Boletín Oficial de la Junta de Andalucía - Histórico del BOJA Boletín número 43 de 03/03/2008

3. Otras disposiciones

Consejería de Educación.

Orden de 11 de febrero de 2008, por la que se crea el Comité de Seguridad y se aprueba el Documento de Política de Seguridad de la Información de la Consejería.

Atención: La información contenida en estas páginas no tiene validez legal. Ver más

La consolidación del uso de las nuevas tecnologías para gestión del sistema educativo en Andalucía exige el establecimiento de un conjunto de actividades y procedimientos para el tratamiento y gestión de los riesgos asociados a la seguridad de la información. La gestión de la seguridad de los sistema de información es un proceso complejo que incluye personas, tecnologías, normas y procedimientos. La Consejería de Educación viene desarrollando un conjunto de actuaciones dirigidas a establecer un sistema de gestión de la seguridad de la información (SGSI) ajustado a los marcos metodológicos vigentes (MAGERIT, Metodología de Análisis y Gestión de Riesgos para la Seguridad de los Sistemas de Información del Ministerio para las Administraciones Públicas; ISO/IEC 27001 y 27002...) con el fin de abordar los aspectos de seguridad necesarios para la protección de sus sistemas de información y de las infraestructuras necesarias para el funcionamiento de estos sistemas.

Para formalizar los objetivos de seguridad de la Consejería se ha desarrollado una política que recoge directrices básicas y duraderas de gestión de la seguridad de la información. Esta política está en consonancia con la Resolución de 27 de septiembre de 2004, de la Secretaría General para la Administración Pública, por la que se establece el manual de comportamiento de los empleados públicos en el uso de los sistemas informáticos y redes de comunicaciones de la Administración de la Junta de Andalucía (BOJA núm. 200, de 13 de octubre).

A la vista de lo expuesto, resulta necesario dar a conocer a todos los colectivos implicados en la gestión y utilización de los sistemas de información de la Consejería el conjunto de medidas adoptadas y de establecer los mecanismos para el seguimiento y la mejora de los procedimientos establecidos.

En su virtud, a propuesta de la Secretaria General Técnica, y en el ejercicio de las competencias que me confieren el Decreto 242/2004, de 18 de mayo, de estructura orgánica de la Consejería de Educación, y el artículo 44.2 de la Ley 6/2006, de 24 de octubre, del Gobierno de la Comunidad Autónoma de Andalucía,

DISPONGO

Artículo 1. Objeto y ámbito de aplicación.

1. La presente Orden tiene por objeto aprobar y dar a conocer a los usuarios de los sistemas de información de la Consejería de Educación la Política de Seguridad de la Información incluida en el Anexo que figura en la presente Orden, así como crear el Comité de Seguridad de la Consejería.

2. La presente Orden resulta de aplicación para todo el personal de la Consejería de Educación y de las empresas que presten servicios a la Consejería.

Artículo 2. Creación del Comité de Seguridad.

Con la finalidad de asesorar a la Secretaría General Técnica en la toma de decisiones necesarias y realizar el seguimiento de las iniciativas en materia de seguridad de la información se crea el Comité de seguridad como órgano colegiado de propuesta y seguimiento en materia de seguridad de los sistemas de información en el ámbito de la Consejería de Educación.

Artículo 3. Composición.

1. El Comité de seguridad estará integrado por:

- El/la titular de la Secretaría General Técnica, que ejercerá las funciones de Presidente del Comité.

- El/la Jefe de Sistemas de Información.

- El/la Jefa del Servicio de Informática.

- La persona responsable de producción del Servicio de Informática.

- La persona responsable de seguridad, que ejercerá las funciones de Secretario.

- Un representante de cada Centro Directivo de la Consejería.

- Un Secretario/a General de una Delegación Provincial, designado por el titular de la Viceconsejería.

2. En el Comité de Seguridad se podrán integrar representantes de otras unidades orgánicas si así se requiere.

3. Asimismo, se podrá invitar a otros representantes o de personas cuando su conocimiento o experiencia sean necesarios durante las reuniones.

Artículo 4. Funciones.

El Comité de Seguridad tendrá las siguientes funciones:

1. Identificar, revisar y proponer objetivos estratégicos en materia de seguridad.

2. Proponer y revisar la política de seguridad y las normas de seguridad de ámbito global.

3. Asegurar la disponibilidad de los recursos necesarios para llevar a cabo los planes de acción relacionados con la seguridad de la información.

4. Proponer las iniciativas principales para mejorar la gestión de la seguridad de la información.

5. Realizar el seguimiento del nivel de seguridad en base a unos indicadores definidos.

6. Conocer el resultado de los análisis de riesgos y aprobar los umbrales de riesgo residual.

Artículo 5. Funcionamiento y método de trabajo.

1. Con objeto de ejercer un seguimiento periódico, el Comité de Seguridad se reunirá al menos una vez por trimestre.

2. Por razones de urgencia, el Comité de seguridad se reunirá de forma extraordinaria cuando el presidente lo estime conveniente.

3. Como método de trabajo e intercomunicación de los distintos miembros del Comité de seguridad, se utilizarán preferentemente métodos telemáticos de transmisión de la información. De toda la documentación de funcionamiento del comité existirá registro electrónico en el gestor documental del SGSI.

Artículo 6. Régimen jurídico.

El Comité de Seguridad se regirá por esta Orden y por el Capítulo II del Título II de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

Disposición Adicional Unica. Constitución del Comité.

La primera reunión del Comité de Seguridad tendrá como objeto la constitución del propio Comité y se celebrará en un plazo de diez días a partir del día siguiente al de la publicación de la presente Orden en el Boletín Oficial de la Junta de Andalucía.

Disposición Final Primera. Desarrollo y ejecución.

Se faculta a la persona titular de la Secretaría General Técnica para dictar cuantas disposiciones sean necesarias para el desarrollo, difusión y ejecución de la presente Orden.

Disposición Final Segunda. Entrada en vigor.

La presente Orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de la Junta de Andalucía.

Sevilla, 11 de febrero de 2008

SEBASTIAN CANO FERNANDEZ

Consejero de Educación

Anexo

Política de seguridad de la información

1. Introducción.

La amplitud de las competencias de la Consejería de Educación motiva que se gestione una gran cantidad de datos en los sistemas de información de la misma. Este hecho, y el uso extensivo de tecnologías de la información en la Consejería, hace necesario definir una política de seguridad de la información, con el objetivo de establecer directrices básicas y duraderas para una protección eficaz de los sistemas gestionados por la Consejería y de la información almacenada en los mismos.

La presente política de seguridad de la información es el marco de referencia para establecer el Sistema de Gestión de la Seguridad de la Información (SGSI) de la Consejería de Educación.

El enfoque para la gestión de la seguridad adoptado en el SGSI se basa en el recomendado por la norma ISO/IEC 27001 ("Information technology-Security techniques-Information security management systems-Requirements") y se ha especificado en el modelo de seguridad del Plan Director de Seguridad de la Consejería de Educación.

Las directrices recogidas en este documento han sido elegidas de acuerdo con el estándar ISO/IEC 27002 ("Código de buenas prácticas para la Gestión de la Seguridad de la Información"), que establece un marco de referencia de seguridad respaldado y reconocido internacionalmente.

Este marco tecnológico, organizativo y procedimental de seguridad se soporta en un conjunto de normas, estándares, procedimientos y herramientas de seguridad para la protección de la información, entre ellos la metodología MAGERIT de análisis y gestión de riesgos.

La aprobación de esta política manifiesta el interés de la Consejería de Educación en la gestión de la seguridad de la información y en la mejora continua del SGSI. Con ella se establecen los objetivos y las responsabilidades necesarias para proteger los activos de información (informaciones de interés para la Consejería, junto con los medios que se usen para procesarlas), garantizando la integridad, disponibilidad y confidencialidad de los mismos, cumpliendo con el marco legal vigente y respetando las directrices, normas y procedimientos que oportunamente se establezcan.

La Consejería de Educación establecerá las medidas técnicas, organizativas y de control que garanticen la consecución de estos objetivos.

2. Ambito de aplicación.

El alcance de la política de seguridad incluye todas las unidades, áreas, Direcciones Generales, delegaciones y empleados que acceden a los sistemas de información de la Consejería de Educación, así como organismos o empresas colaboradoras.

La política de seguridad es aplicable a todos los sistemas de información de la Consejería de Educación y/o que den soporte a sus procesos y afecta a todos los activos de información sustentados en ellos.

La política de seguridad se encuentra enmarcada en el sistema de gestión de la seguridad de la información (SGSI) de la Consejería de Educación establecido por la Secretaría General Técnica.

3. Normativa de seguridad.

El sistema de gestión de la seguridad de la información (SGSI) queda formalmente establecido mediante una normativa de seguridad, formada por la presente política y las normas, estándares y procedimientos operativos que la desarrollan.

La unidad responsable de seguridad se encarga de la gestión de los documentos de la normativa, debiendo asegurar que ésta sea completa y proporcione información suficiente para definir las necesidades de protección de la información y los activos asociados a la misma en el ámbito de la Consejería de Educación.

Los documentos de la normativa de seguridad serán publicados y divulgados con el objetivo de que sean conocidos y aplicados por todos los usuarios afectados.

4. Organización y gestión de la seguridad.

4.1. Responsabilidad general.

Todos y cada uno de los usuarios de los sistemas de información de la Consejería de Educación son responsables de la seguridad de los activos informáticos mediante un uso correcto los mismos, siempre de acuerdo con sus atribuciones profesionales.

4.2. Responsabilidad específica.

La gestión de los procesos de seguridad recogidos en el SGSI de la Consejería de Educación es responsabilidad de un conjunto de personas con funciones concretas, definidas y documentadas.

El personal que desempeñe tareas específicas relacionadas con seguridad de la información recibirá la formación adecuada que se ajuste a sus funciones y nivel de responsabilidad.

Para una mejor respuesta ante incidentes de seguridad, la Consejería de Educación mantendrá relaciones de cooperación en materia de seguridad con las autoridades competentes, otras Consejerías de la Junta de Andalucía, proveedores de servicios informáticos o de comunicación, así como organismos públicos o privados dedicados a promover la seguridad de los sistemas de información.

5. Clasificación y Control de Activos.

Los recursos informáticos y la información de la Consejería de Educación se encontrarán inventariados, con un responsable asociado y, en caso de ser necesario, un custodio de los mismos. Los inventarios se mantendrán actualizados para asegurar su validez.

Los activos de información estarán clasificados de acuerdo a su sensibilidad y criticidad para el desarrollo de la actividad de la Consejería, en función de la cual se establecerán las medidas de seguridad exigidas para su protección.

6. Seguridad física y ambiental.

Los sistemas de información serán emplazados en áreas seguras protegidas con controles de acceso físicos adecuados al nivel de criticidad de los mismos. Los sistemas y la información que soportan estarán adecuadamente protegidos frente a amenazas físicas o ambientales, sean éstas intencionadas o accidentales.

7. Gestión de sistemas, operaciones y comunicaciones.

La Consejería de Educación asegurará la correcta gestión y operación de los sistemas de información estableciendo estándares de seguridad y adoptando las mejores prácticas en materia de seguridad (configuración, mecanismos de protección, actualización, monitorización, detección de vulnerabilidades, respaldo de información, etc.).

Las incidencias relacionadas con seguridad de la información serán registradas, notificadas y resueltas a la mayor brevedad posible por el personal asignado para ello.

Los entornos de desarrollo y pruebas estarán separados y serán independientes de los entornos productivos con el fin de mantener la seguridad de los datos reales de producción y el rendimiento de los servicios.

Toda información que se transmita a través de redes de comunicaciones deberá ser adecuadamente protegida mediante mecanismos que garanticen su seguridad.

El almacenamiento, manipulación, transporte, destrucción o desecho de cualquier activo que soporte información de la Consejería de Educación garantizará la imposibilidad de acceso o recuperación de su contenido por parte de personal no autorizado.

8. Control de acceso.

La Consejería de Educación pone a disposición de sus usuarios la capacidad de acceder a sus sistemas de información y visualizar o modificar la información que procesan y almacenan. Los permisos de acceso a las redes, sistemas y a la propia información serán otorgados mediante un proceso formal de aprobación que asegure que los usuarios tengan acceso únicamente a los recursos e información necesarios para el desempeño de sus funciones en la Consejería.

Todos los empleados y personal externo, así como entidades colaboradoras que accedan a los sistemas de información de la Consejería de Educación, quedarán registrados y dispondrán de credenciales personales e intransferibles. Toda persona registrada que disponga de credenciales de acceso será responsable de mantener su confidencialidad y asegurar su correcto uso.

9. Desarrollo y mantenimiento de sistemas.

Las aplicaciones que se desarrollen para la Consejería de Educación deberán contemplar aspectos de seguridad de la información en todas las fases del ciclo de vida de desarrollo, desde la toma de requisitos hasta la realización de pruebas y el paso a producción.

10. Gestión de continuidad de actividad.

La Consejería de Educación dispone de un plan para mantener la continuidad de los procesos y sistemas críticos y garantizar su recuperación en caso de desastre. La finalidad de este plan es reducir el tiempo de indisponibilidad a niveles aceptables mediante la combinación de controles de carácter organizativo, tecnológico y procedimental tanto preventivos como de recuperación.

11. Conformidad.

La Consejería de Educación adoptará las medidas técnicas y organizativas necesarias para mantener sus sistemas de información adaptados a la normativa legal vigente, y especialmente a aquellas regulaciones legales relativas al tratamiento de los datos de carácter personal.

Es responsabilidad de todas las áreas conocer y cumplir la legislación vigente de aplicación en sus ámbitos de actuación, incluyendo especialmente las áreas responsables de desarrollo de servicios y sistemas de información.

Las contrataciones y acuerdos de nivel de servicios que se establezcan con terceros incluirán cláusulas y garantías de cumplimiento de los requisitos de seguridad que exija la Consejería de Educación y la normativa legal vigente.

Con carácter periódico se realizarán auditorías que comprueben el grado de conformidad con la política y la legislación, y revisiones que determinen el grado de cumplimiento de los objetivos de seguridad establecidos y la eficacia de los controles establecidos. Los resultados obtenidos determinarán las líneas de actuación a seguir y las posibles modificaciones a realizar sobre los controles y la normativa de seguridad.

Descargar PDF