3. Otras disposiciones. Consejería de Igualdad, Políticas Sociales y Conciliación. (2022/72-39)
Resolución de 7 de abril de 2022, del Instituto Andaluz de la Mujer, por la que se establece la política de seguridad de las Tecnologías de la Información y Comunicaciones y Seguridad Interior así como de la protección de datos de carácter personal del Instituto Andaluz de la Mujer.
11 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Número 72 - Lunes, 18 de abril de 2022
página 6174/5
Sexto. Principios de la seguridad.
6.1. Principios básicos.
Los principios básicos que han de tenerse en cuenta en todas las decisiones
que se tomen en materia de seguridad son los establecidos en el artículo 4 del Real
Decreto 3/2010, por el que se regula el Esquema Nacional de Seguridad, y los establecidos
en el artículo 5 del Decreto 171/2020, de 13 de octubre, por el que se establece la Política
de Seguridad Interior en la Administración de la Junta de Andalucía.
6.2. Principios específicos.
Para el cumplimiento de los principios básicos, recogidos en el artículo 11 del ENS,
se concretan una serie de principios particulares que inspiran las actuaciones del IAM y
son los siguientes:
a) Gestión organizativa integrada de la Seguridad Interior y Seguridad TIC: Este
Principio recoge la estructura organizativa establecida en el Decreto 171/2020, de 13 de
octubre por el que se establece la Política de Seguridad Interior en la Administración de la
Junta de Andalucía, cuyo objetivo es facilitar una futura convergencia entre la seguridad
física y la Ciberseguridad.
b) Cumplimiento normativo: El IAM adoptará medidas técnico-organizativas
necesarias para el cumplimiento de la normativa vigente en materia de seguridad.
c) Análisis y gestión de riesgos: se empleará la metodología reconocida
internacionalmente y utilizada en el resto de organismos de la Junta de Andalucía. Las
medidas adoptadas mitigarán o suprimirán los riesgos, siendo justificadas y proporcionadas.
d) Gestión personal y profesionalidad: Todo el personal del IAM relacionado con la
información y los sistemas, deberá ser formado e informado de sus deberes y obligaciones
en materia de seguridad. Sus actuaciones deben ser supervisadas para verificar que se
siguen los procedimientos establecidos.
e) Control de acceso: El acceso a los sistemas de información y a los activos del
IAM deberá ser controlado y limitado al personal, a los usuarios, procesos, dispositivos
y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las
funciones permitidas.
f) Protección de las instalaciones: Los sistemas se instalarán en áreas separadas,
dotadas de un procedimiento de control de acceso. Las salas estarán cerradas y
dispondrán de un control de llaves.
g) Adquisición de productos: el IAM adquirirá productos de seguridad de las
tecnologías de la información y comunicaciones que se vayan a utilizar de forma
proporcionada a la categoría de los sistemas y su nivel de seguridad.
h) Seguridad por defecto: Los sistemas y activos deben diseñarse y configurarse de
forma que garanticen la seguridad por defecto, en función de su categorización.
i) Integridad y actualización de los sistemas: el IAM deberá conocer el estado de
seguridad de los sistemas: especificaciones, vulnerabilidades y actualizaciones que les
afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de
seguridad de los mismos.
j) Registro de actividad para la protección de datos de carácter personal: el IAM
adoptará medidas técnico-organizativas apropiadas para garantizar un nivel de seguridad
adecuado al riesgo de probabilidad y gravedad para los derechos y libertades de las
personas físicas.
k) Protección de la información almacenada o de tránsito: el IAM dispondrá de
procedimientos que aseguren la recuperación y conservación de los documentos
electrónicos y la información en soporte no electrónico, deberá estar protegida con el
mismo grado de seguridad que ésta, de conformidad con las normas de aplicación a la
seguridad de los mismos.
l) Gestión de incidentes: el IAM dispondrá de procedimientos de gestión de incidentes
de seguridad y de debilidades detectadas en los elementos del sistema de información,
o los activos. Estos procedimientos cubrirán los mecanismos de detección, los criterios
Depósito Legal: SE-410/1979. ISSN: 2253 - 802X
http://www.juntadeandalucia.es/eboja
00259488
BOJA
Boletín Oficial de la Junta de Andalucía
página 6174/5
Sexto. Principios de la seguridad.
6.1. Principios básicos.
Los principios básicos que han de tenerse en cuenta en todas las decisiones
que se tomen en materia de seguridad son los establecidos en el artículo 4 del Real
Decreto 3/2010, por el que se regula el Esquema Nacional de Seguridad, y los establecidos
en el artículo 5 del Decreto 171/2020, de 13 de octubre, por el que se establece la Política
de Seguridad Interior en la Administración de la Junta de Andalucía.
6.2. Principios específicos.
Para el cumplimiento de los principios básicos, recogidos en el artículo 11 del ENS,
se concretan una serie de principios particulares que inspiran las actuaciones del IAM y
son los siguientes:
a) Gestión organizativa integrada de la Seguridad Interior y Seguridad TIC: Este
Principio recoge la estructura organizativa establecida en el Decreto 171/2020, de 13 de
octubre por el que se establece la Política de Seguridad Interior en la Administración de la
Junta de Andalucía, cuyo objetivo es facilitar una futura convergencia entre la seguridad
física y la Ciberseguridad.
b) Cumplimiento normativo: El IAM adoptará medidas técnico-organizativas
necesarias para el cumplimiento de la normativa vigente en materia de seguridad.
c) Análisis y gestión de riesgos: se empleará la metodología reconocida
internacionalmente y utilizada en el resto de organismos de la Junta de Andalucía. Las
medidas adoptadas mitigarán o suprimirán los riesgos, siendo justificadas y proporcionadas.
d) Gestión personal y profesionalidad: Todo el personal del IAM relacionado con la
información y los sistemas, deberá ser formado e informado de sus deberes y obligaciones
en materia de seguridad. Sus actuaciones deben ser supervisadas para verificar que se
siguen los procedimientos establecidos.
e) Control de acceso: El acceso a los sistemas de información y a los activos del
IAM deberá ser controlado y limitado al personal, a los usuarios, procesos, dispositivos
y otros sistemas de información, debidamente autorizados, restringiendo el acceso a las
funciones permitidas.
f) Protección de las instalaciones: Los sistemas se instalarán en áreas separadas,
dotadas de un procedimiento de control de acceso. Las salas estarán cerradas y
dispondrán de un control de llaves.
g) Adquisición de productos: el IAM adquirirá productos de seguridad de las
tecnologías de la información y comunicaciones que se vayan a utilizar de forma
proporcionada a la categoría de los sistemas y su nivel de seguridad.
h) Seguridad por defecto: Los sistemas y activos deben diseñarse y configurarse de
forma que garanticen la seguridad por defecto, en función de su categorización.
i) Integridad y actualización de los sistemas: el IAM deberá conocer el estado de
seguridad de los sistemas: especificaciones, vulnerabilidades y actualizaciones que les
afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de
seguridad de los mismos.
j) Registro de actividad para la protección de datos de carácter personal: el IAM
adoptará medidas técnico-organizativas apropiadas para garantizar un nivel de seguridad
adecuado al riesgo de probabilidad y gravedad para los derechos y libertades de las
personas físicas.
k) Protección de la información almacenada o de tránsito: el IAM dispondrá de
procedimientos que aseguren la recuperación y conservación de los documentos
electrónicos y la información en soporte no electrónico, deberá estar protegida con el
mismo grado de seguridad que ésta, de conformidad con las normas de aplicación a la
seguridad de los mismos.
l) Gestión de incidentes: el IAM dispondrá de procedimientos de gestión de incidentes
de seguridad y de debilidades detectadas en los elementos del sistema de información,
o los activos. Estos procedimientos cubrirán los mecanismos de detección, los criterios
Depósito Legal: SE-410/1979. ISSN: 2253 - 802X
http://www.juntadeandalucia.es/eboja
00259488
BOJA
Boletín Oficial de la Junta de Andalucía
