Boletín Oficial de la Junta de Andalucía - Histórico del BOJA Boletín número 74 de 20/04/2023

Mediante Resolución de la Presidencia del Servicio Andaluz de Empleo, de 21 de diciembre de 2021, se aprueba la política de seguridad TIC y de Protección de Datos de Carácter Personal en el ámbito de la Agencia, en cumplimiento de las prescripciones del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.

Así pues, se aprobó la política de seguridad TIC del Servicio Andaluz de Empleo, definiendo los criterios básicos para su tratamiento, indicando el marco normativo de seguridad y la estructura organizativa y de gestión para garantizar su cumplimiento.

El Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía, en su disposición final primera, modifica el reseñado Decreto 1/2011, de 11 de enero, indicando que: «todas las alusiones en el texto a los “Comités de Seguridad TIC de las entidadesˮ quedan sustituidas por Comités de Seguridad Interior y Seguridad TIC de las Consejerías o entidades dependientes singulares».

Asimismo, el artículo 9 del Decreto 171/2020, de 13 de octubre, determina, respecto a las normas de creación de dichos Comités, que «modificarán su denominación añadiendo su definición como órganos de dirección y seguimiento en materia de seguridad interior y actualizando, de ser necesario, su composición y régimen de los mismos, con descripción incluso, de las nuevas funciones a incorporar».

Por su parte, su artículo 10.1 establece que: «partiendo de sus propios recursos directos, en cada una de las Consejerías y en aquellas de sus entidades dependientes en las que éstas lo consideren necesario por virtud del volumen o singularidad de los activos, se contará con una Unidad de Seguridad Interior que ejerza la responsabilidad ejecutiva para la seguridad interior del conjunto de los activos en su ámbito, debiendo ser designada por el Comité de Seguridad Interior y Seguridad TIC».

Asimismo, el párrafo 2 del citado precepto continúa disponiendo que la composición, atribuciones, funcionamiento y método de trabajo del Comité de Seguridad TIC deberá ser aprobada por el máximo órgano de dirección de la entidad.

En su virtud, a propuesta de la Dirección-Gerencia del Servicio Andaluz de Empleo, y en uso de las competencias atribuidas por el artículo 7 de la Ley 4/2002, de 16 de diciembre, de creación del Servicio Andaluz de Empleo, el artículo 10.2.o) de los Estatutos del Servicio Andaluz de Empleo, aprobados por Decreto 96/2011, de 19 de abril, y en el Decreto 155/2022, de 9 de agosto, por el que se regula la estructura orgánica de la Consejería de Empleo, Empresa y Trabajo Autónomo,

RESUELVO

Primero. Derogar la Resolución de la Presidencia del Servicio Andaluz de Empleo, de 21 de diciembre de 2021, por la que aprueba la Política de Seguridad TIC y de Protección de Datos de Carácter Personal en el ámbito de la Agencia.

Segundo. Aprobar la Política de Seguridad Interior y Seguridad TIC y de Protección de Datos de Carácter Personal, en el ámbito de la Agencia Servicio Andaluz de Empleo, que se incorpora a esta resolución.

Tercero. Publicar el texto en el Portal Web de la Agencia Servicio Andaluz de Empleo, así como, en el subgrupo Seguridad TIC y Protección de Datos de Red Profesional.

Cuarto. La presente resolución surtirá efectos desde el mismo día de su aprobación.

Quinto. Ordenar la publicación de la presente resolución y su anexo en el Boletín Oficial de la Junta de Andalucía.

Sevilla, 14 de marzo de 2023.- La Presidenta, Beatriz Barranco Montes.

POLÍTICA DE SEGURIDAD INTERIOR, SEGURIDAD TIC Y DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL DEL SERVICIO ANDALUZ DE EMPLEO

1. Objeto.

El presente documento tiene por objeto establecer la Política de Seguridad Interior, Seguridad de las Tecnologías de la Información y Comunicaciones (en adelante, Seguridad TIC) y de Protección de Datos de Carácter Personal en el ámbito de la Agencia Servicio Andaluz de Empleo (en adelante, la Agencia o SAE), y el marco organizativo y tecnológico de acuerdo con la normativa reguladora de la política de seguridad de las tecnologías de la información y comunicaciones de la Administración de la Junta de Andalucía, en cumplimiento de la normativa reguladora del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante, ENS) y de la normativa en materia de protección de datos de carácter personal.

La Política de Seguridad TIC se aplicará a todos los sistemas de información que son responsabilidad del SAE para el ejercicio de las competencias que tiene atribuidas. Asimismo, deberá ser observada por todo el personal de la Agencia, así como por aquellas personas que tengan acceso a sus sistemas de información.

El presente documento tiene también como objeto establecer la organización funcional de la Seguridad Interior en el SAE.

2. Objetivos, principios y definiciones.

Se adoptan los principios, objetivos y definiciones establecidos en los artículos 2, 4 y 5 del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, en el ámbito competencial del SAE.

Asimismo, se adoptan los objetivos y principios establecidos en los artículos 4 y 5 del aludido Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad Interior en la Administración de la Junta de Andalucía. La preservación de la Seguridad Interior y Seguridad TIC, será considerada objetivo común de todas las personas al servicio de la Administración de la Junta de Andalucía, siendo éstas responsables de utilizar correctamente los activos y de participar, durante el desempeño ordinario de sus funciones y tareas, en la detección precoz de cuantos indicios puedan servir a la prevención de riesgos para la Seguridad Interior. Son objetivos de la política de Seguridad Interior contra los riesgos intencionales, conforme a lo establecido en el artículo 4 del citado Decreto 171/2020, de 13 de octubre, las siguientes:

a) Asegurar el funcionamiento como sistema eficaz, eficiente y explícitamente definido, de toda la actividad que la Administración de la Junta de Andalucía despliegue para la prevención de daños intencionales sobre su personal y personas usuarias, sobre sus activos y sobre la continuidad de su funcionamiento y servicios, así como, para la reacción cuando tales daños se produzcan.

b) Garantizar el cumplimiento de toda la normativa que sea de aplicación a las actuaciones de la Administración de la Junta de Andalucía en esta materia.

c) Colaborar a la seguridad a través de la protección del personal, personas usuarias y activos de la Administración de la Junta de Andalucía.

