III. Otras disposiciones. MINISTERIO DE DERECHOS SOCIALES Y AGENDA 2030. Seguridad informática. (BOE-A-2021-17235)
Orden DSA/1142/2021, de 8 de octubre, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración electrónica del Ministerio de Derechos Sociales y Agenda 2030.
14 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Viernes 22 de octubre de 2021
Sec. III. Pág. 128770
inspiran las actuaciones del Departamento en dicha materia. Se establecen los
siguientes:
a) Protección de datos personales: se adoptarán las medidas técnicas y
organizativas destinadas a garantizar una adecuada protección de los datos. Tal y como
se establece en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, y en Ley Orgánica 3/2018, de 5 de diciembre, dichas medidas
deberán ser apropiadas en función del análisis de riesgos, así como de una evaluación
de impacto relativa a la protección de datos cuando sea probable que un tratamiento, por
su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y
libertades de las personas físicas.
b) Gestión de activos de información: los activos de información del Departamento
se encontrarán inventariados y categorizados y estarán asociados a un responsable.
c) Seguridad ligada a las personas: se implantarán los mecanismos necesarios
para que cualquier persona que acceda, o pueda acceder a los activos de información,
conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso
indebido de dichos activos.
d) Seguridad física: los activos de información serán emplazados en áreas seguras,
protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los
sistemas y los activos de información que contienen dichas áreas estarán
suficientemente protegidos frente a amenazas físicas o ambientales.
e) Seguridad en la gestión de comunicaciones y operaciones: se establecerán los
procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación
y actualización de las Tecnologías de la Información y Comunicaciones. La información
que se transmita a través de redes de comunicaciones deberá ser adecuadamente
protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante
mecanismos que garanticen su seguridad.
f) Control de acceso: se limitará el acceso a los activos de información por parte de
usuarios, procesos y otros sistemas de información mediante la implantación de los
mecanismos de identificación, autenticación y autorización acordes a la criticidad de
cada activo. Además, quedará registrada la utilización del sistema con objeto de
asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad
de la organización.
g) Adquisición, desarrollo y mantenimiento de los sistemas de información: se
contemplarán los aspectos de seguridad de la información en todas las fases del ciclo de
vida de los sistemas de información, garantizando su seguridad por defecto.
h) Gestión de los incidentes de seguridad: se implantarán los mecanismos
apropiados para la correcta identificación, registro y resolución de los incidentes de
seguridad.
i) Gestión de la continuidad: se implantarán los mecanismos apropiados para
asegurar la disponibilidad de los sistemas de información y mantener la continuidad de
sus procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus
usuarios.
j) Cumplimiento: se adoptarán las medidas técnicas, organizativas y
procedimentales necesarias para el cumplimiento de la normativa legal vigente en
materia de seguridad de la información.
k) Derechos y deberes de los empleados públicos: Los empleados públicos que
prestan servicio al Departamento tienen el derecho y el deber de conocer y aplicar la
presente PSI y todas las directrices generales, normas y procedimientos de seguridad
de la información que puedan afectar a sus funciones, así como de participar en
acciones de difusión y formación orientadas a mejorar el estado de la seguridad de la
información.
cve: BOE-A-2021-17235
Verificable en https://www.boe.es
Núm. 253
Viernes 22 de octubre de 2021
Sec. III. Pág. 128770
inspiran las actuaciones del Departamento en dicha materia. Se establecen los
siguientes:
a) Protección de datos personales: se adoptarán las medidas técnicas y
organizativas destinadas a garantizar una adecuada protección de los datos. Tal y como
se establece en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, y en Ley Orgánica 3/2018, de 5 de diciembre, dichas medidas
deberán ser apropiadas en función del análisis de riesgos, así como de una evaluación
de impacto relativa a la protección de datos cuando sea probable que un tratamiento, por
su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y
libertades de las personas físicas.
b) Gestión de activos de información: los activos de información del Departamento
se encontrarán inventariados y categorizados y estarán asociados a un responsable.
c) Seguridad ligada a las personas: se implantarán los mecanismos necesarios
para que cualquier persona que acceda, o pueda acceder a los activos de información,
conozca sus responsabilidades y de este modo se reduzca el riesgo derivado de un uso
indebido de dichos activos.
d) Seguridad física: los activos de información serán emplazados en áreas seguras,
protegidas por controles de acceso físicos adecuados a su nivel de criticidad. Los
sistemas y los activos de información que contienen dichas áreas estarán
suficientemente protegidos frente a amenazas físicas o ambientales.
e) Seguridad en la gestión de comunicaciones y operaciones: se establecerán los
procedimientos necesarios para lograr una adecuada gestión de la seguridad, operación
y actualización de las Tecnologías de la Información y Comunicaciones. La información
que se transmita a través de redes de comunicaciones deberá ser adecuadamente
protegida, teniendo en cuenta su nivel de sensibilidad y de criticidad, mediante
mecanismos que garanticen su seguridad.
f) Control de acceso: se limitará el acceso a los activos de información por parte de
usuarios, procesos y otros sistemas de información mediante la implantación de los
mecanismos de identificación, autenticación y autorización acordes a la criticidad de
cada activo. Además, quedará registrada la utilización del sistema con objeto de
asegurar la trazabilidad del acceso y auditar su uso adecuado, conforme a la actividad
de la organización.
g) Adquisición, desarrollo y mantenimiento de los sistemas de información: se
contemplarán los aspectos de seguridad de la información en todas las fases del ciclo de
vida de los sistemas de información, garantizando su seguridad por defecto.
h) Gestión de los incidentes de seguridad: se implantarán los mecanismos
apropiados para la correcta identificación, registro y resolución de los incidentes de
seguridad.
i) Gestión de la continuidad: se implantarán los mecanismos apropiados para
asegurar la disponibilidad de los sistemas de información y mantener la continuidad de
sus procesos de negocio, de acuerdo a las necesidades de nivel de servicio de sus
usuarios.
j) Cumplimiento: se adoptarán las medidas técnicas, organizativas y
procedimentales necesarias para el cumplimiento de la normativa legal vigente en
materia de seguridad de la información.
k) Derechos y deberes de los empleados públicos: Los empleados públicos que
prestan servicio al Departamento tienen el derecho y el deber de conocer y aplicar la
presente PSI y todas las directrices generales, normas y procedimientos de seguridad
de la información que puedan afectar a sus funciones, así como de participar en
acciones de difusión y formación orientadas a mejorar el estado de la seguridad de la
información.
cve: BOE-A-2021-17235
Verificable en https://www.boe.es
Núm. 253
