Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2017-15662

Orden JUS/1293/2017, de 14 de diciembre, por la que se aprueba la Poltica de Seguridad de la Informacin en el mbito de la administracin electrnica.

TEXTO

La Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico, establece que las Administraciones Pblicas se relacionarn entre s y con sus rganos, organismos pblicos y entidades vinculados o dependientes a travs de medios electrnicos. Dichos medios deben asegurar la interoperabilidad y seguridad de los sistemas y soluciones adoptadas, garantizarn la proteccin de los datos de carcter personal y facilitarn preferentemente la prestacin conjunta de servicios a los interesados. En este sentido, el artculo 156 de la citada Ley 40/2015, de 1 de octubre, regula el Esquema Nacional de Seguridad.

Por su parte, la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas, recoge en su artculo 13 sobre derechos de las personas en sus relaciones con las Administraciones Pblicas, el relativo a la proteccin de datos de carcter personal y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Pblicas.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, modificado parcialmente por el Real Decreto 951/2015, de 23 de octubre, tiene por objeto determinar la poltica de seguridad en la utilizacin de medios electrnicos en su mbito de aplicacin, sus principios bsicos y los requisitos mnimos que permitan una proteccin adecuada de la informacin.

El artculo 11 del citado Real Decreto 3/2010, de 8 de enero, exige que todos los rganos superiores de las Administraciones pblicas dispongan formalmente de su poltica de seguridad, que se aprobar por el titular del rgano superior correspondiente. Esta poltica de seguridad se establecer con base en los principios bsicos recogidos en el captulo II de la propia norma (seguridad integral, gestin de riesgos, prevencin, reaccin y recuperacin, lneas de defensa, reevaluacin peridica, y funcin diferenciada) y desarrollar una serie de requisitos mnimos consignados en el ya mencionado artculo 11.1.

La presente Orden, por tanto, tiene la finalidad de aprobar la Poltica de Seguridad de la Informacin del Ministerio de Justicia, as como establecer la estructura organizativa para definirla, implantarla y gestionarla.

En virtud de lo anterior y en cumplimiento del artculo 11 del Real Decreto 3/2010, de 8 de enero, una vez recabado informe de la Agencia Espaola de Proteccin de Datos, y de la Comisin Ministerial de Administracin Digital del Departamento y con la aprobacin previa del Ministro de Hacienda y Funcin Pblica, dispongo:

Artculo 1. Objeto y mbito de aplicacin.

1. Constituye el objeto de la presente orden la aprobacin de la Poltica de Seguridad de la Informacin (en adelante PSI) en el mbito de la Administracin Electrnica del Ministerio de Justicia, as como del marco organizativo y tecnolgico de la misma.

2. La PSI ser de obligado cumplimiento para todos los rganos superiores y directivos del Ministerio de Justicia, siendo aplicable a los activos empleados por el Departamento en la prestacin de los servicios de la Administracin Electrnica.

3. La PSI afectar a la informacin tratada por medios electrnicos y a la informacin en soporte papel que el Ministerio gestiona en el mbito de sus competencias. La taxonoma de la informacin se define segn las siguientes normas:

a) Tendr carcter de informacin clasificada la que est afectada por la Ley 9/1968, de 5 de abril, sobre Secretos Oficiales.

b) La informacin que contenga datos de carcter personal se ver afectada por la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal y su normativa de desarrollo mientras estn vigentes y por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de proteccin de datos), y dems disposiciones reguladoras de la materia.

c) La informacin contenida en los sistemas de informacin en el mbito de la administracin electrnica queda regulada por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica.

d) La informacin producida, conservada o reunida, cualquiera que sea su soporte, susceptible de formar parte del patrimonio documental se ver afectada por el Real Decreto 1164/2002, de 8 de noviembre, por el que se regula la conservacin del patrimonio documental con valor histrico, el control de la eliminacin de otros documentos de la Administracin General del Estado y sus organismos pblicos y la conservacin de documentos administrativos en soporte distinto al original.

e) La informacin de gestin interna es aquella que no se produce como resultado de la funcin administrativa, aunque sea necesario disponer de ella para el correcto desarrollo de las competencias del Ministerio, como copias o duplicados de documentos originales que estn localizados y en buen estado de conservacin, borradores o primeras versiones de documentos, publicaciones oficiales, ejemplares de ediciones, catlogos y publicaciones comerciales, as como el resto de informacin de apoyo que gestione el Departamento. A efectos de seguridad, confidencialidad y deber de secreto profesional, la informacin de gestin interna podr ser calificada como protegida.

4. Se podrn adscribir a la presente PSI aquellos organismos pblicos dependientes del Ministerio de Justicia que no tengan establecida su propia poltica de seguridad y as lo soliciten.

5. La PSI ser de obligado cumplimiento para todo el personal que acceda tanto a los sistemas de informacin como a la propia informacin que sea gestionada por el Departamento, con independencia de cul sea su destino, adscripcin o relacin con el mismo.

Artculo 2. Principios de la seguridad de la informacin.

1. Los principios bsicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de informacin. Se establecen los siguientes:

a) Alcance estratgico: La seguridad de la informacin debe contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratgicas del Departamento para conformar un todo coherente y eficaz.

b) Responsabilidad diferenciada: En los sistemas de informacin se diferenciar el responsable de la informacin, que determina los requisitos de seguridad de la informacin tratada; el responsable del servicio, que determina los requisitos de seguridad de los servicios prestados; el responsable del sistema, que tiene la responsabilidad sobre la prestacin de los servicios y el responsable de seguridad, que determina las decisiones para satisfacer los requisitos de seguridad.

c) Seguridad integral: La seguridad se entender como un proceso integral constituido por todos los elementos tcnicos, humanos, materiales y organizativos, relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier actuacin puntual o tratamiento coyuntural. La seguridad de la informacin debe considerarse como parte de la operativa habitual, estando presente y aplicndose desde el diseo inicial de los sistemas de informacin.

d) Gestin de Riesgos: El anlisis y gestin de riesgos ser parte esencial del proceso de seguridad. La gestin de riesgos permitir el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reduccin de estos niveles se realizar mediante el despliegue de medidas de seguridad, que establecer un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que estn expuestos y la eficacia y el coste de las medidas de seguridad. Al evaluar el riesgo en relacin con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales.

e) Proporcionalidad: El establecimiento de medidas de proteccin, deteccin y recuperacin deber ser proporcional a los potenciales riesgos y a la criticidad y valor de la informacin y de los servicios afectados.

f) Mejora continua: Las medidas de seguridad se reevaluarn y actualizarn peridicamente para adecuar su eficacia a la constante evolucin de los riesgos y sistemas de proteccin. La seguridad de la informacin ser atendida, revisada y auditada por personal cualificado, instruido y dedicado.

g) Seguridad por defecto: Los sistemas deben disearse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.

2. Las directrices fundamentales de seguridad se concretan en un conjunto de principios particulares y responsabilidades especficas, que se configuran como objetivos instrumentales que garantizan el cumplimiento de los principios bsicos de la PSI y que inspiran las actuaciones del Departamento en dicha materia. Se establecen los siguientes:

a) Proteccin de datos de carcter personal: Se adoptarn las medidas tcnicas y organizativas que corresponda implantar para atender los riesgos generados por el tratamiento de acuerdo a lo exigido por el citato Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

b) Gestin de activos de informacin: Los activos de informacin del Departamento se encontrarn inventariados y categorizados y estarn asociados a un responsable.

c) Seguridad ligada a las personas: Se implantarn los mecanismos necesarios para que cualquier persona que acceda, o pueda acceder a los activos de informacin, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos.

d) Seguridad fsica: Los activos de informacin sern emplazados en reas seguras, protegidas por controles de acceso fsicos adecuados a su nivel de criticidad. Los sistemas y los activos de informacin que contienen dichas reas estarn suficientemente protegidos frente a amenazas fsicas o ambientales.