3. Marco regulador.

Se asume como marco regulador en materia de Seguridad Interior el establecido en el Decreto 171/2020, de 13 de octubre, y en materia de Seguridad TIC, el que en cada momento se defina, en virtud de la disposición adicional primera del Decreto 1/2011, de 11 de enero, por la Consejería competente en materia de coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones, a propuesta del Comité de Seguridad TIC de la Junta de Andalucía. Todo ello, sin perjuicio de otra normativa aplicable a este organismo en virtud de su naturaleza legal y sus competencias.

1. La estructura organizativa de la gestión de la seguridad del SAE está compuesta por las siguientes figuras:

a) Comité de Seguridad Interior y Seguridad de las Tecnologías de la Información y Comunicaciones de la Agencia, en adelante Comité de Seguridad Interior y Seguridad TIC. Grupo de Respuesta a Incidentes en los Sistemas de Información.

b) Unidad de Seguridad TIC. La persona responsable de esta Unidad de Seguridad tendrá la condición de persona responsable de Seguridad TIC.

c) Unidad de Seguridad Interior.

d) Puntos de coordinadores de Seguridad Interior en cada provincia.

e) Responsable de la Información.

f) Responsable del Sistema.

g) Responsable del Servicio.

Además, en el ámbito de la Agencia, las siguientes figuras ostentan atribuciones directamente relacionadas con la Seguridad TIC, que son las que les asigna la normativa sobre protección de datos de carácter personal:

a) Responsables de los Tratamientos de datos de carácter personal.

b) Encargados de los Tratamientos de datos de carácter personal.

c) El Delegado de Protección de Datos, en adelante DPD.

5. Creación del Comité de Seguridad Interior y Seguridad TIC.

Se crea el Comité de Seguridad Interior y Seguridad TIC del Servicio Andaluz de Empleo. El Comité de Seguridad Interior y Seguridad TIC actuará como órgano de dirección y seguimiento en materia tanto de Seguridad Interior como de los activos TIC de titularidad de la Agencia o cuya gestión tenga encomendada.

5.1. Comité de Seguridad Interior y Seguridad TIC.

5.1.1. En el ámbito de la seguridad TIC, el Comité de Seguridad Interior y Seguridad TIC del Servicio Andaluz de Empleo, tendrá asignadas las siguientes funciones de acuerdo con las previsiones contenidas en la normativa reguladora del ENS y en la normativa reguladora de la Seguridad TIC en la Administración de la Junta de Andalucía, así como determinar la política de seguridad que se ha de emplear en la utilización de los medios electrónicos que permita la adecuada protección de la información.

a) Aprobar el desarrollo de la Política de Seguridad TIC.

b) Velar por la concienciación y formación del personal en materia de Seguridad TIC.

c) Planificar y priorizar las iniciativas necesarias para cumplir con las directrices, los objetivos y los principios básicos marcados en la presente política de Seguridad TIC.

d) Proporcionar los medios y recursos necesarios para posibilitar la realización de las iniciativas planificadas.

e) Coordinar a alto nivel todas las actuaciones de seguridad, velando para que la definición y el desarrollo de las mismas se adecuen en todo momento a las directrices marcadas por la Política de Seguridad TIC, involucrando a las diferentes áreas implicadas.

f) Velar para que todos los ámbitos de responsabilidad y actuación en relación a la Seguridad TIC y su tratamiento queden perfectamente definidos, aprobando los nombramientos necesarios para ello. Especialmente, para asegurar que todas y cada una de las personas miembros de la estructura de seguridad definida, conozcan sus funciones y responsabilidades.

g) Velar porque la Seguridad TIC se tenga en cuenta en todos los proyectos TIC, desde su especificación inicial hasta su puesta en operación. En particular deberá velar por la creación y utilización de servicios horizontales que reduzcan duplicidades y apoyen un funcionamiento homogéneo de todos los sistemas TIC.

h) Asegurar que el desarrollo normativo que tenga incidencia en el desarrollo o explotación de sistemas de información se adecua a lo establecido en la política de Seguridad TIC.

i) Resolver los conflictos que puedan aparecer entre las diferentes personas responsables o entre diferentes áreas de la organización en materia de Seguridad TIC.

j) Coordinar las medidas técnicas y organizativas establecidas en la normativa de protección de datos personales, de acuerdo con los correspondientes análisis de riesgos y, en su caso, las evaluaciones de impacto en la protección de datos, contando con el asesoramiento del DPD.

k) Elevación de propuestas de revisión de la política de seguridad TIC, así como, de las directrices y normas de seguridad del SAE, o del marco normativo de Seguridad TIC de la Junta de Andalucía, a los órganos competentes para su reglamentaria tramitación.

l) Coordinación con el Comité de Seguridad TIC de la Consejería competente en materia de empleo.

5.1.2. En el ámbito de la Seguridad Interior de la Agencia, el Comité de Seguridad Interior y Seguridad TIC tendrá asignadas las siguientes funciones:

a) La definición, aprobación y seguimiento de los objetivos, iniciativas y planes estratégicos para la Seguridad Interior, incluido el Plan de Seguridad Interior.

b) Velar por la disponibilidad de los recursos necesarios para desarrollar las iniciativas y planes estratégicos definidos.

c) El establecimiento de directrices comunes y la supervisión del cumplimiento de la normativa de Seguridad Interior.

d) La aprobación del modelo de relación con los Puntos Coordinadores de Seguridad Interior.

e) La promoción de la educación, el entrenamiento y la concienciación sobre las medidas relativas a la Seguridad Interior entre el personal.

f) El análisis y la adopción de decisiones en la respuesta a incidentes susceptibles de generar una crisis de Seguridad Interior.

g) La designación de la Unidad de Seguridad Interior.

h) Las previsiones para la designación de los Puntos Coordinadores de Seguridad Interior.

i) Analizar y adoptar decisiones para la prevención o para la respuesta a incidentes susceptibles de generar una crisis de seguridad en la Agencia.

5.2. Composición del Comité de Seguridad Interior y Seguridad TIC.

El Comité de Seguridad TIC estará compuesto por los siguientes miembros:

a) Presidencia: Dirección-Gerencia.

b) Vocalías: Las personas titulares de los Centros Directivos, así como, de la Secretaría General y de la Coordinación de la Dirección-Gerencia.

c) Una persona en representación de los órganos periféricos de la Agencia SAE, designada por la persona titular de la Presidencia, y que puede ser de carácter rotativo. Así como, la persona titular de la Jefatura de Servicio responsable de la Seguridad Interior de la Agencia.

d) Secretaría: La persona titular de la Jefatura del Servicio de Informática, con voz y voto. En los casos de vacante, ausencia, enfermedad u otra causa legal, será sustituida por una persona funcionaria adscrita al Servicio de Informática, que designe la Presidencia del Comité de Seguridad TIC.

e) Asimismo, se podrá invitar a una persona representante del Comité de Seguridad Interior y Seguridad TIC de la Consejería con competencias en materia de empleo, con voz, pero sin voto.

En caso de vacante, ausencia, enfermedad u otras causas legales, la persona titular de la Presidencia será sustituida por la persona vocal titular del Comité que tenga mayor jerarquía, antigüedad en el órgano y edad, por ese orden, de entre sus componentes.

Al respecto de las vocalías, en caso de vacante, ausencia o enfermedad, la Presidencia podrá designar una persona que les sustituya en estas circunstancias entre personal funcionario que ocupen puestos de trabajo de nivel 28 o superior.

En la composición del Comité ha de garantizarse, en la medida de lo posible, la representación paritaria de mujeres y hombres, conforme a lo establecido en el artículo 19.2 de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía y a la definición de representación equilibrada contenida en el artículo 3.3 de la Ley 12/2007, de 26 de noviembre, para la Promoción de la Igualdad de Género en Andalucía.

La persona titular de la Unidad de Seguridad TIC, la persona que ostente la condición de Delegado de Protección de Datos, así como, la persona titular de la Unidad de Seguridad Interior asistirán en calidad de asesores a las reuniones del Comité de Seguridad Interior y Seguridad TIC, salvo que puntualmente se disponga lo contrario de forma expresa por parte de la Presidencia de la Agencia.

El Comité de Seguridad Interior y Seguridad TIC podrá convocar a sus reuniones a las personas que en cada caso autorice la Presidencia, por propia iniciativa o a propuesta de alguno de sus miembros. Asimismo, podrá recabar de personal técnico especializado, propio o externo, la información pertinente para la toma de decisiones.

5.3. Funcionamiento y régimen jurídico del Comité de Seguridad Interior y Seguridad TIC.

El Comité de Seguridad Interior y Seguridad TIC, se reunirá con carácter ordinario una vez al año, y con carácter extraordinario por acuerdo de la Presidencia, a iniciativa propia o previa solicitud razonada de uno de sus miembros.

El Comité se podrá constituir, convocar, celebrar sus sesiones, adoptar acuerdos y remitir actas, tanto de forma presencial como utilizando redes de comunicación a distancia, con las medidas adecuadas que garanticen la identidad de las personas comunicantes y la autenticidad de la información entre ellas transmitida, de conformidad con lo establecido en el artículo 91.3 de la reseñada Ley 9/2007, de 22 de octubre.

El Comité se regirá por este documento, por la normativa reguladora de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, por la Política de Seguridad Interior en la Administración de la Junta de Andalucía, así como por el resto de normativa aplicable, como la reguladora del ENS y la normativa de protección de datos de carácter personal.

La primera reunión del Comité tendrá por objeto la constitución del mismo y se celebrará en un plazo máximo de tres meses a partir de la entrada en vigor de la presente Resolución. En dicha reunión constitutiva se procederá al nombramiento de la Unidad de Seguridad Interior, mediante la designación de su persona responsable. Igualmente se ratificarán los nombramientos de la Unidad de Seguridad TIC, así como, de las personas Responsables de la Información y de los Servicios, ya nombrados anteriormente.

6. Grupo de Respuesta a Incidentes en los Sistemas de la Información.

El Comité de Seguridad Interior y Seguridad TIC nombrará un Grupo de Respuesta a Incidentes en los Sistemas de Información, cuya función será la toma urgente de decisiones en caso de contingencia grave que afecte a la seguridad de los sistemas de información críticos del SAE. Será la persona titular del Servicio de Informática quien determine la existencia de tales contingencias y las califique como graves. Las decisiones adoptadas por este grupo serán ratificadas por el Comité en su conjunto cuando sea necesario.

6.1. Composición.

La composición mínima de este grupo será la siguiente:

- Presidencia: Dirección-Gerencia.

- Vocalías: Las personas titulares de los Centros Directivos.

- Secretaría: La persona titular de la Jefatura del Servicio de Informática.

En el ejercicio de las funciones del grupo participarán en calidad de asesores:

- La persona responsable de la Unidad de Seguridad TIC.

- La persona que ostente la condición de Delegado de Protección de Datos.

Su composición podrá ser modificada mediante acuerdo del Comité de Seguridad interior y de Seguridad TIC.

Entre sus funciones, corresponde al Grupo de Respuesta a Incidentes en los Sistemas de Información, notificar a la autoridad competente en materia de seguridad de las redes y sistemas de información los incidentes de seguridad TIC, en los casos y en los términos que determine la normativa aplicable.

Esta notificación podrá realizarse directamente, o bien, a través de AndalucíaCERT o por el medio o procedimiento que disponga la política de seguridad de las tecnologías de la información y comunicaciones de la Junta de Andalucía, que determine la Dirección General competente en materia de coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones de la Administración de la Junta de Andalucía, o el Comité de Seguridad TIC corporativo de la Junta de Andalucía.

El SAE estará integrado en el grupo atendido del Centro de Seguridad TIC AndalucíaCERT.

7. Unidad de Seguridad TIC.

7.1. La Agencia, de acuerdo con lo establecido en el artículo 11.1 del Decreto 1/2011, de 11 de enero, contará con una Unidad de Seguridad TIC, garantizando el principio de función diferenciada recogido en su artículo 5.j), que ejerza las funciones de Responsabilidad de Seguridad TIC del SAE, debiendo ser designada la persona responsable de la citada Unidad por el Comité de Seguridad Interior y Seguridad TIC.

La Unidad de Seguridad TIC tendrá las siguientes atribuciones, de acuerdo con lo dispuesto en el artículo 11.1 del Decreto 1/2011, de 11 de enero:

a) Labores de soporte, asesoramiento e información al Comité de Seguridad Interior y Seguridad TIC de la Agencia, así como de ejecución de las decisiones y acuerdos adoptados por éste.

b) Diseño y ejecución de los programas de actuación propios del SAE, incluyendo, entre otros, planes directores de seguridad, proyectos de desarrollo normativo, auditorías de cumplimiento y planes de adecuación legal.

c) Definición, implantación y mantenimiento de los controles de carácter organizativo para la protección de los datos, aplicaciones y sistemas, así como la realización y mantenimiento de los análisis de riesgos.

d) Supervisión sistemática de los controles de carácter procedimental, operacional y medidas técnicas de protección de los datos, aplicaciones y sistemas del SAE.

e) Definición y supervisión de los criterios y requisitos técnicos de seguridad aplicados en las distintas fases del ciclo de vida de los soportes, sistemas y aplicaciones de la Agencia por parte de los Servicios o Departamentos responsables de la prestación de los servicios de tecnologías de la información y comunicaciones. Antes de la puesta en producción de nuevos sistemas de información o de evolutivos de los existentes, la Unidad de Seguridad TIC deberá evaluar los aspectos de seguridad y comunicar los posibles riesgos a la persona responsable de la Información y a la persona responsable del Servicio.

f) Definición y ejecución de los programas formativos y de concienciación relacionados con buenas prácticas de seguridad TIC en el ámbito de la Agencia, procurando promover, en el proceso de selección de las personas participantes en estos programas, la concurrencia de mujeres.

g) Aplicación de los criterios y directrices de gestión de la seguridad TIC emanadas de la Unidad de Seguridad TIC Corporativa.

h) Cuantas otras le sean encomendadas por el órgano directivo del SAE del que dependa funcional u orgánicamente.

7.2. Unidad de Seguridad Interior.

De acuerdo con lo dispuesto en el artículo 10 del Decreto 171/2020, de 13 de octubre, se constituirá una Unidad de Seguridad Interior, que será designada por el Comité de Seguridad Interior y Seguridad TIC del SAE, con las siguientes atribuciones:

a) Asesorar, informar y ofrecer soporte al Comité de Seguridad Interior y Seguridad TIC, así como la ejecución de sus decisiones y acuerdos en materia de Seguridad Interior.

b) Elaboración de una Propuesta de Plan de Seguridad Interior para la Agencia.

c) Proponer las adaptaciones necesarias a su ámbito del modelo general de Seguridad Interior.

d) Desarrollar, mantener y supervisar el marco regulador de la seguridad interior en la Agencia.

e) Generar y supervisar los criterios y directrices para la gestión de la Seguridad Interior en el ámbito de la Agencia.

f) Recoger sistemáticamente la información y supervisar el estado de las principales variables de Seguridad Interior en el ámbito de la Agencia.

g) Coordinar y realizar el seguimiento de la actividad de los puntos coordinadores responsables de Seguridad Interior de la Agencia en cada provincia.

h) Asesorar técnicamente y auditar el sistema de Seguridad Interior en el ámbito de la Agencia.

i) Velar por la coherencia de la aplicación del modelo de Seguridad Interior en el ámbito de la Agencia, mantenerlo actualizado e impulsar su implantación.

j) Gestionar, para el ámbito de la Agencia, la relación con la Unidad Corporativa de Seguridad Interior.

k) Definir los criterios de protección de activos especialmente sensibles a riesgos que conciernen a la Seguridad Interior, conforme a las especificidades del ámbito de la Agencia.

l) Desarrollar, para el ámbito de la Agencia, planes de contingencia en respuesta a incidentes de Seguridad Interior, incluso situaciones de crisis.

m) Asegurar, en el ámbito de la Agencia, el funcionamiento de los mecanismos previstos para recopilar, recibir, analizar y procesar la información relevante para la Seguridad Interior, destinados a generar inteligencia al respecto.

n) Promover y coordinar la cooperación con las autoridades del sector correspondiente, al ámbito material de la Agencia en materia de inteligencia para la seguridad.

ñ) Informar sobre incidentes de Seguridad Interior en la Agencia que se consideren relevantes.

o) Asegurar en su nivel el correcto funcionamiento en la cadena de comunicación y escalado de incidentes de Seguridad Interior.

p) Proponer a la aprobación del Comité de Seguridad Interior y Seguridad TIC el Plan de Seguridad Interior de la Agencia.

q) Cuantas otras le sean encomendadas en relación con la Seguridad Interior por el Comité de Seguridad Interior y Seguridad TIC.

8. Responsable de Seguridad TIC.

La persona responsable de la Unidad de Seguridad TIC del SAE tendrá la condición de Responsable de Seguridad TIC, en los términos establecidos en la normativa reguladora del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

9. Responsables de la Información.

Las personas responsables de la Información serán las personas titulares de los Centros Directivos que decidan sobre la finalidad, contenido y uso de la información.

Las principales funciones, dentro de su ámbito de actuación, son las siguientes:

a) Ayudar a determinar los requisitos de seguridad TIC, categorizando la información mediante la valoración de los impactos de los incidentes que puedan producirse.

b) Proporcionar la información necesaria a la Unidad de Seguridad TIC para realizar los preceptivos análisis de riesgos, con la finalidad de establecer las salvaguardas a implantar. Para ello contará con la ayuda de los responsables de los Servicios y de las personas responsables de los Sistemas.

c) Verificar que los análisis de riesgos realizados se corresponden en todo momento con la información aportada para la realización de los mismos.

10. Responsables de los Servicios.

Las personas responsables de los Servicios serán las personas titulares de los Servicios de gestión que decidan sobre las características de los servicios a prestar.

Las principales funciones, dentro de su ámbito de actuación, son las siguientes:

a) Ayudar a determinar los requisitos de seguridad de los servicios a prestar, categorizando los servicios mediante la valoración de los impactos de los incidentes que puedan producirse.

b) Proporcionar la información necesaria a la Unidad de Seguridad TIC para realizar los preceptivos análisis de riesgos, con la finalidad de establecer las salvaguardas a implantar. Para ello contará con la ayuda de las personas responsables de la Información y de las personas responsables de los Sistemas.

c) Verificar que los análisis de riesgos realizados se corresponden en todo momento con la información aportada para la realización de los mismos.

11. Responsable de los Sistemas.

La persona responsable de todos los Sistemas del SAE será la persona titular de la Jefatura del Servicio de informática y figurarán en la documentación de seguridad de los sistemas de información. Para cada sistema de información deberá existir una persona responsable de Sistema, siendo posible que una misma persona sea responsable de varios sistemas.

Sus principales responsabilidades serán:

a) Supervisar el desarrollo, operación y mantenimiento de los sistemas de información durante todo su ciclo de vida, así como las especificaciones de los mismos, la instalación y verificación de su correcto funcionamiento.

b) Ser la primera persona responsable de la seguridad de los sistemas de información que dirija, velando porque la Seguridad TIC esté presente en todas y cada una de las partes de sus ciclos de vida. Especialmente deberá velar porque el desarrollo de los sistemas siga las directrices de seguridad establecidas de manera horizontal por la Junta de Andalucía de acuerdo con los criterios y requisitos técnicos de seguridad aplicables definidos por la Unidad de Seguridad TIC del SAE.

c) Creación, mantenimiento y actualización continua de la documentación de seguridad de los sistemas de información, con el asesoramiento de la Unidad de Seguridad TIC.

d) Asesorar en la definición de la tipología y sistema de gestión de los sistemas de información estableciendo los criterios de uso y los servicios disponibles en el mismo.

e) Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.

f) Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.

g) Asesorar en colaboración con la Unidad de Seguridad TIC, a los responsables de la Información y a los responsables de los Servicios, en el proceso de la gestión de riesgos.

h) Suspender el manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con las personas responsables de la Información afectada, del Servicio afectado y con la Unidad de Seguridad TIC, antes de ser ejecutada.

12. Resolución de conflictos.

Los conflictos entre las diferentes personas, unidades u órganos responsables que componen la estructura organizativa de la política de seguridad serán resueltos por el superior jerárquico común. En su defecto, prevalecerá la decisión del Comité de Seguridad Interior y Seguridad TIC.

En los conflictos entre las personas responsables que componen la estructura organizativa de la política de seguridad y las personas responsables definidas en la normativa de protección de datos de carácter personal, prevalecerá la decisión que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.

13. Obligaciones del personal.

Todo el personal que preste servicios en el SAE tiene la obligación de conocer y cumplir la política de seguridad y la normativa de seguridad derivada, siendo responsabilidad del Comité de Seguridad Interior y Seguridad TIC disponer los medios necesarios para que la información llegue a las personas afectadas.

Todo el personal que se incorpore a la Agencia o vaya a tener acceso a alguno de sus sistemas de información o la información gestionada por ellos, deberá ser informado de la política de seguridad.

Procederá el ejercicio de las acciones pertinentes, para la exigencia de las responsabilidades legales que correspondan por el incumplimiento manifiesto de la política de seguridad o de la normativa de seguridad derivada.

El personal del SAE deberá cumplir además con las instrucciones y normas que regulen el comportamiento del personal empleado público en el uso de los sistemas informáticos y redes de comunicaciones de la Administración de la Junta de Andalucía.

Cualquier persona que actúe bajo la autoridad de la persona responsable o de la encargada de un Tratamiento de datos personales en el ámbito de aplicación de este documento y tenga acceso a datos personales solo tratará dichos datos siguiendo instrucciones del responsable, salvo que se lo impida el ordenamiento jurídico comunitario, nacional o autonómico.

14. Desarrollo.

Las medidas sobre la Seguridad TIC, de obligado cumplimiento, se desarrollarán en distintos niveles con diferente ámbito de aplicación, detalle técnico y obligatoriedad de cumplimiento, pero de manera que cada elemento de desarrollo se fundamente en el nivel superior.

Dichas medidas conformarán el marco normativo de Seguridad de los Sistemas de Información del SAE. Además, se observará lo establecido en la disposición adicional primera del Decreto 1/2011, de 11 de enero.

Todos estos niveles prestarán especial atención a las exigencias derivadas del Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, así como a la normativa aplicable en materia de protección de datos de carácter personal.

Los niveles de desarrollo son los siguientes:

a) Primer nivel: Política de seguridad, constituido por el presente documento. Es de obligado cumplimiento en todo el SAE.

b) Segundo nivel: Normas de seguridad. Son de obligado cumplimiento en todo el SAE y deben ser aprobadas por el Comité de Seguridad Interior y Seguridad TIC. Describen de forma general los principios y normas de seguridad que serán concretados en los niveles posteriores.

c) Tercer nivel: Procedimientos. Describen las acciones a realizar, de una manera más específica, en un proceso relacionado con la seguridad. Son dependientes de las normas de seguridad. Los aprueba el responsable de Sistemas.

d) Cuarto nivel: Documentación técnica. En este último nivel se puede incluir todo tipo de documentación técnica o especializada que se considere necesario para completar y facilitar el desarrollo de las medidas de seguridad. La aprueba la persona responsable de Sistemas.

El Comité de Seguridad Interior y Seguridad TIC establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo, con el propósito de regularizarlo en la medida de lo posible, en todo el ámbito de aplicación de la política de seguridad.

La siguiente tabla resume el marco de desarrollo y la competencia para su aprobación:

Nivel	Documento	Aprueba
Primero	Política de seguridad	Presidencia SAE
Segundo	Normas de seguridad	Comité de Seguridad Interior y Seguridad TIC
Tercero	Procedimientos	Responsable de Sistemas
Cuarto	Documentación técnica	Responsable del Sistemas

La Unidad de Seguridad TIC se encarga de la gestión de los documentos indicados, debiendo asegurar que ésta sea completa y proporcione información suficiente para definir las necesidades de protección de la información y los activos asociados a la misma en el ámbito de la Agencia.

15. Gestión de riesgos.

La gestión de riesgos deberá realizarse de manera continua sobre el sistema de información, conforme a los principios de gestión de la seguridad basada en los riesgos y con reevaluación periódica de los mismos.

Las personas encargadas de la categorización de los sistemas serán los responsables de la Información y de los Servicios, siendo la Unidad de Seguridad TIC la encargada de supervisar los análisis de riesgos y proponer las medidas de seguridad a aplicar.

Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos de carácter personal, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizados a dichos datos.

Las personas responsables de la Información y de los Servicios son las responsables de aceptar los riesgos residuales calculados en el análisis sobre la información y los servicios, respectivamente, y de realizar su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.

El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse al menos con periodicidad anual por parte de la Unidad de Seguridad TIC, que elevará un informe al Comité de Seguridad Interior y Seguridad TIC.

16. Clasificación y control de activos.

Los recursos informáticos y la información del SAE se encontrarán inventariados, con una persona responsable asociada, y en caso de ser necesario, una persona encargada de la custodia de los mismos. Los inventarios se mantendrán actualizados para asegurar su validez.

Los activos de información estarán clasificados de acuerdo con su sensibilidad y criticidad para el desarrollo de la actividad del SAE, en función de la cual se establecerán las medidas de seguridad exigidas para su protección.

17. Auditorías de la seguridad.

Los sistemas de información serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS. Estas auditorías ordinarias, así como las extraordinarias, se harán de acuerdo con lo establecido en el artículo 31 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, y la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información, aprobada por Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública.

Los informes de auditoría serán presentados a la persona responsable del Sistema competente, al Delegado de Protección de Datos, si afectara a éstos, y a la persona responsable de la Unidad de Seguridad TIC. Estos informes serán analizados por esta última persona que presentará sus conclusiones a la persona responsable del Sistema para que adopte las medidas correctoras adecuadas. Los resultados obtenidos determinarán las líneas de actuación a seguir y las posibles modificaciones a realizar sobre los controles y la normativa de seguridad.

Con el fin de optimizar la utilización de los recursos públicos y garantizar una mejor coordinación entre Seguridad TIC y Seguridad de Protección de Datos, siempre que sea posible, las auditorías de seguridad de sistemas de información y las auditorías de protección de datos o medidas análogas de verificación, evaluación y valoración de seguridad de los tratamientos se realizarán de manera conjunta.

18. Protección de datos de carácter personal.

18.1. Incidencia de la normativa de protección de datos de carácter personal.

Todos los sistemas de información del SAE se ajustarán a lo exigido por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, en adelante, RGPD); la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), que adapta el ordenamiento jurídico español al RGPD y completa y desarrolla sus disposiciones, así como, el resto de la normativa general o sectorial de protección de datos de carácter personal que sea de aplicación. Todos los tratamientos de datos de carácter personal, automatizados o no automatizados, se sujetarán a la citada norma cuando se encuentren dentro de su ámbito de aplicación.

En dicho ámbito cada responsable del tratamiento de datos de carácter personal, aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y ser capaz de demostrar que los tratamientos de datos de carácter personal son conformes con dicha normativa, de acuerdo con el principio de responsabilidad proactiva, de conformidad con el artículo 24 del RGPD. En caso de conflicto con la normativa de seguridad prevalecerá el criterio que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.

Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento de datos de carácter personal, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, y de conformidad con el artículo 32 del RGPD, la persona responsable y la encargada del Tratamiento en el ámbito de aplicación de este documento, aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Cuando sea probable que un tipo de tratamiento de datos personal, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, la persona responsable del Tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales, de conformidad con el artículo 35 del RGPD. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares. Para ello recabará el asesoramiento del Delegado de Protección de Datos.

La personal responsable del Tratamiento, llevará un registro de las actividades de tratamiento de datos de carácter personal efectuadas bajo su responsabilidad, de acuerdo con lo establecido en el artículo 30 del RGPD y el resto de normativa de datos de carácter personal aplicable. Cada persona encargada del Tratamiento llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable, de acuerdo con el mismo precepto.

En caso de violación de la seguridad de los datos personales, la persona responsable del Tratamiento la notificará a la autoridad de control competente sin dilación indebida, y de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, la persona responsable del Tratamiento la comunicará al interesado sin dilación indebida. Dicha notificación y comunicación se atendrán a lo establecido en los artículos 33 y 34 del RGPD y el resto de normativa de datos de carácter personal aplicable.

18.2. Responsables de los Tratamientos de datos de carácter personal.

Las personas responsables de los Tratamientos de datos de carácter personal, en el ámbito de aplicación de esta resolución, son las autoridades públicas que determinen los fines y medios de los tratamientos, de conformidad con el artículo 4.7 del RGPD.

En el ámbito de la Política de Seguridad del SAE, las personas responsables de la Información, es decir, los órganos directivos, tendrán la condición de personas responsables del Tratamiento respecto a los tratamientos sobre los que determinen sus fines y medios, salvo que las normas aplicables sobre asignación de atribuciones en materia de protección de datos de carácter personal dispongan otra cosa.

18.3. Encargados de los Tratamientos de datos de carácter personal.

Si las personas responsables de los Tratamientos designaran a una persona encargada del Tratamiento, lo harán únicamente por cada tratamiento, siempre que dicha persona ofrezca garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas para que el tratamiento sea conforme al RGPD, y garantice la protección de los derechos de las personas interesadas, de conformidad con el artículo 28 del RGPD.

Las principales funciones y responsabilidades, dentro de su ámbito de actuación, son las establecidas en el artículo 28 del RGPD y demás normativa de aplicación.

Tanto la persona responsable como la encargada del Tratamiento, deberá determinar claramente cuándo el tratamiento se realiza bajo su autoridad, conforme a lo establecido en el artículo 29 del RGPD y cuándo se realiza mediante una persona encargada de Tratamiento, sujeto a lo establecido en el artículo 28 de dicho RGPD.

18.4. Delegado de Protección de Datos.

Existirá una persona que ostente la condición de Delegado de Protección de Datos, a efectos de lo establecido en los artículos 37 y 38 del RGPD, para varios de los órganos y unidades administrativas del Servicio Andaluz de Empleo, que formen parte de Administración de la Junta de Andalucía, de conformidad con la posibilidad establecida en el artículo 37.3 de dicho Reglamento.

La persona que ostente la condición de Delegado de Protección de Datos será designada por la persona titular de la Dirección-Gerencia entre personal adscrito a la Agencia, no pudiendo ser removida ni sancionada por desempeñar sus funciones, salvo que incurriera en dolo o negligencia grave en su ejercicio. La resolución por la que se le designe determinará los órganos o unidades administrativas centrales o periféricos que dependan funcionalmente del SAE o estén adscritos respecto a los que ejercerá sus funciones.

La persona que ostente la condición de Delegado de Protección de Datos podrá poner en conocimiento del Comité de Seguridad Interior y Seguridad TIC las cuestiones relacionadas con la protección de datos que sea necesario, y participará desde el inicio, en todas las cuestiones relacionadas con la protección de datos, contribuyendo así al cumplimiento de la protección de datos personales desde el diseño y por defecto.

Son funciones de la persona que ostente la condición de Delegado de Protección de Datos, además de las que le corresponden de conformidad con el artículo 39 del RGPD y demás normativa de aplicación, las siguientes:

a) Ser consultado sobre la contratación, análisis, diseño, operación y mantenimiento de los tratamientos realizados sobre datos personales. También debe ser consultado sobre todo proyecto normativo que suponga un tratamiento de datos personales.

b) Asesorar sobre la confección de los modelos de formularios de recogida de datos personales.

c) Asesorar sobre la evaluación de impacto relativa a la protección de datos, tanto en la necesidad de su realización como en su elaboración. Supervisar la gestión del registro de actividades de tratamiento de las personas responsables de Tratamiento del SAE, debiendo éstas facilitarle la información necesaria para ello.

d) Asesorar a la persona responsable del Tratamiento sobre la oportunidad y modo de notificar los incidentes de seguridad sobre datos de carácter personal a la autoridad de control correspondiente en materia de protección de datos de carácter personal.

e) Asesorar a la persona responsable del Tratamiento sobre la oportunidad y modo de informar a las personas interesadas y afectadas por violaciones de la seguridad de sus datos personales que entrañen un alto riesgo para los derechos y libertades de las personas físicas, conforme a lo establecido en el artículo 34 del RGPD.

19. Formación y concienciación en seguridad TIC.

Anualmente se desarrollarán actividades de formación y concienciación en seguridad interior y seguridad TIC destinadas a las personas empleadas públicas del SAE. Entre tales actividades se incluirán las de difusión de esta política de seguridad y de su desarrollo normativo.

Anexo

Requisitos mínimos

Para la correcta implementación y cumplimiento de la presente Política de Seguridad es necesario aplicar una serie de requisitos de obligado cumplimiento.

1. La seguridad en la organización.

La seguridad debe comprometer a todas las personas integrantes del SAE, sin excepción.

En el apartado 3 de la Política de Seguridad SAE «Organización y gestión de la seguridad TIC», se especifica la organización de la seguridad con la definición de la estructura organizativa. Asimismo, la implementación de dicha organización está en el marco normativo cubierto por el establecimiento de un Sistema de Gestión de la Seguridad, basado en el ENS.

2. Análisis y gestión de riesgos.

Los servicios e infraestructuras bajo el alcance de la presente Política de Seguridad deberán estar sometidos a un análisis de riesgos para orientar las medidas de protección a minimizar los mismos como se indica en el apartado 14 «Gestión de riesgos».

La descripción de la metodología y evaluación del riesgo seguidas están desarrolladas en «Metodología de análisis y gestión de riesgos».

El análisis de riesgos se realizará igualmente cuando se vaya a iniciar o a modificar un tratamiento de datos de carácter personal, en línea a lo establecido en el RGPD y la LOPDGDD.

En estos casos se contemplarán en el alcance del análisis, todos aquellos activos que intervengan en el tratamiento, considerando tanto activos relacionados con los sistemas de información, como humanos, locales o terceros.

A raíz de los resultados obtenidos en los mencionados análisis de riesgos se determinarán las medidas necesarias para proteger dichos datos.

3. Gestión de personal.

En el apartado 12 «Obligaciones del personal» de la presente Política de Seguridad, en las normativas de uso internos correspondientes, se detallan la obligatoriedad de conocimiento y concienciación en materia de seguridad según sus responsabilidades. Los recursos necesarios para la implantación del sistema de seguridad, así como aquellos que lleven a cabo su operación, mantenimiento, supervisión, o tenga relación con el sistema, se establecerá en el marco normativo de la Política de Seguridad del SAE, y será aprobados por parte del órgano competente del organismo a propuesta del Comité de Seguridad Interior y Seguridad TIC.

La selección de personal se llevará a cabo aplicando los criterios por parte del Servicio de Personal del SAE.

4. Profesionalidad.

Siguiendo lo indicado en el apartado 18 «Formación y concienciación en Seguridad TIC» de la presente Política de Seguridad, se desarrollan los objetivos de las acciones de formación y concienciación y en los apartados 5.1.1 «Funciones del Comité de Seguridad Interior y Seguridad TIC », 7 «Unidad de Seguridad TIC» , 8 «Responsable de Seguridad TIC», 9 «Responsables de la Información», 10 «Responsables de los Servicios», 11 «Responsables de los Sistemas», 13 «Obligaciones del personal» de la presente Política de Seguridad y en la normativa de uso interno correspondiente, se indican las responsabilidades del personal.

Con periodicidad anual se diseñará un plan de formación específico en el que se tendrá en cuenta las necesidades de profesionalidad del sistema de seguridad.

5. Autorización y control de acceso.

El acceso a los sistemas de información estará restringido y limitado a aquellas personas usuarias o procesos que lo necesiten para el desarrollo de su actividad y estén previamente autorizados.

El acceso a la información seguirá el principio de «necesidad de conocer, de forma que los privilegios otorgados a cada entidad sean los mínimos imprescindibles para el desarrollo de su actividad».

La identificación de las personas usuarias será tal que se pueda conocer en todo momento quién recibe los derechos de acceso y quién ha realizado alguna actividad, por lo que los identificadores serán personales, no compartidos e intransferibles.

Los lugares con acceso restringido igualmente se controlarán y serán previamente autorizados por las personas responsables asignadas.

6. Protección de las instalaciones.

Los sistemas de información estarán ubicados en zonas protegidas, con acceso restringido, habilitado únicamente al personal autorizado.

7. Adquisición de productos.

Para las actividades de adquisición de nuevos productos, sistemas o servicios se establecen actuaciones de análisis de riesgos con proveedores y se mantendrán actualizados los listados de proveedores habituales. Las adquisiciones se autorizarán por las personas responsables del área implicada y el Servicio de Contratación a través de informes favorables del proveedor, en caso de requerirse.

8. Seguridad por defecto.

Los sistemas y aplicaciones se diseñarán y construirán bajo el principio de seguridad por defecto, de tal forma que:

a) El sistema ofrecerá la funcionalidad mínima necesaria y ninguna adicional. Cualquier función que no sea de interés o innecesaria será deshabilitada o no implantada.

b) La operación y explotación de los sistemas estará limitada a aquellas personas o ubicaciones que se autoricen, quedando prohibidas para el resto.

c) El uso del sistema ha de ser seguro, de tal forma que el uso inseguro requerirá intención expresa por parte del usuario.

La seguridad estará presente desde la concepción de un sistema o aplicación, y permanecerá presente durante todo su ciclo de vida.

En la concepción de un nuevo sistema o aplicación, o modificación sustancial de un sistema o aplicación existentes, se contará siempre, y desde el inicio, con la participación de la persona responsable de Seguridad de la Información.

9. Integridad y actualización del sistema.

Se deberán seguir en todo momento las informaciones acerca de la vulnerabilidades que afectan a los sistemas de información.

Se seguirán las recomendaciones de los fabricantes de equipos y software en cuanto a actualizaciones de seguridad, que deberán ser analizadas en cuanto a su idoneidad y conveniencia, y aplicadas en caso positivo con la menor dilación.

10. Protección de la información almacenada y en tránsito.

Se protegerán los entornos que contienen información almacenada y en tránsito entre entornos inseguros. En este sentido se protegerán convenientemente los equipos portátiles que puedan contener información, así como los soportes extraíbles (lápices de memoria, discos duros extraíbles, etc.).

11. Prevención ante otros sistemas de información interconectados.

Se desplegarán las protecciones necesarias para proteger el perímetro de la red corporativa del SAE, de forma que se neutralicen las posibles intrusiones procedentes del exterior, ya sea iniciadas malintencionadamente por terceros o como consecuencia de la interconexión con sistemas de terceros.

12. Registros de actividad.

Los sistemas y aplicaciones generarán los registros de actividad necesarios para conocer su actividad, de forma que se pueda determinar en todo momento qué persona actúa, sobre qué datos, con qué operaciones y sus privilegios de acceso.

13. Gestión de incidentes de seguridad.

El SAE definirá e implantará procedimientos de gestión de incidencias de seguridad, que aseguren la correcta gestión y respuesta efectiva que permita anular o minimizar el impacto del incidente en la información, los servicios, los empleados, las personas usuarias y en general, en la actividad del SAE.

El procedimiento de gestión y respuesta a incidentes de seguridad contemplará la comunicación y notificación de los incidentes a los organismos receptores de dicha información de acuerdo con la legalidad vigente.

14. Continuidad de negocio.

Para asegurar la disponibilidad de los servicios y sistemas de información, el SAE diseñará e implantará Planes de Continuidad de servicio, que eviten las interrupciones de las actividades del SAE y garanticen ante una contingencia, la reanudación de los servicios y sistemas de información a los niveles adecuados de operatividad.

15. Gestión de la seguridad y mejora continua.

Se deberá establecer un sistema de gestión de la seguridad que permita conocer en cada memento el estado de la seguridad, mediante la definición y medida de indicadores, y permita tomar las decisiones informadas pertinentes para cumplir los requisitos de seguridad establecidos.

Se establecerá un proceso de mejora continua mediante el análisis de la situación, la implantación de nuevas medidas de seguridad, la mejora de las existentes y la aportación de mejoras sugeridas por el Comité de Seguridad Interior y Seguridad TIC y por todo el SAE en su conjunto.

Descargar PDF