III. Otras disposiciones. MINISTERIO DE DERECHOS SOCIALES Y AGENDA 2030. Seguridad informática. (BOE-A-2021-17235)
Orden DSA/1142/2021, de 8 de octubre, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración electrónica del Ministerio de Derechos Sociales y Agenda 2030.
14 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 253
Viernes 22 de octubre de 2021
Artículo 4.
1.
Sec. III. Pág. 128769
Principios de la seguridad de la información.
Principios básicos.
a) Alcance estratégico: la seguridad de la información debe contar con el
compromiso y apoyo de todos los niveles directivos de forma que pueda estar
coordinada e integrada con el resto de iniciativas estratégicas del Departamento para
conformar un todo coherente y eficaz.
b) Responsabilidad diferenciada: en los sistemas de información se diferenciará el
responsable de la información, que determina los requisitos de seguridad de la
información tratada; el responsable del servicio, que determina los requisitos de
seguridad de los servicios prestados; el responsable del sistema, que tiene la
responsabilidad sobre la prestación de los servicios; y el responsable de seguridad, que
determina las decisiones para satisfacer los requisitos de seguridad. En los supuestos de
tratamientos de datos personales se identificará además a la persona, organismo o
unidad responsable de tratamiento y, en su caso, al encargado de tratamiento, de
acuerdo con lo dispuesto en el artículo 4, apartados 7 y 8 del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
c) Seguridad integral: la seguridad se entenderá como un proceso integral
constituido por todos los elementos técnicos, humanos, materiales y organizativos,
relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier
actuación puntual o tratamiento coyuntural. La seguridad de la información debe
considerarse como parte de la operativa habitual, estando presente y aplicándose desde
el diseño inicial de los sistemas de información.
d) Gestión de Riesgos: de acuerdo a lo establecido en los artículos 24, 25 y 32 del
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, en el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, así como en el
artículo 6 del Real Decreto 3/2010, de 8 de enero, el análisis y gestión de riesgos será
parte esencial del proceso de seguridad.
La gestión de riesgos permitirá el mantenimiento de un entorno controlado,
minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se
realizará mediante el despliegue de medidas de seguridad, que establecerán un
equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad
de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de
seguridad. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener
en cuenta los riesgos que se derivan del tratamiento de los datos personales
e) Proporcionalidad: el establecimiento de medidas de protección, detección y
recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de
la información y de los servicios afectados.
f) Mejora continua: las medidas de seguridad se reevaluarán y actualizarán
periódicamente para adecuar su eficacia a la constante evolución de los riesgos y
sistemas de protección. La seguridad de la información será atendida, revisada y
auditada por personal cualificado, instruido, dedicado y diferenciado.
g) Seguridad desde el diseño y por defecto: los sistemas deben diseñarse y
configurarse de forma que garanticen un grado suficiente de seguridad por defecto,
debiendo tener en cuenta la protección de datos personales en los supuestos en que
aplique.
2.
Principios particulares y responsabilidades específicas.
Las directrices fundamentales de seguridad se concretan en un conjunto de
principios particulares y responsabilidades específicas, que se configuran como objetivos
instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que
cve: BOE-A-2021-17235
Verificable en https://www.boe.es
Los principios básicos son directrices fundamentales de seguridad que han de
tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos
de información. Se establecen los siguientes:
Núm. 253
Viernes 22 de octubre de 2021
Artículo 4.
1.
Sec. III. Pág. 128769
Principios de la seguridad de la información.
Principios básicos.
a) Alcance estratégico: la seguridad de la información debe contar con el
compromiso y apoyo de todos los niveles directivos de forma que pueda estar
coordinada e integrada con el resto de iniciativas estratégicas del Departamento para
conformar un todo coherente y eficaz.
b) Responsabilidad diferenciada: en los sistemas de información se diferenciará el
responsable de la información, que determina los requisitos de seguridad de la
información tratada; el responsable del servicio, que determina los requisitos de
seguridad de los servicios prestados; el responsable del sistema, que tiene la
responsabilidad sobre la prestación de los servicios; y el responsable de seguridad, que
determina las decisiones para satisfacer los requisitos de seguridad. En los supuestos de
tratamientos de datos personales se identificará además a la persona, organismo o
unidad responsable de tratamiento y, en su caso, al encargado de tratamiento, de
acuerdo con lo dispuesto en el artículo 4, apartados 7 y 8 del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
c) Seguridad integral: la seguridad se entenderá como un proceso integral
constituido por todos los elementos técnicos, humanos, materiales y organizativos,
relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier
actuación puntual o tratamiento coyuntural. La seguridad de la información debe
considerarse como parte de la operativa habitual, estando presente y aplicándose desde
el diseño inicial de los sistemas de información.
d) Gestión de Riesgos: de acuerdo a lo establecido en los artículos 24, 25 y 32 del
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, en el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, así como en el
artículo 6 del Real Decreto 3/2010, de 8 de enero, el análisis y gestión de riesgos será
parte esencial del proceso de seguridad.
La gestión de riesgos permitirá el mantenimiento de un entorno controlado,
minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se
realizará mediante el despliegue de medidas de seguridad, que establecerán un
equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad
de los riesgos a los que estén expuestos y la eficacia y el coste de las medidas de
seguridad. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener
en cuenta los riesgos que se derivan del tratamiento de los datos personales
e) Proporcionalidad: el establecimiento de medidas de protección, detección y
recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de
la información y de los servicios afectados.
f) Mejora continua: las medidas de seguridad se reevaluarán y actualizarán
periódicamente para adecuar su eficacia a la constante evolución de los riesgos y
sistemas de protección. La seguridad de la información será atendida, revisada y
auditada por personal cualificado, instruido, dedicado y diferenciado.
g) Seguridad desde el diseño y por defecto: los sistemas deben diseñarse y
configurarse de forma que garanticen un grado suficiente de seguridad por defecto,
debiendo tener en cuenta la protección de datos personales en los supuestos en que
aplique.
2.
Principios particulares y responsabilidades específicas.
Las directrices fundamentales de seguridad se concretan en un conjunto de
principios particulares y responsabilidades específicas, que se configuran como objetivos
instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que
cve: BOE-A-2021-17235
Verificable en https://www.boe.es
Los principios básicos son directrices fundamentales de seguridad que han de
tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos
de información. Se establecen los siguientes:
