Boletín Oficial de la Junta de Andalucía - Histórico del BOJA Boletín número 73 de 19/04/2016

PREÁMBULO

La evolución de la sociedad y de las Tecnologías de la Información y las Comunicaciones (en adelante, TIC) genera cambios en el escenario en que la Consejería de Agricultura, Pesca y Desarrollo Rural presta sus servicios y estos, cuando son prestados de forma telemática, deben gestionarse de tal forma que se garantice el cumplimiento de la legislación relacionada con el uso de las TIC en el ámbito de las Administraciones Públicas y en el entorno de la Junta de Andalucía.

La Consejería ha de tener presente las obligaciones requeridas por la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, que señala, entre sus fines, la creación de unas condiciones de confianza en el uso de los medios electrónicos, estableciéndose para ello las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y en especial los relacionados con la intimidad y la protección de datos de carácter personal, garantizando la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos; fines que han sido desarrollados por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Asimismo, también deben tenerse en cuenta las obligaciones que establece la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la cual entrará en vigor el próximo mes de octubre.

El Esquema Nacional de Seguridad (en adelante, ENS) establece el marco regulatorio de la Política de Seguridad de la Información que se plasma en un documento, accesible y comprensible para todos los miembros de la organización, que define lo que significa seguridad de la información en una organización determinada y que rige la forma en que una organización gestiona y protege la información y los servicios que considera críticos.

La Política de Seguridad debe ser conforme con los requisitos que figuran en el ENS que establece que todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de una Política de Seguridad de la Información aprobada por el órgano superior competente.

La información tratada en los sistemas electrónicos a los que se refiere el ENS estará protegida teniendo en cuenta los criterios establecidos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Por su parte, el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, define los objetivos y criterios básicos para el tratamiento de la misma, a la vez que sienta el marco normativo de seguridad TIC de la Administración de la Junta de Andalucía y la estructura organizativa y de gestión que velará por su cumplimiento.

El artículo 1.2 determina la obligación de cada entidad incluida en el ámbito de aplicación del Decreto, de desarrollar y aprobar el documento de política de seguridad de la entidad, así como las normas y procedimientos que adecuen, en su caso, las directrices comunes de la Administración de la Junta de Andalucía a sus particularidades.

Igualmente, en el artículo 10 del citado Decreto, «Comités de Seguridad TIC de las Entidades», se establece que en cada entidad incluida en el ámbito de aplicación del mismo se creará un Comité de Seguridad TIC, como órgano colegiado de dirección y seguimiento en materia de seguridad de los activos TIC de su titularidad o cuya gestión tenga encomendada. La composición, atribuciones, funcionamiento y método de trabajo de este Comité de Seguridad TIC deberá ser aprobada por el máximo órgano de dirección de la entidad, en el caso de las Consejerías mediante Orden de la persona titular de la misma.

Por otro lado, es necesario destacar que mediante Acuerdo del Consejo de Gobierno, de 24 de octubre de 2006, se designa y autoriza a la entonces Consejería de Agricultura y Pesca como Organismo Pagador en Andalucía de los gastos financiados con cargo a los Fondos Europeos Agrícolas, regulándose sus funciones y organización mediante el Decreto 70/2016, de 1 de marzo, por el que se establece la organización y el régimen de funcionamiento del organismo pagador de los gastos financiados por el Fondo Europeo Agrícola de Garantía y por el Fondo Europeo Agrícola de Desarrollo Rural en la Comunidad Autónoma de Andalucía y se designa al organismo de certificación. Concretamente, en su artículo 4.m) se establece como función del Organismo Pagador, basar la seguridad de los sistemas de información del Organismo Pagador de conformidad con lo establecido en el apartado 3.B) del Anexo 1 del Reglamento Delegado (UE) núm. 907/2014, de la Comisión de 11 de marzo de 2014, así como velar por la seguridad de estos sistemas, todo ello sin perjuicio de las funciones propias de la Secretaria General Técnica.

Ello responde al necesario cumplimiento de los criterios de autorización previstos en el Reglamento (UE) núm. 1306/2013 del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, sobre la financiación, gestión y seguimiento de la Política Agrícola Común, por el que se derogan los Reglamentos (CE) núm. 352/78, (CE) núm. 165/94, (CE) núm. 2799/98, (CE) núm. 814/2000, (CE) núm. 1290/2005 y (CE) núm. 485/2008 del Consejo; y en el Reglamento Delegado (UE) núm. 907/2014 de la Comisión, de 11 de marzo de 2014, que completa el Reglamento (UE) núm. 1306/2013 del Parlamento Europeo y del Consejo en lo relativo a los organismos pagadores y otros órganos, la gestión financiera, la liquidación de cuentas, las garantías y el uso del euro. Estos criterios y condiciones se refieren a la autorización y ejecución de los pagos, la salvaguardia del presupuesto comunitario, la seguridad de los sistemas de información, la llevanza de los registros contables, la separación de las funciones y la idoneidad de los controles internos y externos, con respecto a las transacciones financiadas por el Fondo Europeo Agrícola de Garantía (FEAGA) y el Fondo Europeo Agrícola de Desarrollo Rural (FEADER). En lo que respecta a la seguridad de los sistemas de información establece que, a partir del 16 de octubre de 2016, deberá estar certificada de conformidad con la norma ISO 27001.

Por su parte, la norma ISO/IEC 27002, al igual que el ENS, establece la obligatoriedad de aprobar y publicar la política de seguridad de la información de la organización, que deberá ser convenientemente revisada a intervalos planificados, así como comunicada a todos los empleados y las partes externas relevantes.

Para dar cumplimiento a los anteriores requerimientos se consideró oportuno constituir en el ámbito de la Consejería de Agricultura y Pesca de la Junta de Andalucía, una Comisión de Seguridad de la Información, como órgano colegiado de propuesta y seguimiento en materia de seguridad de los sistemas de información en el ámbito de la Consejería. Dicha Comisión se creó mediante la Orden de 4 de octubre de 2007, por la que se establecen normas relativas a la seguridad de la información en la Consejería de Agricultura y Pesca.

El Decreto de la Presidenta 12/2015, de 17 de junio, de la Vicepresidencia y sobre reestructuración de Consejerías, determina las competencias actualmente asignadas a la Consejería de Agricultura Pesca y Desarrollo Rural de la Junta de Andalucía y establece las entidades dependientes que han quedado adscritas a ella, junto con el Decreto 215/2015, de 14 de julio, por el que se establece la estructura orgánica de la Consejería de Agricultura, Pesca y Desarrollo Rural.

En su virtud, a propuesta del Secretario General Técnico, de conformidad con lo dispuesto en el artículo 10 del Decreto 1/2011, de 11 de enero, y en el ejercicio de las competencias que me confieren el artículo 44.2 de la Ley 6/2006, de 24 de octubre, del Gobierno de la Comunidad Autónoma de Andalucía, y el artículo 26.2.a) de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía,

DISPONGO

Artículo 1. Objeto y ámbito de aplicación.

1. La presente Orden tiene por objeto la creación del Comité de Seguridad de la Información de la Consejería de Agricultura, Pesca y Desarrollo Rural, como órgano colegiado de dirección y seguimiento en materia de seguridad de la información, así como de los activos TIC de su titularidad o cuya gestión tenga encomendada, de conformidad con lo previsto en el artículo 10 del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.

2. El Comité de Seguridad de la Información estará adscrito a la Secretaría General Técnica de la Consejería de Agricultura, Pesca y Desarrollo Rural.

3. Los entes instrumentales dependientes de la Consejería de Agricultura, Pesca y Desarrollo Rural deberán desarrollar sus propias políticas de seguridad y nombrar a sus propios Comités de Seguridad, con unos contenidos y miembros análogos a los establecidos en esta Orden. Las decisiones que se tomen en el Comité de Seguridad de la Información de esta Consejería se trasladarán a los Comités de los entes instrumentales para mantener la alineación en cuanto a políticas, normas y procedimientos de seguridad.

Artículo 2. Régimen jurídico.

El Comité de Seguridad de la Información se regirá por la presente Orden, las normas básicas en materia de órganos colegiados de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y las establecidas en la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía.

Artículo 3. Composición.

1. El Comité de Seguridad de la Información estará integrado por los siguientes miembros:

a) Presidencia: persona titular de la Secretaría General Técnica.

En los casos de vacante, ausencia, enfermedad u otra causa legal, la persona titular de la presidencia será sustituida por la persona titular de la vicepresidencia o, en su defecto, por el miembro del órgano colegiado que tenga mayor jerarquía, antigüedad en el órgano y edad, por este orden, de entre sus componentes.

b) Vicepresidencia: persona titular de la plaza de Coordinación General de la Secretaría General Técnica.

c) Vocalías:

1.º Persona titular de la plaza de Coordinación de la Viceconsejería.

2.º Personas titulares de las siguientes Jefaturas de Servicio:

- Servicio de Administración General de la Secretaría General Técnica.

- Servicio de Personal de la Secretaría General Técnica.

- Servicio de Legislación y Recursos de la Secretaría General Técnica.

- Servicio de Informática de la Secretaría General Técnica.

- Servicio de Contratación y Convenios de la Secretaría General Técnica.

- Servicio de Auditoría Interna del Organismo Pagador.

Los vocales podrán designar a una persona suplente que asuma sus funciones interinamente por ausencia o enfermedad; en caso de vacante, la designación se hará por la persona titular de la presidencia o vicepresidencia, en su caso. Se procurará que la persona suplente pertenezca al mismo Servicio que la persona vocal a la que suple y deberá contar además con similar cualificación y requisitos establecidos para el cargo.

d) Secretaría: será ejercida por la persona que sea designada Responsable de Seguridad de la Información de la Consejería, como miembro de la Comisión con voz y voto. Esta persona deberá ser funcionario/a del grupo A1 o A2 y tener conocimientos en materia de seguridad de la información adquiridos mediante formación especializada y experiencia laboral. Se designan como suplentes:

- Primer suplente: persona titular del Departamento de Seguridad de la Información del Organismo Pagador.

- Segundo suplente: persona titular del Servicio de Informática de la Secretaría General Técnica.

2. El Comité de Seguridad de la Información contará en sus reuniones periódicas con la participación de los responsables de aquellos sistemas de información acreditados bajo una norma estándar de seguridad de la información. Asimismo, el Comité de Seguridad de la Información podrá requerir la participación en sus reuniones periódicas de cualquier persona perteneciente a la Consejería y, especialmente, de las personas titulares de los Servicios que vayan a certificar un sistema de información conforme a una norma estándar de seguridad de la información, o de las personas designadas como responsables de la información o responsables del servicio.

3. En la composición del Comité de Seguridad de la Información se procurará tener en cuenta la composición de género que permita la representación equilibrada de mujeres y hombres, conforme a lo establecido en el artículo 19.2 de la Ley 9/2007, de 22 de octubre.

4. El Comité de Seguridad de la Información nombrará entre sus miembros un grupo de respuesta a incidentes de seguridad de la información, cuya función será la toma urgente de decisiones en caso de contingencia grave que afecte a la seguridad de los sistemas de información críticos de la Consejería. Será el Presidente del Comité quien determine la existencia de tales contingencias. Las decisiones adoptadas por este grupo serán ratificadas por el Comité en su conjunto cuando sea necesario.

La composición inicial de este grupo es la siguiente:

- Persona titular de la presidencia del Comité de Seguridad de la Información.

- Persona Responsable de Seguridad de la Información de la Consejería.

- Persona titular del Servicio de Informática de la Secretaría General Técnica.

- Persona titular del Servicio de Administración General de la Secretaría General Técnica.

Artículo 4. Funciones.

Corresponde al Comité de Seguridad de la Información, como órgano responsable de la información y los servicios, las siguientes funciones de decisión, propuesta, informe, seguimiento y control, así como cualquier otra que se le atribuya:

a) Definir, aprobar y realizar el seguimiento de los objetivos, iniciativas y planes de seguridad de la información de la Consejería.

b) Velar por la disponibilidad de los recursos necesarios para desarrollar las iniciativas y planes definidos.

c) Establecer los requisitos de seguridad de la información que se deben cumplir a nivel organizativo, técnico y de control de los sistemas y servicios, de su disponibilidad y otros que permitan alcanzar los objetivos de seguridad identificados.

d) Nombrar a la persona Responsable de Seguridad de la Información en la Consejería.

e) Elaborar el documento de Política de Seguridad de la Información de la Consejería (previamente a su presentación para aprobación final por la persona titular de la Consejería), establecer los criterios de revisión de la misma, revisarla, distribuirla y velar por su cumplimiento.

f) Aprobar cuantas políticas y normas nuevas puedan derivarse de la Política de Seguridad de la Información.

g) Aprobar los procedimientos que se definan para dar cumplimiento a las normas definidas en la Política de Seguridad de la Información.

h) Valorar el grado de conformidad de los procedimientos implantados en la Consejería con las normas definidas en la Política, estableciendo planes de mejora para aquellos que requieran de una modificación para su total conformidad.

i) Verificar que todas las acciones llevadas a cabo en materia de seguridad de la información sean compatibles o se encuentren respaldadas por la Política de Seguridad de la Información.

j) Monitorizar cambios significativos en los riesgos que puedan afectar a los recursos de información frente a las amenazas más importantes.

k) Determinar la solución para incidentes de seguridad de la información detectados en los servicios y sistemas de información de la Consejería.

l) Acordar y aprobar metodologías y procesos específicos relativos a la seguridad de la información.

m) Mantener contactos periódicos con grupos, otras entidades, organismos, foros, etc., que resulten de interés en el ámbito de la seguridad de la información, compartiendo experiencias y conocimiento que ayuden a mejorar y mantener su seguridad.

n) Atender las peticiones en materia de seguridad de la información de los centros directivos de la Consejería.

o) Cualesquiera otras funciones expresamente asignadas y que se recojan en la Política de Seguridad de la Información que se apruebe.

Artículo 5. Funcionamiento y Método de trabajo.

1. El Comité de Seguridad de la Información se reunirá con carácter ordinario una vez al semestre y, con carácter extraordinario, cuando se den algunas de las siguientes circunstancias, a propuesta de alguno de sus miembros:

a) Si aparecieran incidencias de seguridad de la información graves que afecten a cualquier área de la Consejería.

b) Cuando surjan nuevas necesidades relacionadas con la seguridad de la información que necesiten ser tratadas en el Comité en el periodo entre reuniones ordinarias.

2. La persona titular de la Secretaría del Comité de Seguridad de la Información levantará acta de sus reuniones.

3. Los miembros del Comité de Seguridad de la Información podrán proponer a la Presidencia, individual o colectivamente, la inclusión de asuntos en el orden del día. La propuesta deberá realizarse por escrito dirigido a la Presidencia y al resto de los miembros, con una antelación mínima de 48 horas de la convocatoria.

4. El Comité de Seguridad de la Información podrá crear en su seno las ponencias técnicas o grupos de trabajo que requiera el normal desarrollo de sus funciones.

5. El Comité de Seguridad de la Información podrá convocar a sus reuniones a personal técnico especializado, propio o externo, con voz pero sin voto, en calidad de personal asesor, así como recabar del mismo la información pertinente para la toma de sus decisiones.

6. El Comité de Seguridad de la Información deberá ser informado, por todas aquellas personas que desarrollen, administren o pongan en producción servicios, de cualquier modificación significativa a considerar en los mismos, a fin de que pueda verificar que se ajustan a las normas establecidas.

7. Se promoverá que las sesiones del Comité de Seguridad de la Información puedan celebrarse utilizando redes de comunicación a distancia, con las medidas adecuadas que garanticen la identidad de las personas comunicantes y la autenticidad de la información entre ellas transmitida, de conformidad con lo establecido en el artículo 91.3 de la Ley 9/2007, de 22 de octubre.

8. El funcionamiento del Comité será atendido con los medios personales, técnicos y presupuestarios asignados a la Consejería de Agricultura, Pesca y Desarrollo Rural.

Disposición adicional primera. Supresión de la Comisión de Seguridad de la Información.

Se suprime la Comisión de Seguridad de la Información, creada mediante la Orden de 4 de octubre de 2007, por la que se establecen normas relativas a la seguridad de la información en la Consejería de Agricultura y Pesca.

Disposición adicional segunda. Constitución del Comité de Seguridad de la Información.

1. El Comité de Seguridad de la Información quedará constituido el mismo día de entrada en vigor de la presente Orden.

2. La primera reunión del Comité de Seguridad de la Información se celebrará en un plazo máximo de diez días a partir de la entrada en vigor de la presente Orden.

En dicha reunión se procederá al nombramiento de la persona Responsable de Seguridad de la Información, a propuesta de la persona titular de la Presidencia del Comité.

Disposición adicional tercera. Deber de colaboración de órganos y unidades de la Consejería.

Todos los órganos y unidades de la Consejería prestarán su colaboración en las actuaciones de implementación de la Política de Seguridad.

Disposición derogatoria única. Derogación normativa.

Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en la presente Orden y, expresamente, la Orden de 4 de octubre de 2007, por la que se establecen normas relativas a la seguridad de la información en la Consejería de Agricultura y Pesca.

Disposición final única. Entrada en vigor.

La presente Orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de la Junta de Andalucía.

Sevilla, 11 de abril de 2016

	maría del carmen ortiz rivas
	Consejera de Agricultura, Pesca y Desarrollo Rural

Descargar PDF