Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Documento BOE-A-2019-6203

Orden TEC/469/2019, de 15 de abril, por la que se aprueba la Poltica de Seguridad de la Informacin en el mbito de la administracin electrnica y se crea la Comisin Ministerial de Administracin Digital del Ministerio para la Transicin Ecolgica.

TEXTO

La Ley 39/2015 de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas, recoge en el artculo 13 relativo a los derechos de las personas en sus relaciones con las Administraciones Pblicas, en su letra h), el derecho A la proteccin de datos de carcter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Pblicas. Por otro lado, en su artculo 17.3, sobre el archivo de documentos, se indica que Los medios o soportes en que se almacenen documentos, debern contar con medidas de seguridad, de acuerdo con lo previsto en el Esquema Nacional de Seguridad, que garanticen la integridad, autenticidad, confidencialidad, calidad, proteccin y conservacin de los documentos almacenados. En particular, asegurarn la identificacin de los usuarios y el control de accesos, as como el cumplimiento de las garantas previstas en la legislacin de proteccin de datos.

La Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico, contiene similares previsiones en el artculo 3, de Principios Generales, artculo 38, de la sede electrnica, el artculo 46, de archivo electrnico de documentos, el artculo 155, sobre transmisiones de datos entre Administraciones Pblicas y el artculo 156.2, sobre el Esquema Nacional de Seguridad.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, tiene por objeto el establecimiento de los principios y requisitos de una poltica de seguridad en la utilizacin de medios electrnicos que permita la adecuada proteccin de la informacin. El artculo 11 del citado real decreto exige que todos los rganos superiores de las Administraciones Pblicas debern disponer formalmente de su poltica de seguridad, que se aprobar por el titular del rgano superior correspondiente. Esta poltica de seguridad se establecer con base en los principios bsicos recogidos en el captulo II de la propia norma (seguridad integral, gestin de riesgos, prevencin, reaccin y recuperacin, lneas de defensa, reevaluacin peridica, y funcin diferenciada) y desarrollar una serie de requisitos mnimos consignados en el artculo 11.1.

Por otra parte, la proteccin de las personas fsicas en relacin con el tratamiento de datos personales, es un derecho fundamental protegido por el artculo 18.4 de la Constitucin espaola. La Ley Orgnica 3/2018, de 5 de diciembre, de Proteccin de Datos Personales y garanta de los derechos digitales, tiene por objeto garantizar estos derechos de la ciudadana y adaptar el ordenamiento jurdico espaol al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la proteccin de las personas fsicas, en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de proteccin de datos), y completar sus disposiciones.

Dicha norma, dedica el captulo tercero del ttulo V, a la figura del Delegado de Proteccin de Datos, y se refiere al artculo 37.1 del Reglamento que seala que el responsable y el encargado del tratamiento designarn un delegado de proteccin de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo pblico, excepto los tribunales que acten en ejercicio de su funcin judicial.

Por otro lado, el Real Decreto 806/2014, de 19 de septiembre, sobre organizacin e instrumentos operativos de las tecnologas de la informacin y las comunicaciones en la Administracin General del Estado y sus Organismos Pblicos, cre las Comisiones Ministeriales de Administracin Digital como rganos colegiados, encargados de impulsar la transformacin digital de la Administracin de acuerdo a una Estrategia comn en el mbito de las Tecnologas de la Informacin y las Comunicaciones.

La Disposicin transitoria segunda del citado real decreto, prev la regulacin de las Comisiones Ministeriales de Administracin Digital mediante las correspondientes rdenes ministeriales.

En la Disposicin adicional cuarta, sobre Consolidacin de las Unidades TIC del Real Decreto 864/2018, de 13 de julio, por el que se desarrolla la estructura orgnica bsica del Ministerio para la Transicin Ecolgica, se indica que la Divisin de Tecnologas de la Informacin del Ministerio de Transicin Ecolgica promover, en colaboracin con las Unidades competentes de los organismos pblicos adscritos, la consolidacin de los recursos humanos, econmico-presupuestarios, tcnicos y materiales vinculados.

Por todo ello, mediante esta orden ministerial se procede a la aprobacin de la poltica de seguridad y a la creacin de la Comisin Ministerial de Administracin Digital, del Ministerio para la Transicin Ecolgica, y a regular su composicin y funciones.

En la elaboracin de la orden se han cumplido los principios de buena regulacin recogidos en el artculo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas y, en particular, los principios de necesidad y eficiencia, pues se trata del instrumento ms adecuado para garantizar una poltica de seguridad en la utilizacin de medios electrnicos que permita una adecuada proteccin de la informacin dentro del Ministerio para la Transicin Ecolgica, a cuya ejecucin coadyuva la creacin de la Comisin Ministerial de Administracin Digital. Tambin se adecua al principio de proporcionalidad, pues no existe otra alternativa menos restrictiva de derechos o de obligaciones. En cuanto a los principios de seguridad jurdica, transparencia y eficiencia, la norma es coherente con el resto del ordenamiento jurdico y se ha procurado la participacin de las partes interesadas, evitando cargas administrativas innecesarias o accesorias.

En su virtud, con la aprobacin previa de la Ministra de Poltica Territorial y Funcin Pblica, dispongo:

Artculo 1. Objeto y mbito de aplicacin.

1. Constituye el objeto de esta orden, la aprobacin de la Poltica de Seguridad de la Informacin, en adelante PSI, en el mbito de la Administracin Electrnica del Ministerio para la Transicin Ecolgica, y la creacin de la Comisin Ministerial de Administracin Digital, en adelante CMAD.

2. La PSI ser de obligado cumplimiento para todos los rganos superiores y directivos del Ministerio para la Transicin Ecolgica, incluidos los organismos pblicos vinculados o dependientes del Departamento, que no tengan establecida su propia poltica de seguridad. En aquellos organismos que tengan su propia poltica de seguridad, prevalecer en caso de discrepancia, la definida en esta orden ministerial.

3. La PSI ser de obligado cumplimiento para todo el personal que acceda, tanto a los sistemas de informacin, como a la propia informacin que sea gestionada por el Departamento, con independencia de cul sea su destino, adscripcin o relacin con el mismo.

Artculo 2. Estructura organizativa.

La estructura organizativa para la gestin de la seguridad de la informacin, en el mbito descrito por la PSI del Ministerio para la Transicin Ecolgica, est compuesta por los siguientes agentes:

1. La CMAD.

2. Los Responsables de la Informacin.

3. Los Responsables del Servicio.

4. Los Responsables de Seguridad.

5. Los Responsables del Sistema.

6. Los Delegados de Proteccin de Datos Personales.

Artculo 3. Principios de la seguridad de la informacin.

1. Principios bsicos.

Adems de los previstos en el artculo 4 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, se establecen los siguientes:

a) Alcance estratgico: La seguridad de la informacin cuenta con el compromiso y apoyo de todos los niveles directivos, de forma que est coordinada e integrada con el resto de iniciativas estratgicas del Departamento para conformar un todo coherente y eficaz.

b) Proporcionalidad: El establecimiento de medidas de proteccin, deteccin y recuperacin, deber ser proporcional a los potenciales riesgos y a la criticidad y valor de la informacin y de los servicios afectados.

c) Mejora continua: Las medidas de seguridad se reevaluarn y actualizarn peridicamente, para adecuar su eficacia a la constante evolucin de los riesgos y sistemas de proteccin. La seguridad de la informacin ser atendida, revisada y auditada por personal cualificado, instruido y dedicado.

d) Seguridad por defecto: Los sistemas deben disearse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.

2. Principios particulares y responsabilidades especficas.

Las directrices fundamentales de seguridad se concretan en un conjunto de principios particulares y responsabilidades especficas, que se configuran como objetivos instrumentales, que garantizan el cumplimiento de los principios bsicos de la PSI y que inspiran las actuaciones del Departamento en dicha materia. Se establecen los siguientes:

a) Gestin de activos de informacin: Los activos de informacin del Departamento se encontrarn inventariados y categorizados, y estarn asociados a un responsable.

b) Seguridad ligada a las personas: Se implantarn los mecanismos necesarios para que cualquier persona que acceda o pueda acceder a los activos de informacin, conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso indebido de dichos activos.

c) Seguridad en la gestin de comunicaciones y operaciones: Se establecern los procedimientos necesarios para lograr una adecuada gestin de la seguridad, operacin y actualizacin de las tecnologas de la informacin y comunicaciones. La informacin que se transmita a travs de redes de comunicaciones deber ser adecuadamente protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante mecanismos que garanticen su seguridad.

d) Control de acceso: Se limitar el acceso a los activos de informacin por parte de usuarios, procesos y otros sistemas de informacin mediante la implantacin de los mecanismos de identificacin, autenticacin y autorizacin acordes a la criticidad de cada activo. Adems, quedar registrada la utilizacin del sistema con objeto de asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad de la organizacin.

e) Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: Se contemplarn los aspectos de seguridad de la informacin en todas las fases del ciclo de vida de los sistemas de informacin, garantizando su seguridad por defecto.

f) Gestin de los incidentes de seguridad: Se implantarn los mecanismos apropiados para la correcta identificacin, registro y resolucin de los incidentes de seguridad.

g) Gestin de la continuidad: Se implantarn los mecanismos apropiados, para asegurar la disponibilidad de los sistemas de informacin y mantener la continuidad de sus procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus usuarios.

h) Gestin de riesgos: Debe realizarse de manera continua sobre los sistemas de informacin y contemplar un anlisis de riesgos avanzado que evale los riesgos residuales y proponga tratamientos adecuados. Para la realizacin del anlisis de riesgos, se tendrn en cuenta las recomendaciones publicadas para el mbito de la Administracin Pblica y en especial las guas elaboradas por el Centro Criptolgico Nacional.

i) Cumplimiento: Se adoptarn las medidas tcnicas, organizativas y procedimentales necesarias para el cumplimiento de la normativa en materia de seguridad de la informacin.

Artculo 4. Configuracin y adscripcin de la Comisin Ministerial de Administracin Digital.

La CMAD del Ministerio para la Transicin Ecolgica, se configura como Comit de Direccin de Seguridad de la Informacin y como instrumento para la coordinacin interna del Departamento en materia de Administracin Digital, as como rgano de enlace y colaboracin con la Secretara General de Administracin Digital, en adelante SGAD.

La Comisin se adscribe a la Subsecretara del Departamento y su mbito de actuacin comprender a todos los rganos del Ministerio y sus organismos pblicos adscritos. La Divisin de Sistemas y Tecnologas de la Informacin y de las Comunicaciones, dependiente de la Subsecretara, prestar a la CMAD el apoyo que precise para el desempeo de sus funciones.

Artculo 5. Composicin de la Comisin Ministerial de Administracin Digital.

1. La CMAD tendr la siguiente composicin:

a) Presidencia: La persona titular de la Subsecretara para la Transicin Ecolgica.

b) Vicepresidencia: La persona titular de la Subdireccin General de Servicios y Coordinacin.

c) Vocalas:

El director del Gabinete del Ministro.

El titular del Gabinete de la Secretara de Estado de Energa.

El titular del Gabinete de la Secretara de Estado de Medio Ambiente.

Un representante de cada una de las Direcciones Generales del Departamento, designados por sus titulares, con rango mnimo de subdirector general o asimilado.

Un representante de cada uno de los organismos pblicos adscritos al Departamento, designados por sus titulares, con rango mnimo de subdirector general o asimilado.

La persona titular de la Divisin de Sistemas y Tecnologas de la Informacin y de las Comunicaciones, que ejercer adems la Secretara de la CMAD y actuar con voz y voto.

Cada vocal titular podr designar como suplente a un funcionario con rango mnimo de Subdirector General o asimilado.

2. El representante de cada uno de los centros directivos, representar y coordinar al resto de unidades dentro del mbito de su centro directivo, pudiendo asistir a las reuniones, acompaados de funcionarios expertos en las materias a tratar que actuarn como asesores con voz pero sin voto.

3. Se crear un grupo de trabajo, a nivel interno, preparatorio de las reuniones de la CMAD.

Artculo 6. Funcionamiento de la Comisin Ministerial de Administracin Digital.

1. La CMAD del Ministerio para la Transicin Ecolgica podr constituir, convocar, celebrar sesiones, adoptar acuerdos y remitir actas tanto de forma presencial como a distancia.

2. La CMAD se regir por las normas previstas para los rganos colegiados en la seccin 3 del captulo II del Ttulo Preliminar de la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico.

3. La CMAD se reunir, al menos, una vez al ao, mediante convocatoria de su Presidente, bien a iniciativa propia, a iniciativa de su Vicepresidente o cuando lo soliciten, al menos, la mitad de sus miembros.

Artculo 7. Funciones de la Comisin Ministerial de Administracin Digital.

La CMAD desempear las siguientes funciones:

a) Ejercer las actuaciones determinadas por la Poltica de Seguridad de la Informacin del Departamento (PSI) y especficamente:

1. Elaborar las propuestas de modificacin y actualizacin permanente que se hagan sobre la PSI.

2. Aprobar el resto de la normativa de seguridad de primer nivel.

3. Elaborar estudios, anlisis previos y propuestas sobre la normativa de seguridad de segundo y tercer nivel.

4. Velar e impulsar el cumplimiento de la PSI y de su desarrollo normativo.

5. Promover la mejora continua en la gestin de la seguridad de la informacin.

6. Coordinar la comunicacin con el Centro Criptolgico Nacional en la utilizacin de servicios de respuesta a incidentes de seguridad.

7. Aprobar el Plan de Auditora y el Plan de Formacin propuestos por el Responsable de Seguridad.

8. Resolver los posibles conflictos que puedan derivarse del establecimiento de la citada estructura organizativa.

b) Ejercer las funciones incluidas dentro del artculo 7, sobre Las Comisiones Ministeriales de Administracin Digital del Real Decreto 806/2014, de 19 de septiembre, sobre organizacin e instrumentos operativos de las tecnologas de la informacin y las comunicaciones en la Administracin General del Estado y sus Organismos Pblicos, y especficamente:

1. Informar los proyectos de disposiciones de carcter general del Departamento sobre su oportunidad, costes y necesidad de recursos humanos y tiempos de desarrollo, que se puedan derivar de la aprobacin del proyecto, desde la perspectiva de la utilizacin de medios y servicios TIC. Este informe ser remitido a la SGAD, para su conocimiento y valoracin, con periodicidad semestral.

2. Con la finalidad de conocer todas las propuestas de contratacin relacionadas con las TIC, la CMAD ser la encargada de canalizar la solicitud de informe preceptivo a la SGAD, conforme a lo establecido en el artculo 16.2 del Real Decreto 806/2014, de 19 de septiembre. Igualmente, y en base a la prestacin de servicios mutuos, enviar estas propuestas a la Divisin de Sistemas y Tecnologas de la Informacin y de las Comunicaciones del Ministerio para la Transicin Ecolgica.

3. Coordinar la recogida, agregacin e incorporacin de la informacin requerida por la SGAD.

4. Elaborar, con periodicidad anual, un informe de avance de los Planes de actuacin en materia TIC del Departamento y sus organismos pblicos para la transformacin digital, que recoja el estado de las actuaciones previstas y las contrataciones efectuadas.

La CMAD, para el ejercicio de estas funciones, podr recabar cuanta informacin estime precisa de todas las unidades y organismos pblicos del Ministerio, que vendrn obligados a facilitarla, de acuerdo con la legislacin vigente.

Artculo 8. Los responsables de la informacin y los responsables del servicio.

1. Los responsables de la informacin y los responsables del servicio tienen la potestad, dentro de su mbito de actuacin y de sus competencias, de establecer los requisitos en materia de seguridad de la informacin que manejan y de los servicios que prestan. Si esta informacin incluye datos de carcter personal, adems debern tenerse en cuenta los requisitos derivados de la legislacin correspondiente sobre proteccin de datos.

2. Cada rgano superior o directivo del Ministerio para la Transicin Ecolgica, as como cada organismo pblico dependiente del Departamento, a los que conforme al artculo 1 les sea de aplicacin esta PSI, designar estos perfiles de acuerdo con su propia organizacin interna.

Artculo 9. Los responsables de seguridad.

1. El responsable de seguridad, es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la informacin y de los servicios. Cada rgano superior o directivo del Ministerio para la Transicin Ecolgica, as como cada organismo pblico vinculado o dependiente del Departamento a los que sea de aplicacin esta PSI, designar un Responsable de Seguridad. En el mbito de la proteccin de datos de carcter personal se denomina responsable del tratamiento.

2. El mbito de actuacin de cada responsable de seguridad, se limitar nica y exclusivamente, a los sistemas de informacin y servicios de tecnologas de la informacin y de las comunicaciones, que sean competencia y responsabilidad directa del centro al que pertenezca dicho responsable de seguridad.

3. Sern funciones de cada responsable de seguridad, dentro del mbito de actuacin enunciado en el punto anterior, las siguientes:

a) Promover la seguridad de la informacin manejada y de los servicios electrnicos prestados, por los sistemas de informacin.

b) Elaborar la normativa de seguridad de segundo y tercer nivel, definida en el artculo 9 y velar e impulsar su cumplimiento por parte de Responsables del Sistema del artculo 8 y de cualquier otro agente del sistema.

c) Encargarse de que la documentacin de seguridad se mantenga organizada y actualizada, y de gestionar los mecanismos de acceso a la misma. En el mbito de la proteccin de datos se denominar encargado del tratamiento.

d) Promover la mejora continua en la gestin de la seguridad de la informacin.

e) Impulsar la formacin y concienciacin en materia de seguridad de la informacin.

Artculo 10. Los responsables del sistema.

1. El responsable del sistema es la persona cuya responsabilidad es desarrollar, operar y mantener el sistema de informacin durante todo su ciclo de vida.

2. Cada rgano superior o directivo del Ministerio para la Transicin Ecolgica contar con la Divisin de Sistemas y Tecnologas de la Informacin y de las Comunicaciones como responsable del sistema, para aquellos sistemas que se hayan desarrollado con su coordinacin. Para el resto de sistemas deber designar este responsable del desarrollo realizado, operado o mantenido con recursos externos del departamento.

3. Cada organismo pblico vinculado o dependiente del Departamento a los que, conforme al artculo 1, le sea de aplicacin esta PSI, designar este perfil.

Disposicin adicional primera. Instrucciones de ejecucin.

En conformidad con la disposicin adicional cuarta del Real Decreto 864/2018, de 13 de julio, por el que se desarrolla la estructura orgnica bsica del Ministerio para la Transicin Ecolgica, sobre Consolidacin de las Unidades TIC, la Subsecretara del Departamento podr dictar las instrucciones necesarias para la consolidacin de recursos TIC y el mejor cumplimiento de esta orden.

Disposicin adicional segunda. No incremento del gasto pblico.

La aprobacin de la PSI, el funcionamiento de la CMAD o la puesta en marcha de medidas de seguridad no supondr incremento de gasto pblico, y ser atendido con los medios materiales y de personal existentes en el Ministerio para la Transicin Ecolgica, y con las disponibilidades presupuestarias existentes en cada ejercicio, sin que pueda suponer incremento de dotaciones, ni de retribuciones, ni de otros gastos de personal.

Disposicin derogatoria nica. Derogacin normativa parcial.

Se derogan cuantas disposiciones de igual o inferior rango se opongan a lo establecido en esta orden, y en particular en aquellas materias de mbito competencial del Ministerio para la Transicin Ecolgica, las siguientes de manera parcial:

1. La Orden AAA/1231/2015, de 17 de junio, por la que se crea la Comisin Ministerial de Administracin Digital del Ministerio de Agricultura, Alimentacin y Medio Ambiente (CMAD) y se regula su composicin y funciones y la Orden AAA/991/2015, de 21 de mayo, por la que se aprueba la poltica de seguridad de la informacin en el mbito de la Administracin Electrnica del Ministerio de Agricultura, Alimentacin y Medio Ambiente, quedan sin efecto en relacin a la participacin en sus rganos y obligaciones de unidades dependientes del Ministerio para la Transicin Ecolgica.

2. Igualmente la Orden IET/1934/2014, de 14 de octubre, por la que se establece la poltica de seguridad de la informacin en el mbito de la administracin electrnica del Ministerio de Industria, Energa y Turismo y la Orden ETU/433/2018, de 17 de abril, por la que se crea la Comisin Ministerial de Administracin Digital en el Ministerio de Energa, Turismo y Agenda Digital, y se regula su composicin y funcionamiento, quedan sin efecto en relacin a la participacin en sus rganos y obligaciones de unidades dependientes del Ministerio para la Transicin Ecolgica.

Disposicin final nica. Entrada en vigor.

Esta orden entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.

Madrid, 15 de abril de 2019.–La Ministra para la Transicin Ecolgica, Teresa Ribera Rodrguez.

Análisis

  • Rango: Orden
  • Fecha de disposición: 15/04/2019
  • Fecha de publicación: 26/04/2019
  • Entrada en vigor: 27 de abril de 2019.
Referencias anteriores
  • DEROGA:
    • parcialmente la Orden ETU/433/2018, de 17 de abril (Ref. BOE-A-2018-5846).
    • parcialmente la Orden AAA/1231/2015, de 17 de junio (Ref. BOE-A-2015-7050).
    • parcialmente la Orden AAA/991/2015, de 21 de mayo (Ref. BOE-A-2015-5937).
    • parcialmente la Orden IET/1934/2014, de 14 de octubre (Ref. BOE-A-2014-10732).
  • DE CONFORMIDAD con el Real Decreto 864/2018, de 13 de julio (Ref. BOE-A-2018-9859).
Materias
  • Administracin electrnica
  • Comisiones de Control y Seguimiento
  • Ministerio para la Transicin Ecolgica
  • Organizacin de la Administracin del Estado
  • Seguridad informtica

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid