3. Otras disposiciones. Consejería de Igualdad, Políticas Sociales y Conciliación. (2022/72-39)
Resolución de 7 de abril de 2022, del Instituto Andaluz de la Mujer, por la que se establece la política de seguridad de las Tecnologías de la Información y Comunicaciones y Seguridad Interior así como de la protección de datos de carácter personal del Instituto Andaluz de la Mujer.
11 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOJA
Boletín Oficial de la Junta de Andalucía
Número 72 - Lunes, 18 de abril de 2022
página 6174/10
6. Para realizar el análisis de riesgos TIC se utilizará la metodología MAGERIT,
aprobada por el Consejo Superior de Administración Electrónica, y las herramientas que
la apliquen, como PILAR, desarrollada por el Centro Criptológico Nacional. El análisis
de riesgos relativo a la Seguridad Interior se desarrollará conforme a la metodología
empleada por la Junta de Andalucía.
Undécimo. Gestión de los incidentes de seguridad y de la continuidad.
El IAM debe estar preparado para prevenir, detectar, reaccionar y recuperarse de
incidentes, según los términos previstos en el artículo 7 del ENS, y de lo dispuesto en su
caso, por la normativa vigente en cada momento.
El Comité de Seguridad Interior y Seguridad TIC deberá aprobar y revisar
periódicamente un plan para mantener la continuidad de los procesos, activos y sistemas
críticos y garantizar su recuperación en caso de desastre. La finalidad de este plan es
reducir el tiempo de indisponibilidad a niveles aceptables mediante la combinación de
controles de carácter organizativo, tecnológico y procedimental, tanto preventivos como
de recuperación.
A los efectos de una mejor gestión de los incidentes TIC, se actuará de forma
coordinada con Andalucía CERT.
Duodécimo. Terceras partes.
Cuando una organización, entidad, o usuario externo, tenga acceso en virtud de norma,
contrato o convenio, a los sistemas de información del IAM, éste le hará partícipe de esta
Política de Seguridad. En concreto, esta tercera parte quedará sujeta a través de cláusulas
contractuales o acuerdos de nivel de servicio, en los que se recoja el contenido establecido
en la presente Política y el cuerpo normativo en materia de Seguridad del IAM.
Se establecerán mecanismos de comunicación y resolución de incidencias. Se velará
por que el personal de terceros esté adecuadamente concienciado y formado en materia
de Seguridad.
Si algún aspecto de esta Política de Seguridad no puede ser satisfecho por una
tercera parte según lo anterior, se requerirá un informe del Responsable de Seguridad
TIC que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la
aprobación de este informe por los responsables de la información y/o los servicios
afectados antes de proseguir en la relación con terceros.
Decimocuarto. Auditorías de seguridad.
El IAM manifiesta el compromiso de auditar los sistemas de información de forma
periódica con objeto de revisar el cumplimiento normativo.
Al menos cada dos años se debería realizar una Auditoría de Seguridad, que confirme
el cumplimiento de los requisitos del RGPD y su normativa de desarrollo, el ENS y el
Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad
Interior en la Administración de la Junta de Andalucía.
Estas auditorías serán elevadas al Comité de Seguridad Interior y Seguridad TIC
para que determine las líneas de actuación a seguir y las modificaciones necesarias para
conducir la gestión de la seguridad del IAM a la mejora continua.
Depósito Legal: SE-410/1979. ISSN: 2253 - 802X
http://www.juntadeandalucia.es/eboja
00259488
Decimotercero. Formación y concienciación.
El IAM desarrollará con carácter anual un Plan de Formación y Concienciación en
materia de Seguridad TIC y Seguridad Interior, con el objetivo de interiorizar una cultura
de la seguridad alineada con la presente Política de Seguridad.
El Plan de Concienciación irá destinado al personal en general del IAM, y será
desarrollado con el objetivo de dar a conocer esta Política y su desarrollo normativo.
Boletín Oficial de la Junta de Andalucía
Número 72 - Lunes, 18 de abril de 2022
página 6174/10
6. Para realizar el análisis de riesgos TIC se utilizará la metodología MAGERIT,
aprobada por el Consejo Superior de Administración Electrónica, y las herramientas que
la apliquen, como PILAR, desarrollada por el Centro Criptológico Nacional. El análisis
de riesgos relativo a la Seguridad Interior se desarrollará conforme a la metodología
empleada por la Junta de Andalucía.
Undécimo. Gestión de los incidentes de seguridad y de la continuidad.
El IAM debe estar preparado para prevenir, detectar, reaccionar y recuperarse de
incidentes, según los términos previstos en el artículo 7 del ENS, y de lo dispuesto en su
caso, por la normativa vigente en cada momento.
El Comité de Seguridad Interior y Seguridad TIC deberá aprobar y revisar
periódicamente un plan para mantener la continuidad de los procesos, activos y sistemas
críticos y garantizar su recuperación en caso de desastre. La finalidad de este plan es
reducir el tiempo de indisponibilidad a niveles aceptables mediante la combinación de
controles de carácter organizativo, tecnológico y procedimental, tanto preventivos como
de recuperación.
A los efectos de una mejor gestión de los incidentes TIC, se actuará de forma
coordinada con Andalucía CERT.
Duodécimo. Terceras partes.
Cuando una organización, entidad, o usuario externo, tenga acceso en virtud de norma,
contrato o convenio, a los sistemas de información del IAM, éste le hará partícipe de esta
Política de Seguridad. En concreto, esta tercera parte quedará sujeta a través de cláusulas
contractuales o acuerdos de nivel de servicio, en los que se recoja el contenido establecido
en la presente Política y el cuerpo normativo en materia de Seguridad del IAM.
Se establecerán mecanismos de comunicación y resolución de incidencias. Se velará
por que el personal de terceros esté adecuadamente concienciado y formado en materia
de Seguridad.
Si algún aspecto de esta Política de Seguridad no puede ser satisfecho por una
tercera parte según lo anterior, se requerirá un informe del Responsable de Seguridad
TIC que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la
aprobación de este informe por los responsables de la información y/o los servicios
afectados antes de proseguir en la relación con terceros.
Decimocuarto. Auditorías de seguridad.
El IAM manifiesta el compromiso de auditar los sistemas de información de forma
periódica con objeto de revisar el cumplimiento normativo.
Al menos cada dos años se debería realizar una Auditoría de Seguridad, que confirme
el cumplimiento de los requisitos del RGPD y su normativa de desarrollo, el ENS y el
Decreto 171/2020, de 13 de octubre, por el que se establece la Política de Seguridad
Interior en la Administración de la Junta de Andalucía.
Estas auditorías serán elevadas al Comité de Seguridad Interior y Seguridad TIC
para que determine las líneas de actuación a seguir y las modificaciones necesarias para
conducir la gestión de la seguridad del IAM a la mejora continua.
Depósito Legal: SE-410/1979. ISSN: 2253 - 802X
http://www.juntadeandalucia.es/eboja
00259488
Decimotercero. Formación y concienciación.
El IAM desarrollará con carácter anual un Plan de Formación y Concienciación en
materia de Seguridad TIC y Seguridad Interior, con el objetivo de interiorizar una cultura
de la seguridad alineada con la presente Política de Seguridad.
El Plan de Concienciación irá destinado al personal en general del IAM, y será
desarrollado con el objetivo de dar a conocer esta Política y su desarrollo normativo.
