III. Otras disposiciones. MINISTERIO DE DERECHOS SOCIALES Y AGENDA 2030. Seguridad informática. (BOE-A-2021-17235)
Orden DSA/1142/2021, de 8 de octubre, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración electrónica del Ministerio de Derechos Sociales y Agenda 2030.
14 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 253
Viernes 22 de octubre de 2021
Artículo 15.
Sec. III. Pág. 128777
Gestión de los riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre el sistema de
información, conforme a los principios de gestión de la seguridad y protección de datos,
basada en los riesgos, artículo 6 del Real Decreto 3/2010, de 8 de enero, y artículo 24
del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, y artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre y reevaluación
periódica, artículo 9 del Real Decreto 3/2010, de 8 de enero, siendo el Responsable del
Servicio el encargado de solicitar el preceptivo análisis de riesgos y de que se proponga
el tratamiento adecuado, calculando los riesgos residuales. El Responsable de
Seguridad, tras la calificación de la información y la determinación del nivel de seguridad
del sistema, obtendrá la matriz de aplicabilidad y el conjunto de medidas para garantizar
la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la
información y del servicio. Se realizará la evaluación de riesgo, identificando los riesgos
residuales y, en base a ellos, se determinará el Plan de Tratamiento de Riesgo, que le
será comunicado al Responsable de la Información y del Servicio.
2. El Responsable de Seguridad es el encargado de realizar dicho análisis en
tiempo y forma a petición del Responsable del Servicio, así como de identificar carencias
y debilidades y ponerlas en conocimiento de los Responsables de la Información y del
Servicio.
3. Los Responsables de la Información y del Servicio son los encargados de los
riesgos sobre la información y sobre los servicios, respectivamente, siendo responsables
de su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
4. El proceso de gestión de riesgos, que comprende las fases de categorización de
los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que
deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse y
aprobarse cada año por el titular del órgano o unidad administrativa o, en su caso,
organismo adscrito, a través de un Plan de Adecuación al Esquema Nacional de
Seguridad.
5. Las indicadas fases del proceso de gestión de riesgos se realizarán según lo
dispuesto en los anexos I y II del Real Decreto 3/2010, de 8 de enero, y siguiendo las
normas, instrucciones, guías CCN-STIC y recomendaciones para la aplicación del mismo
elaboradas por el Centro Criptológico Nacional, así como todo lo referente al análisis de
riesgo y de impacto en la protección de datos especificado en el citato Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
Artículo 16.
Protección de datos personales.
a)
b)
c)
d)
e)
f)
g)
Licitud, lealtad y transparencia.
Limitación de la finalidad.
Minimización de datos.
Exactitud.
Limitación del plazo de conservación.
Integridad y confidencialidad.
Responsabilidad proactiva.
2. Se aplicarán a los datos personales que sean objeto de tratamiento por parte del
Ministerio de Derechos Sociales y Agenda 2030 las medidas de seguridad apropiadas
derivadas del análisis de riesgos, así como de las evaluaciones de impacto relativas a la
protección de, conforme se detalla en el Reglamento (UE) 2016/679 del Parlamento
cve: BOE-A-2021-17235
Verificable en https://www.boe.es
1. En el ámbito del Ministerio de Derechos Sociales y Agenda 2030, la garantía de
la protección de datos de carácter personal de las actividades de tratamiento es un
objetivo compartido por todas las unidades del Departamento que se rige por los
siguientes principios:
Núm. 253
Viernes 22 de octubre de 2021
Artículo 15.
Sec. III. Pág. 128777
Gestión de los riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre el sistema de
información, conforme a los principios de gestión de la seguridad y protección de datos,
basada en los riesgos, artículo 6 del Real Decreto 3/2010, de 8 de enero, y artículo 24
del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, y artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre y reevaluación
periódica, artículo 9 del Real Decreto 3/2010, de 8 de enero, siendo el Responsable del
Servicio el encargado de solicitar el preceptivo análisis de riesgos y de que se proponga
el tratamiento adecuado, calculando los riesgos residuales. El Responsable de
Seguridad, tras la calificación de la información y la determinación del nivel de seguridad
del sistema, obtendrá la matriz de aplicabilidad y el conjunto de medidas para garantizar
la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la
información y del servicio. Se realizará la evaluación de riesgo, identificando los riesgos
residuales y, en base a ellos, se determinará el Plan de Tratamiento de Riesgo, que le
será comunicado al Responsable de la Información y del Servicio.
2. El Responsable de Seguridad es el encargado de realizar dicho análisis en
tiempo y forma a petición del Responsable del Servicio, así como de identificar carencias
y debilidades y ponerlas en conocimiento de los Responsables de la Información y del
Servicio.
3. Los Responsables de la Información y del Servicio son los encargados de los
riesgos sobre la información y sobre los servicios, respectivamente, siendo responsables
de su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
4. El proceso de gestión de riesgos, que comprende las fases de categorización de
los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que
deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse y
aprobarse cada año por el titular del órgano o unidad administrativa o, en su caso,
organismo adscrito, a través de un Plan de Adecuación al Esquema Nacional de
Seguridad.
5. Las indicadas fases del proceso de gestión de riesgos se realizarán según lo
dispuesto en los anexos I y II del Real Decreto 3/2010, de 8 de enero, y siguiendo las
normas, instrucciones, guías CCN-STIC y recomendaciones para la aplicación del mismo
elaboradas por el Centro Criptológico Nacional, así como todo lo referente al análisis de
riesgo y de impacto en la protección de datos especificado en el citato Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
Artículo 16.
Protección de datos personales.
a)
b)
c)
d)
e)
f)
g)
Licitud, lealtad y transparencia.
Limitación de la finalidad.
Minimización de datos.
Exactitud.
Limitación del plazo de conservación.
Integridad y confidencialidad.
Responsabilidad proactiva.
2. Se aplicarán a los datos personales que sean objeto de tratamiento por parte del
Ministerio de Derechos Sociales y Agenda 2030 las medidas de seguridad apropiadas
derivadas del análisis de riesgos, así como de las evaluaciones de impacto relativas a la
protección de, conforme se detalla en el Reglamento (UE) 2016/679 del Parlamento
cve: BOE-A-2021-17235
Verificable en https://www.boe.es
1. En el ámbito del Ministerio de Derechos Sociales y Agenda 2030, la garantía de
la protección de datos de carácter personal de las actividades de tratamiento es un
objetivo compartido por todas las unidades del Departamento que se rige por los
siguientes principios:
