3. Otras disposiciones. . (2025/77-45)
Resolución de 16 de abril de 2025, de la Oficina Andaluza contra el Fraude y la Corrupción, por la que se da publicidad a las normas que regulan la política de seguridad de la información en la institución, prevista por el Esquema Nacional de Seguridad.
17 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Número 77 - Jueves, 24 de abril de 2025
página 5734/8
metodologías existentes en la actualidad (Magerit) para orientar las medidas de protección
y minimizar los mismos. Este análisis se repetirá:
- Al menos una vez al año.
- Cuando cambien la información y/o los servicios manejados de manera significativa.
- Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades graves.
Las conclusiones de los análisis de riesgos serán elevadas al Responsable de
Seguridad y éste al Comité de Seguridad. El Comité de Seguridad de la Información
dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de
los diferentes sistemas, promoviendo inversiones de carácter horizontal.
El análisis de riesgos se realizará igualmente cuando se vaya a iniciar o a modificar
un tratamiento de datos de carácter personal, en línea a lo establecido en el Reglamento
General de Protección de Datos. En estos casos se contemplarán en el alcance del
análisis todos aquellos activos que intervengan en el tratamiento, considerando tanto
activos relacionados con los sistemas de información, como humanos, locales o terceros.
A raíz de los resultados obtenidos en los mencionados análisis de riesgos de los
servicios y de los tratamientos de datos personales, se determinarán las medidas
necesarias para proteger dichos datos.
c) Gestión de personal. Todo el personal, propio o ajeno, que utilice o acceda a los
sistemas de información sometidos a la presente PSI, tendrá la obligación de conocer
y respetar su contenido, así como el marco normativo de desarrollo que se apruebe
para el cumplimiento directo de la misma. Las personas con responsabilidad en el uso,
operación o administración de sistemas de información, serán informados sobre sus
deberes, obligaciones y responsabilidades y recibirán formación para el manejo seguro
de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación
será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o
si se trata de un cambio de puesto de trabajo o de responsabilidades.
d) Profesionalidad. La seguridad de los sistemas de información deberá ser revisada
y auditada por personal cualificado, dedicado e instruido. Se exigirá, de manera objetiva y
no discriminatoria, respecto a aquellas organizaciones que, en su caso, presten servicios
de seguridad, cuenten con profesionales cualificados y con niveles idóneors de gestión
de los servicios prestados. Se determinará los requisitos de formación y experiencia
necesaria del personal para el desarrollo de los puestos de trabajo.
e) Autorización y control de accesos. El acceso a los sistemas de información estará
restringido y limitado a aquellos usuarios o procesos que lo necesiten para el desarrollo
de su actividad y estén previamente autorizados. El acceso a la información seguirá
el principio de «necesidad de conocer», de forma que los privilegios otorgados a cada
identidad sean los mínimos imprescindibles para el desarrollo de su actividad.
La identificación de los usuarios será tal que se pueda conocer en todo momento
quién recibe derechos de accesos y quién ha realizado alguna actividad, por lo que los
identificadores deberán ser personales, no compartidos, e intransferibles.
Los lugares con acceso restringido igualmente deberán estar controlados y
previamente autorizados por los responsables asignados.
f) Protección de las instalaciones. Los sistemas de información y su infraestructura de
comunicaciones asociada deberán permanecer en áreas controladas y disponer de los
mecanismos de acceso adecuados y proporcionales en función del análisis de riesgos.
g) Adquisición de productos de seguridad y contratación de servicios de seguridad.
Para el proceso de adquisición de nuevos productos, sistemas o servicios se establecerán
protocolos de análisis de riesgos con proveedores y se mantendrán actualizados los
listados de proveedores habituales. Las adquisiciones deben ser autorizadas por los
responsables del área implicada y el Servicio de Contratación cumpliendo la normativa
vigente de contratación. Cuando proceda, se suscribirán los correspondientes contratos
con los encargados de tratamiento, conforme a lo dispuesto en el art. 28 del RGPD.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00319334
BOJA
Boletín Oficial de la Junta de Andalucía
página 5734/8
metodologías existentes en la actualidad (Magerit) para orientar las medidas de protección
y minimizar los mismos. Este análisis se repetirá:
- Al menos una vez al año.
- Cuando cambien la información y/o los servicios manejados de manera significativa.
- Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades graves.
Las conclusiones de los análisis de riesgos serán elevadas al Responsable de
Seguridad y éste al Comité de Seguridad. El Comité de Seguridad de la Información
dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de
los diferentes sistemas, promoviendo inversiones de carácter horizontal.
El análisis de riesgos se realizará igualmente cuando se vaya a iniciar o a modificar
un tratamiento de datos de carácter personal, en línea a lo establecido en el Reglamento
General de Protección de Datos. En estos casos se contemplarán en el alcance del
análisis todos aquellos activos que intervengan en el tratamiento, considerando tanto
activos relacionados con los sistemas de información, como humanos, locales o terceros.
A raíz de los resultados obtenidos en los mencionados análisis de riesgos de los
servicios y de los tratamientos de datos personales, se determinarán las medidas
necesarias para proteger dichos datos.
c) Gestión de personal. Todo el personal, propio o ajeno, que utilice o acceda a los
sistemas de información sometidos a la presente PSI, tendrá la obligación de conocer
y respetar su contenido, así como el marco normativo de desarrollo que se apruebe
para el cumplimiento directo de la misma. Las personas con responsabilidad en el uso,
operación o administración de sistemas de información, serán informados sobre sus
deberes, obligaciones y responsabilidades y recibirán formación para el manejo seguro
de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación
será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o
si se trata de un cambio de puesto de trabajo o de responsabilidades.
d) Profesionalidad. La seguridad de los sistemas de información deberá ser revisada
y auditada por personal cualificado, dedicado e instruido. Se exigirá, de manera objetiva y
no discriminatoria, respecto a aquellas organizaciones que, en su caso, presten servicios
de seguridad, cuenten con profesionales cualificados y con niveles idóneors de gestión
de los servicios prestados. Se determinará los requisitos de formación y experiencia
necesaria del personal para el desarrollo de los puestos de trabajo.
e) Autorización y control de accesos. El acceso a los sistemas de información estará
restringido y limitado a aquellos usuarios o procesos que lo necesiten para el desarrollo
de su actividad y estén previamente autorizados. El acceso a la información seguirá
el principio de «necesidad de conocer», de forma que los privilegios otorgados a cada
identidad sean los mínimos imprescindibles para el desarrollo de su actividad.
La identificación de los usuarios será tal que se pueda conocer en todo momento
quién recibe derechos de accesos y quién ha realizado alguna actividad, por lo que los
identificadores deberán ser personales, no compartidos, e intransferibles.
Los lugares con acceso restringido igualmente deberán estar controlados y
previamente autorizados por los responsables asignados.
f) Protección de las instalaciones. Los sistemas de información y su infraestructura de
comunicaciones asociada deberán permanecer en áreas controladas y disponer de los
mecanismos de acceso adecuados y proporcionales en función del análisis de riesgos.
g) Adquisición de productos de seguridad y contratación de servicios de seguridad.
Para el proceso de adquisición de nuevos productos, sistemas o servicios se establecerán
protocolos de análisis de riesgos con proveedores y se mantendrán actualizados los
listados de proveedores habituales. Las adquisiciones deben ser autorizadas por los
responsables del área implicada y el Servicio de Contratación cumpliendo la normativa
vigente de contratación. Cuando proceda, se suscribirán los correspondientes contratos
con los encargados de tratamiento, conforme a lo dispuesto en el art. 28 del RGPD.
Depósito Legal: SE-410/1979. ISSN: 2253-802X
https://www.juntadeandalucia.es/eboja
00319334
BOJA
Boletín Oficial de la Junta de Andalucía