e) Seguridad en la gestin de comunicaciones y operaciones: Se establecern los procedimientos necesarios para lograr una adecuada gestin de la seguridad, operacin y actualizacin de las Tecnologas de la Informacin y Comunicaciones. La informacin que se transmita a travs de redes de comunicaciones deber ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad.

f) Control de acceso: Se limitar el acceso a los activos de informacin por parte de usuarios, procesos y otros sistemas de informacin mediante la implantacin de los mecanismos de identificacin, autenticacin y autorizacin acordes a la criticidad de cada activo. Adems, quedar registrada la utilizacin del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organizacin.

g) Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: Se contemplarn los aspectos de seguridad de la informacin en todas las fases del ciclo de vida de los sistemas de informacin, garantizando su seguridad por defecto.

h) Gestin de los incidentes de seguridad: Se implantarn los mecanismos apropiados para la correcta identificacin, registro y resolucin de los incidentes de seguridad.

i) Gestin de la continuidad: Se implantarn los mecanismos apropiados para asegurar la disponibilidad de los sistemas de informacin y mantener la continuidad de sus procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus usuarios.

j) Cumplimiento: Se adoptarn las medidas tcnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa legal vigente en materia de seguridad de la informacin.

Artculo 3. Estructura organizativa.

1. La estructura organizativa para la gestin de la seguridad de la informacin en el mbito descrito por la PSI del Ministerio de Justicia est compuesta por los siguientes agentes:

a) El Comit de Direccin de Seguridad de la Informacin.

b) El Grupo de Trabajo Tcnico de Seguridad de la Informacin.

c) Los Responsables de Seguridad.

d) Los Responsables de la Informacin.

e) Los Responsables del Servicio.

f) Los Responsables del Sistema.

g) El Delegado de la Proteccin de Datos de carcter personal.

2. La estructura organizativa ser competente para mantener, actualizar y hacer cumplir, dentro del mbito definido por la presente Orden, la PSI del Ministerio de Justicia.

Artculo 4. El Comit de Direccin de Seguridad de la Informacin.

1. Adscrito a la Subsecretara, se crea el Comit de Direccin de Seguridad de la Informacin (en adelante CDSI), como rgano colegiado de los previstos en el artculo 20.2 de la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico, que gestionar y coordinar todas las actividades relacionadas con la seguridad de los sistemas de informacin.

2. El CDSI estar compuesto por los siguientes miembros:

a) Presidente: La persona titular de la Subsecretara de Justicia. Tendr voto de calidad en la toma de decisiones del Comit. En caso de ausencia, vacante o enfermedad ser sustituido por el titular de la Secretara General Tcnica del Ministerio de Justicia.

b) Vocales: Un representante de cada uno de los siguientes rganos u organismos del Departamento:

i. Secretara de Estado de Justicia.

ii. Subsecretara.

iii. Abogaca General del Estado-Direccin del Servicio Jurdico del Estado.

iv. Secretara General Tcnica.

v. Un representante de cada uno de los organismos dependientes del Ministerio que decidan adscribirse al PSI.

vi. El Delegado de Proteccin de Datos.

Los vocales representantes anteriormente indicados sern designados por el titular de la Subsecretara de Justicia, a propuesta del titular del rgano, centro directivo u organismo autnomo respectivo, entre funcionarios con nivel de subdirector general o asimilados.

En caso de vacante, ausencia o enfermedad y en general cuando concurra una causa justificada, los miembros del Comit podrn de ser sustituidos por suplentes de tales rganos que renan las mismas condiciones. Sern designados por el mismo procedimiento que los titulares.

c) Secretario: La persona titular de la Divisin de Tecnologas de la Informacin y las Comunicaciones, que tendr voz y voto y que ejecutar las decisiones del Comit, convocar sus reuniones y preparar los temas a tratar.

El Presidente del Comit podr autorizar la asistencia a las reuniones de expertos en las materias que se vayan a tratar, que tendrn el carcter de asesores, con voz pero sin voto.

3. El CDSI ejercer las siguientes funciones:

a) Elaborar las propuestas de modificacin y actualizacin permanente de la PSI del Ministerio de Justicia.

b) Impulsar el cumplimiento de la PSI y su desarrollo normativo.

c) Aprobar las normas de desarrollo de la PSI de segundo nivel, segn lo previsto en el artculo 13 de esta Orden.

d) Velar por la difusin de la PSI, promoviendo actividades de concienciacin y formacin en materia de seguridad para el personal del Departamento.

e) Apoyar la coordinacin, cooperacin y colaboracin con otras Administraciones Pblicas en materia de Seguridad de la Informacin a travs de los rganos que se creen al respecto en las Administraciones Pblicas.

f) Tomar aquellas decisiones que garanticen la seguridad de la informacin y de los servicios del Departamento.

g) Promover la mejora continua en la gestin de la seguridad de la informacin.

h) Aprobar el Plan de Auditora y el Plan de Formacin propuestos por el Responsable de Seguridad.

i) Resolver los conflictos de competencia que pudieran aparecer entre los diferentes centros directivos en materia de seguridad de la informacin.

j) Compartir experiencias de xito en materia de seguridad entre sus miembros para velar por el cumplimiento de la PSI y su normativa de desarrollo.

k) Definir, dentro del marco establecido por la presente Orden, la asignacin de roles y los criterios para alcanzar las garantas que estime pertinentes en lo relativo a la segregacin de tareas.

4. El CDSI se reunir con carcter ordinario al menos una vez al ao y con carcter extraordinario cuando lo decida su Presidente. En cuanto a su funcionamiento, se regir, en todo lo no previsto en la presente Orden, por lo dispuesto en el Captulo II, Seccin 3., del Ttulo Preliminar de la Ley 40/2015, de 1 de octubre, ya citada, que regula el funcionamiento de los rganos colegiados de la Administracin.

5. El CDSI podr recabar de personal tcnico, propio o externo, la informacin pertinente para la toma de sus decisiones.

Artculo 5. Grupo de Trabajo Tcnico de Seguridad de la Informacin.

1. Con la finalidad de conocer las cuestiones tcnicas que deban abordarse en relacin con la PSI y con el fin de asegurar la coordinacin en materia de seguridad de la informacin con el conjunto del Departamento y con otras instancias de la Administracin General del Estado, se crea en el seno de la CDSI, con carcter permanente, el Grupo de Trabajo Tcnico de Seguridad de la Informacin (GTTSI, en adelante).

2. El GTTSI estar compuesto por el titular de la Divisin de Tecnologas de la Informacin y las Comunicaciones, el titular de la Subdireccin General de Nuevas Tecnologas de la Justicia, el Delegado de Proteccin de Datos y los responsables de Seguridad definidos en el artculo 6.

3. El GTTSI colaborar con el CDSI en las cuestiones que ste le encomiende y, de forma particular le corresponder:

a) Elaborar estudios, anlisis previos y propuestas de modificacin y actualizacin de la PSI.

b) Elaborar estudios, anlisis previos y propuestas sobre la normativa de seguridad de segundo y tercer nivel.

c) Analizar el cumplimiento de la PSI y de su desarrollo normativo.

d) Analizar las medidas de seguridad de la informacin y de los servicios electrnicos prestados por los sistemas de informacin.

e) Estudiar las actividades de concienciacin y formacin en materia de seguridad.

f) Coordinar la comunicacin con el Centro Criptolgico Nacional en la utilizacin de servicios de respuesta a incidentes de seguridad.

g) Seguimiento de las medidas resultado del anlisis y gestin de riesgos de los activos.

4. El GTTSI se reunir con carcter ordinario con una frecuencia mnima de dos veces al ao y, con carcter extraordinario, cuando lo decida el presidente del CDSI.

Artculo 6. Los responsables de seguridad.

1. El Responsable de Seguridad es la persona que toma las decisiones para satisfacer los requisitos de seguridad de la informacin y de los servicios.

2. La Secretara de Estado de Justicia, la Subsecretara de Justicia, as como cada organismo pblico dependiente del Departamento a los que sea de aplicacin la presente PSI designar un Responsable de Seguridad, sin que, de acuerdo con lo previsto en la disposicin adicional primera de la presente Orden, implique, en ningn caso, un aumento de las actuales dotaciones ni de las retribuciones de dichos efectivos por ningn concepto.

3. El mbito de actuacin de cada Responsable de Seguridad se limitar nica y exclusivamente a los sistemas de informacin y servicios de tecnologas de la informacin y de las comunicaciones que sean competencia y responsabilidad directa del rgano al que pertenezca dicho Responsable de Seguridad.

4. Sern funciones de cada Responsable de Seguridad, dentro del mbito de actuacin enunciado en el punto anterior, las siguientes:

a) Promover la seguridad de la informacin manejada y de los servicios electrnicos prestados por los sistemas de informacin.

b) Elaborar la normativa de seguridad de segundo nivel definida en el artculo 14 de la presente orden.

c) Velar e impulsar el cumplimiento del cuerpo normativo definido en el artculo 14 de la presente orden.

d) Encargarse de que la documentacin de seguridad se mantenga organizada y actualizada, y de gestionar los mecanismos de acceso a la misma.

e) Promover la mejora continua en la gestin de la seguridad de la informacin.

f) Apoyar y supervisar la investigacin de los incidentes de seguridad desde su notificacin hasta su resolucin y participar en la toma de decisiones en momentos de alerta.

g) Impulsar la formacin y concienciacin en materia de seguridad de la informacin.

h) Proponer la categora del sistema segn el procedimiento descrito en el anexo I del Real Decreto 3/2010, de 8 de enero y las medidas de seguridad que deben aplicarse de acuerdo con lo previsto en el anexo II del mismo real decreto.

i) Asumir las funciones explcitamente atribuidas a la figura del Responsable de Seguridad en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad.

Artculo 7. Los responsables de la informacin.

1. Los Responsables de la Informacin tienen la potestad, dentro de su mbito de actuacin y de sus competencias, de establecer los requisitos, en materia de seguridad, de la informacin que manejan. Si esta informacin incluye datos de carcter personal, adems debern tenerse en cuenta las medidas de seguridad que corresponda implantar atendidos los riesgos generados por el tratamiento de acuerdo a lo exigido por el citato Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

2. Las funciones de Responsable de la Informacin recaern en la persona titular del rgano o unidad administrativa que gestione cada procedimiento administrativo, pudiendo una misma persona acumular las responsabilidades de la informacin de todos los procedimientos que gestione sin que, de acuerdo con lo previsto en la disposicin adicional primera de la presente Orden, implique, en ningn caso, un aumento de las actuales dotaciones ni de las retribuciones de dichos efectivos por ningn concepto.

Artculo 8. Los responsables del servicio.

1. Los Responsables del Servicio tienen la potestad, dentro de su mbito de actuacin y de sus competencias, de establecer los requisitos, en materia de seguridad, de los servicios. Si estos servicios incluyen datos de carcter personal, adems debern tenerse en cuenta las medidas de seguridad que corresponda implantar atendidos los riesgos generados por el tratamiento de acuerdo a lo exigido por el citato Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

2. Las funciones de Responsable del Servicio recaern en la persona titular del rgano o unidad administrativa que gestione cada procedimiento administrativo, pudiendo una misma persona acumular las responsabilidades del servicio de todos los procedimientos que gestione sin que, de acuerdo con lo previsto en la disposicin adicional primera de la presente Orden, implique, en ningn caso, un aumento de las actuales dotaciones ni de las retribuciones de dichos efectivos por ningn concepto.

Artculo 9. Los responsables del sistema.

1. El Responsable del Sistema es la persona cuya responsabilidad es desarrollar, operar y mantener el sistema de informacin durante todo su ciclo de vida, as como elaborar la normativa de seguridad de tercer nivel definida en el artculo 13 de la presente orden.

2. Cada rgano superior o directivo del Ministerio de Justicia, as como cada organismo pblico dependiente del Departamento a los que, conforme al artculo 1, les sea de aplicacin la presente PSI, designar este perfil de acuerdo con su propia organizacin interna, sin que, de acuerdo con lo previsto en la disposicin adicional primera de la presente Orden, implique, en ningn caso, un aumento de las actuales dotaciones ni de las retribuciones de dichos efectivos por ningn concepto.

Artculo 10. El Delegado de Proteccin de Datos.

1. El Delegado de Proteccin de Datos ser nico para todos los rganos y organismos del Departamento y estar adscrito a la Subsecretara del Ministerio de Justicia informndose de su nombramiento y cese a la Agencia Espaola de Proteccin de Datos.

2. Las funciones el Delegado de Proteccin de datos sern las indicadas en el ya mencionado Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y dems disposiciones reguladoras de la materia.

Artculo 11. Grupos de trabajo.

Adems del GTTSI, el CDSI podr articular la creacin de grupos de trabajo para la realizacin de actividades que se estimen convenientes, tales como la elaboracin de estudios, trabajos e informes.

Artculo 12. Resolucin de conflictos.

En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la PSI prevalecer la decisin del Comit de Direccin de Seguridad de la Informacin.

Artculo 13. Gestin de los riesgos.

1. La gestin de riesgos debe realizarse de manera continua sobre el sistema de informacin, conforme a los principios de gestin de la seguridad basada en los riesgos y reevaluacin peridica. El Responsable del Servicio es el encargado de que se realice el preceptivo anlisis de riesgos y se proponga el tratamiento adecuado, calculando los riesgos residuales.

2. Los Responsables de Seguridad, dentro de su mbito de actuacin, son los encargados de recomendar un marco de directrices bsicas para armonizar los criterios a seguir para la valoracin de riesgos.

3. Los Responsables de la Informacin y del Servicio son los propietarios de los riesgos sobre la informacin y sobre los servicios, respectivamente, siendo responsables de su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.

4. El proceso de gestin de riesgos, que comprende las fases de categorizacin de los sistemas, anlisis de riesgos y seleccin de medidas de seguridad a aplicar, que debern ser proporcionales a los riesgos y estar justificadas, deber revisarse y aprobarse cada ao por el titular del rgano o unidad administrativa o, en su caso, organismo autnomo, a travs de un Plan de Adecuacin al Esquema Nacional de Seguridad.

5. Las indicadas fases del proceso de gestin de riesgos se realizarn segn lo dispuesto en los anexos I y II del Real Decreto 3/2010, de 8 de enero y siguiendo las normas, instrucciones, guas CCN-STIC y recomendaciones para la aplicacin del mismo elaboradas por el Centro Criptolgico Nacional, as como todo lo referente al anlisis de riesgo y de impacto en la proteccin de datos especificado en el citato Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Artculo 14. Desarrollo normativo.

1. El cuerpo normativo sobre seguridad de la informacin se desarrollar en tres niveles por mbito de aplicacin, nivel de detalle tcnico y obligatoriedad de cumplimiento, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:

a) Primer nivel normativo: constituido por la PSI y las directrices generales de seguridad aplicables a los rganos superiores o directivos del Ministerio de Justicia a los que, conforme al artculo 1, sea de aplicacin la presente PSI.

b) Segundo nivel normativo: constituido por las normas de seguridad desarrolladas por cada rgano superior o directivo del Ministerio de Justicia as como por cada organismo pblico dependiente del Departamento a los que, conforme al artculo 1, les sea de aplicacin la presente PSI. Estas normas de seguridad debern cumplir los siguientes requisitos:

i. Limitarse nica y exclusivamente al mbito especfico de las competencias de cada uno de dichos rganos u organismos adscritos a la presente PSI. Este mbito vendr determinado por los sistemas de informacin y servicios de tecnologas de la informacin y de las comunicaciones que sean prestados y gestionados directamente por dicho rgano u organismo.

ii. Cumplir estrictamente con lo indicado en el ENS y con el primer nivel normativo enunciado en el presente artculo.

iii. Ser aprobadas dentro del mbito de cada uno de los citados rganos u organismos adscritos a la presente PSI.

c) Tercer nivel normativo: constituido por procedimientos, guas e instrucciones tcnicas. Son documentos que, cumpliendo con lo expuesto en la PSI, determinan las acciones o tareas a realizar en el desempeo de un proceso. Este tercer nivel normativo deber cumplir los siguientes requisitos:

i. Limitarse nica y exclusivamente al mbito especfico de las competencias de cada uno de dichos rganos u organismos adscritos a la presente PSI. Este mbito vendr determinado por los sistemas de informacin y servicios de tecnologas de la informacin y de las comunicaciones que sean prestados y gestionados directamente por dicho rgano u organismo.

ii. Cumplir estrictamente con lo indicado en el ENS y con el primer y segundo nivel normativos enunciados en el presente artculo.

iii. Ser aprobado dentro del mbito de cada uno de los citados rganos u organismos adscritos a la presente PSI.

2. Adems de la normativa enunciada en el apartado 1 del presente artculo, la estructura normativa podr disponer, a criterio de cada uno de los rganos u organismos adscritos a la presente PSI y siempre dentro del mbito de sus competencias y responsabilidades, de otros documentos tales como estndares de seguridad, buenas prcticas o informes tcnicos.

3. El personal de cada uno de los rganos u organismos adscritos a la presente PSI tendr la obligacin de conocer y cumplir, adems de la presente PSI, todas las directrices generales, normas y procedimientos de seguridad de la informacin que puedan afectar a sus funciones.

4. El CDSI establecer los mecanismos necesarios para compartir la documentacin derivada del desarrollo normativo con el propsito de normalizarlo, en la medida de lo posible, en todo el mbito de aplicacin de la PSI.

5. Este marco normativo estar a disposicin de todos los miembros del Ministerio de Justicia.

Artculo 15. Proteccin de datos de carcter personal.

1. En lo referente a los datos de carcter personal que sean objeto de tratamiento por parte del Ministerio de Justicia, se adoptarn las medidas tcnicas y organizativas que corresponda implantar atendidos los riesgos generados por el tratamiento una vez llevada a cabo la evaluacin exigida por el artculo 24.1 del Reglamento (UE) 2016/679.

2. Respecto a la proteccin de datos de carcter personal, el Responsable del Servicio asumir las funciones de responsable del tratamiento.

3. En caso de conflicto entre los diferentes responsables, prevalecern las mayores exigencias derivadas de la proteccin de datos de carcter personal.

Artculo 16. Formacin y concienciacin.

1. Se desarrollarn actividades formativas especficas orientadas a la concienciacin y formacin de los empleados pblicos del Departamento, as como a la difusin entre los mismos de la PSI y de su desarrollo normativo.

2. El GTTSI se encargar de promover las actividades de formacin y concienciacin en materia de seguridad, segn lo indicado en el artculo 5, apartado 3, letra e) de esta Orden.

Disposicin adicional primera. No incremento del gasto pblico.

La aplicacin de esta orden no conllevar incremento del gasto pblico. Las medidas incluidas en la presente orden no supondrn incremento de dotaciones ni de retribuciones ni de otros gastos de personal.

Disposicin adicional segunda. Deber de colaboracin en la implantacin de la PSI.

Todos los rganos y unidades del Departamento prestarn su colaboracin en las actuaciones de implementacin de la PSI aprobada por esta orden.

Disposicin adicional tercera. Publicidad.

Esta Orden se publicar en las sedes electrnicas del Ministerio de Justicia en cuyo mbito sea de aplicacin.

Disposicin final nica. Entrada en vigor.

La presente Orden entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.

Madrid, 14 de diciembre de 2017.–El Ministro de Justicia, Rafael Catal Polo.

Análisis

  • Rango: Orden
  • Fecha de disposición: 14/12/2017
  • Fecha de publicación: 28/12/2017
  • Entrada en vigor: 29 de diciembre de 2017.
Referencias anteriores
  • DE CONFORMIDAD con el art. 11 del Real Decreto 3/2010, de 8 de enero (Ref. BOE-A-2010-1330).
Materias
  • Administracin electrnica
  • Comunicaciones electrnicas
  • Informacin
  • Ministerio de Justicia
  • Organizacin de la Administracin del Estado

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid