el anlisis de riesgos de la seguridad. Los DPD podrn, a peticin del responsable del tratamiento, proporcionar asesoramiento y herramientas especficas tanto para esta gestin de riesgos, como para la realizacin de evaluaciones de impacto en la privacidad para los tratamientos, en especial los de alto riesgo.

f) Revisin jurdica de los contratos, acuerdos y convenios con encargados de tratamiento: Los DPD proporcionarn modelos de clusulas tipo y asesoramiento para la adecuacin de contratos, acuerdos y convenios que incluyan el tratamiento de datos personales.

g) Procedimiento de comunicacin de brechas de seguridad: Los DPD definirn los protocolos correspondientes, coordinados con los responsables de seguridad, para la comunicacin de brechas de seguridad que afecten a informacin con datos de carcter personal.

h) Procedimiento de privacidad desde el diseo: Los DPD definirn y difundirn un procedimiento de privacidad desde el diseo que tendr por objetivo el introducir un protocolo dentro del ciclo de vida del desarrollo y mantenimiento de sistemas de informacin que garantice que se tienen en cuenta las exigencias de seguridad derivadas del manejo de datos personales.

i) Auditoras de privacidad y revisin continua de las medidas de privacidad: Los DPD fomentarn procesos de auditora peridica encaminados a la mejora continua del cumplimiento normativo en materia de proteccin de datos y a la implantacin de las medidas correctoras necesarias para mejorar la seguridad de los datos personales.

j) Actuaciones de formacin y concienciacin: Los DPD realizarn una planificacin de actuaciones peridicas de formacin y concienciacin al personal en materia de privacidad. Asimismo, se impulsar la formacin en materia de gestin documental y archivo.

3. En relacin con los sistemas de informacin que, para soportar la prestacin de servicios de administracin electrnica, manejen datos de carcter personal, prevalecern las mayores exigencias contenidas en la normativa de proteccin de datos en vigor que afecte al sistema de informacin concreto.

Artculo18. Terceras partes.

1. Cuando el Ministerio del Interior utilice servicios o maneje informacin de otros organismos, se les har partcipes de esta Poltica de Seguridad de la Informacin, se establecern canales para reporte y coordinacin de los respectivos Comits de Seguridad TIC y se establecern procedimientos de actuacin para la reaccin ante incidentes de seguridad.

2. Cuando el Ministerio del Interior preste servicios o ceda informacin a terceros, se les har partcipes de esta Poltica y de la Normativa de Seguridad que ataa a dichos servicios e informacin. Los mismos quedarn sujetos a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecern procedimientos especficos de reporte y resolucin de incidencias y se garantizar que el personal de terceros est adecuadamente concienciado en materia de seguridad.

3. Cuando algn aspecto de la PSI no pueda ser satisfecho por una tercera parte segn se establece en los prrafos anteriores, se requerir un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Dicho informe habr de ser aprobado por los responsables de la informacin y los servicios afectados.

Artculo19. Concienciacin y formacin.

Todo el personal relacionado con la informacin, los servicios y los sistemas de informacin, deber ser formado e informado de sus deberes y obligaciones en materia de seguridad de la informacin. Para garantizar la seguridad de las tecnologas de la informacin aplicables a los sistemas y servicios del Ministerio del Interior, se articularn los mecanismos necesarios para llevar a la prctica la concienciacin y la formacin especfica necesaria e imprescindible en todos los niveles de la organizacin.

CAPTULO II
Directrices de seguridad de la informacin para la difusin de resultados provisionales en materia de procesos electorales
Artculo20. mbito de aplicacin.

1. Las presentes directrices se aplican a todos los servicios y sistemas TIC que participen de manera activa o pasiva en el proceso de Difusin de Resultados Provisionales en Procesos Electorales.

2. Se incluye a todo el personal, sistemas informticos, recursos, infraestructura, proveedores y terceros que la Subsecretara del Interior emplea para la ejecucin del proceso de Difusin de Resultados Provisionales en Procesos Electorales.

Todo el personal interno o externo deber conocerlas y aplicarlas como parte de las tareas propias de su funcin dentro del organismo.

3. Queda excluido de las presentes directrices todo aquel proceso electoral que no sea gestionado por el Ministerio del Interior o cualquier otro del que no forme parte.

Artculo21. Objetivo.

1. Los sistemas de informacin que integran el proceso de Difusin de Resultados Provisionales en Procesos Electorales requieren unos niveles elevados de confidencialidad, disponibilidad e integridad debido principalmente, al grado de criticidad de la informacin y la grave repercusin e impacto que se producira en la ciudadana, en caso de afectacin negativa.

Por ello, atendiendo a los objetivos de seguridad del departamento, requieren de unas medidas de seguridad adecuadas, que en trminos de capacidad de gestin, confidencialidad, integridad, disponibilidad de la informacin y mejora continua permitan desarrollar su funcin con plena garanta y eficacia.

2. Estas directrices se sustentarn en la creacin, implantacin, revisin y mejora continua de un Sistema de Gestin de la Seguridad de la Informacin, fundamentado en los procesos de anlisis y gestin de riesgos.

Dicho Sistema de Gestin de Seguridad de la Informacin se traducir en un marco normativo interno de aplicacin, estructurando toda la informacin en documentacin (Polticas, Normativa, Procedimientos, Manuales, Instrucciones Tcnicas, entre otras), que determinar el modo de asegurar los distintos activos y procesos que conforman la Difusin de Resultados Provisionales en Procesos Electorales.

Artculo22. Subcomit de Seguridad de la Informacin para la Difusin de Resultados Provisionales en Procesos electorales.

1. El Subcomit de Seguridad de la Informacin para la Difusin Provisional en Procesos Electorales, adscrito al comit Superior para la Seguridad de la Informacin del Ministerio del Interior, cuyo mbito de actuacin es la seguridad de la informacin en procesos electorales.

2. El Subcomit est compuesto por los siguientes miembros:

a) Presidencia: La persona titular de la Subsecretara del Ministerio del Interior.

b) Vicepresidencia: La persona titular de la Direccin General de Poltica Interior.

c) Secretara: La persona titular de la Subdireccin General de Poltica Interior y Procesos Electorales.

d) Vocalas:

1. La persona titular de la Subdireccin General de Sistemas de Informacin y Comunicaciones por su condicin de Responsable de Seguridad de la Informacin del Grupo de Trabajo para los Servicios Centrales de la Secretara de Estado de Seguridad y de la Subsecretara del Ministerio del Interior, y Presidente del Grupo de Trabajo de Responsables de la Seguridad.

2. La persona titular de la Subdireccin General de Calidad de los Servicios e Innovacin por su condicin de Delegado de Proteccin de Datos del Ministerio del Interior, y Presidente del Grupo de Trabajo de los Delegados de Proteccin de Datos, con voz pero sin voto.

3. Un funcionario de carrera del subgrupo A1 de la Subdireccin General de Sistemas de Informacin y Comunicaciones para la Seguridad, designado por su titular.

3. Son funciones del Subcomit, en el mbito de los procesos electorales:

a) Aprobar las normas especficas de seguridad de la informacin y normas de seguridad TIC.

b) Velar por el cumplimiento de la normativa de aplicacin legal, regulatoria y sectorial.

c) Coordinar los planes de continuidad del servicio entre las diferentes reas para asegurar una actuacin sin fisuras en caso de que deban ser activados.

d) Coordinar y aprobar las propuestas recibidas en materia de seguridad de los diferentes rganos y unidades del Ministerio.

e) Recabar del Responsable de Seguridad de la Informacin informes regulares del estado de la seguridad del servicio y de los posibles incidentes.

f) Aprobar la asignacin de roles y los criterios para alcanzar las garantas que estime pertinentes en lo relativo a la segregacin de funciones.

g) Establecer y aprobar la metodologa y criterios para el anlisis de riesgos.

h) Proponer para su aprobacin, cualquier modificacin de las Directrices de Seguridad de la Informacin en materia de procesos electorales.

4. El Subcomit de Seguridad de la Informacin para la Difusin de Resultados Provisionales en Procesos Electorales se reunir con la periodicidad que determine su Presidencia.

Artculo23. Responsable de la informacin.

1. El Responsable de la Informacin tendr la potestad de establecer los requisitos de la informacin en materia de seguridad determinando as el nivel de seguridad asociado a los mismos en cada dimensin. En concreto, establecer los requisitos de integridad, confidencialidad, disponibilidad y aquellos otros que considere oportunos. Dada la criticidad que conlleva este papel, corresponde a la persona titular de la Direccin General de Poltica Interior ejercer dicha responsabilidad.

2. El responsable de la informacin podr ser asistido por las personas o unidades del Ministerio que estime necesario, adems de, en su caso, por otros organismos con competencias en el mbito de la seguridad de la informacin

3. Sern funciones del Responsable de la Informacin, dentro de su mbito de actuacin, las siguientes:

a) Determinar los niveles de seguridad de la informacin tratada, valorando los impactos de los incidentes que afecten a la seguridad de la informacin, de acuerdo con los informes que reciba del Responsable de Seguridad de la Informacin.

b) Con el apoyo del Responsable del Servicio de Procesos Electorales, velar por la realizacin de los preceptivos anlisis de riesgos, seleccionando las salvaguardas que se han de implantar, a propuesta del Responsable de Seguridad de la Informacin.

c) Aceptar los riesgos residuales a los que se expone la informacin, una vez realizado el anlisis de riesgos e implantadas la salvaguardas que hayan sido seleccionadas.

Artculo24. Responsable del Servicio de Procesos Electorales.

1. El Responsable del Servicio de Procesos Electorales tendr la potestad de establecer los requisitos del servicio en materia de seguridad determinando as el nivel de seguridad asociado a los mismos en cada dimensin analizada para la proteccin de la informacin. En concreto, establecer los requisitos de disponibilidad, y aquellos otros que considere oportuno: confidencialidad, integridad, accesibilidad, interoperabilidad, etc. Dada la relevancia que existe en establecer los requisitos de seguridad en el servicio, corresponde a la persona titular de la Subdireccin General de Poltica Interior y Procesos Electorales, ejercer el presente papel como rgano dependiente de la Direccin General de Poltica Interior del Ministerio del Interior.

2. El responsable del servicio podr ser asistido por las personas o unidades del Ministerio que estime conveniente el Responsable de la Informacin adems de, en su caso, por otros organismos con competencias en el mbito de la seguridad de la informacin.

3. Sern funciones del Responsable del Servicio de Procesos Electorales, dentro de su mbito de actuacin, las siguientes:

a) Determinar los niveles de seguridad del servicio, valorando los impactos de los incidentes que afecten a la seguridad del servicio en todas sus dimensiones, de acuerdo con los informes que reciba del Responsable de Seguridad de la Informacin.

b) Junto al Responsable de la Informacin, velar por la realizacin de los preceptivos anlisis de riesgos, seleccionando las salvaguardas que se han de implantar, a propuesta del Responsable de Seguridad de la Informacin.

c) Aceptar los riesgos residuales a los que se expone los servicios, una vez realizado el anlisis de riesgos e implantadas las salvaguardas que hayan sido seleccionadas.

Artculo25. Responsable del Sistema en Procesos Electorales.

1. El Responsable de los Sistemas en Procesos Electorales tendr la responsabilidad de desarrollar, operar y mantener el sistema de informacin durante todo su ciclo de vida, de velar por que se cumplan las especificaciones que se dicten, garantizar su instalacin y de verificar su correcto funcionamiento. Corresponde a la persona titular de la Subdireccin General de Sistemas de Informacin y Comunicaciones para la Seguridad desempear el papel de Responsable del Sistema en Procesos Electorales.

2. El Responsable de los Sistemas en Procesos Electorales podr ser asistido por las personas o unidades del Ministerio que estime conveniente el Responsable de la Informacin adems de, en su caso, por otros organismos con competencias en el mbito de la seguridad de la informacin.

3. Son funciones del Responsable de los Sistemas en Procesos Electorales:

a) Definir la topologa y la gestin del sistema de informacin, estableciendo los criterios de uso y los servicios disponibles en el mismo.

b) Asegurar que las medidas especficas de seguridad se integren adecuadamente.

c) Proponer, en su caso, la suspensin total o parcial de la prestacin del Servicio, si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfaccin de los requisitos establecidos. Esta decisin deber ser informada, consensuada y aprobada, con carcter previo, en el Subcomit de Seguridad de la Informacin en Procesos Electorales

Artculo26. Responsable de Seguridad de la Informacin.

1. El Responsable de Seguridad de la Informacin deber satisfacer los requisitos de seguridad de la informacin y de los servicios que hayan sido analizados y establecidos respectivamente por sus responsables. Corresponder al titular de la jefatura del rea responsable de la Subdireccin General de Sistemas de Informacin y Comunicaciones para la Seguridad (SGSICS) desempear este papel.

2. Sern funciones del Responsable de la Seguridad de la Informacin, dentro de su mbito de actuacin, las siguientes:

a) Elaborar la normativa especfica de seguridad que desarrolla la presente Poltica de Seguridad de la Informacin.

b) Aprobar los procedimientos operativos de seguridad.

c) Mantener la seguridad de la informacin manejada y de los servicios digitales prestados por los sistemas de informacin.

d) Realizar o promover las auditoras preceptivas para verificar el cumplimiento de las obligaciones en materia de seguridad de la informacin.

e) Realizar el seguimiento y control del estado de seguridad del sistema de informacin.

f) Verificar que las medidas de seguridad son adecuadas para la proteccin de la informacin y los servicios.

g) Apoyar y supervisar la investigacin de los incidentes de seguridad desde su notificacin hasta su resolucin.

h) Elaborar planes de concienciacin y formacin.

i) Supervisar el registro de activos.

El Responsable de Seguridad de la Informacin recabar las respuestas y soluciones a las cuestiones que le sean planteadas en el Comit de Seguridad de la Informacin.

Artculo27. Gestin de riesgos.

Todos los sistemas sujetos a estas directrices sern incluidos en los correspondientes anlisis de riesgos, evaluando las amenazas y los riesgos a los que estn expuestos. Estos anlisis se llevarn a cabo peridicamente y, en todo caso, se repetirn:

a) En cada proceso electoral.

b) Cuando cambie la informacin manejada.

c) Cuando se modifiquen los servicios prestados.

d) Cuando ocurra un incidente grave de seguridad que afecte al mbito de la seguridad de la informacin.

e) Cuando se informen vulnerabilidades graves que afecten al mbito de la seguridad de la informacin.

Para la realizacin de los anlisis de riesgos, el Subcomit de Seguridad de la Informacin en procesos electorales establecer un valor de referencia para los diferentes tipos de informacin manejados y servicios prestados, acorde a la normativa aplicable.

Artculo28. Deberes y responsabilidades y proteccin de datos.

Lo previsto en la Poltica de Seguridad de la Informacin de la Informacin en el mbito de la Administracin electrnica del Ministerio del Interior se aplicar a las presentes Directrices.

Artculo29. Auditora.

Se realizarn las correspondientes auditoras en cada uno de los procesos electorales en las que forme parte el Ministerio del Interior, tanto para validar los cambios que se hayan realizado como para verificar el grado de cumplimiento de la misma, siendo stas las siguientes:

a) Auditoras previas: estas auditoras debern estar finalizadas15 das antes de la jornada electoral. Se considerarn finalizadas y conformes, cuando se hayan aplicado todas las medidas que por parte del Comit de Seguridad de la Informacin –al que se refiere el apartado4.1– se consideren necesarias.

b) Auditora de Evaluacin Continua: Con el fin de actualizar la Poltica de Seguridad de la Informacin en cada proceso electoral, durante los30 das posteriores al da de las votaciones, se iniciar una auditora con la finalidad de identificar aquellos objetivos de seguridad cumplidos y los puntos de mejora que se hayan detectado, para su aplicacin en futuros procesos, previa revisin, en su caso, por parte del citado Comit de Seguridad de la Informacin.

Artculo30. Revisin.

Corresponde al Subcomit de Seguridad de la Informacin para la Difusin Provisional en Procesos Electorales la revisin y actualizacin de las presentes Directrices Generales.

Disposicin adicional nica. No incremento del gasto pblico.

Las medidas previstas en la presente orden sern atendidas con los recursos de que dispone el Ministerio del Interior, por lo que no supondr incremento alguno del gasto pblico.

Disposicin derogatoria nica. Derogacin normativa.

Queda derogada la Orden INT/2213/2013, de19 de noviembre, por la que se aprueba la poltica de seguridad de la informacin en el mbito de la administracin electrnica del Ministerio del Interior.

Disposicin final primera. Publicidad.

La presente orden se publicar, adems de en el Boletn Oficial del Estado, en la sede electrnica del Ministerio del Interior y sus sedes asociadas.

Disposicin final segunda. Entrada en vigor.

La presente orden entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.

Madrid, 10 de abril de2019.–El Ministro del Interior, Fernando Grande-Marlaska Gmez.

Análisis

  • Rango: Orden
  • Fecha de disposición: 10/04/2019
  • Fecha de publicación: 12/04/2019
  • Entrada en vigor: 13 de abril de 2019.
Referencias anteriores
  • DEROGA la Orden INT/2213/2013, de 19 de noviembre (Ref. BOE-A-2013-12468).
  • DE CONFORMIDAD con el Real Decreto 952/2018, de 27 de julio (Ref. BOE-A-2018-10755).
Materias
  • Administracin electrnica
  • Comits consultivos
  • Elecciones
  • Ficheros con datos personales
  • Informacin
  • Ministerio del Interior
  • Normas de calidad
  • Procedimiento Electoral
  • Redes de telecomunicacin
  • Riesgos
  • Seguridad informtica

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid