I. Disposiciones generales. MINISTERIO DE ASUNTOS EXTERIORES, UNIÓN EUROPEA Y COOPERACIÓN. Seguridad informática. Organización. (BOE-A-2021-17277)
Orden AUC/1147/2021, de 15 de octubre, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración digital del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, y se modifica la Orden AEC/1372/2016, de 19 de julio, por la que se crea y regula la Comisión Ministerial para la Administración Digital del Ministerio de Asuntos Exteriores y de Cooperación.
11 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 255
Lunes 25 de octubre de 2021
Sec. I. Pág. 129057
b) Responsabilidad diferenciada: En los sistemas de información se diferenciará
persona o unidad ministerial responsable de la información, que determina los requisitos
de seguridad de la información tratada; responsable del servicio, que determina los
requisitos de seguridad de los servicios prestados; responsable del sistema, que tiene la
responsabilidad técnica sobre la prestación de los servicios; y responsable de seguridad,
que propone a la persona o unidad responsable de la información las decisiones para
satisfacer los requisitos de seguridad. Las figuras de responsable de la información y
responsable de servicio pueden recaer en la misma persona o unidad, en función de la
estructura organizativa del servicio que se preste. En los supuestos de tratamientos de
datos personales se identificará además a la persona o unidad responsable de
tratamiento y, en su caso, al encargado de tratamiento, de acuerdo con el artículo 12 de
esta orden.
c) Seguridad integral: La seguridad se entenderá como un proceso integral
constituido por todos los elementos técnicos, humanos, materiales y organizativos
relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier
actuación puntual o tratamiento coyuntural. La seguridad de la información debe
considerarse como parte de la operativa habitual, estando presente y aplicándose desde
el diseño inicial de los sistemas de información.
d) Gestión de riesgos: de acuerdo con lo establecido en los artículos 24, 25 y 32 del
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, en el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, así como en el
artículo 6 del Real Decreto 3/2010, de 8 de enero, el análisis y gestión de riesgos será
parte esencial del proceso de seguridad. La gestión de riesgos permitirá el
mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles
aceptables. La reducción de estos niveles se realizará mediante el despliegue de
medidas de seguridad, que establecerán un equilibrio entre la naturaleza de los datos y
los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y
la eficacia y el coste de las medidas de seguridad.
e) Proporcionalidad: El establecimiento de medidas de protección, detección y
recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de
la información y de los servicios afectados.
f) Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán
periódicamente para adecuar su eficacia a la constante evolución de los riesgos y
sistemas de protección. La seguridad de la información será atendida, revisada y
auditada por personal cualificado, instruido, dedicado y diferenciado.
g) Seguridad por defecto: Los sistemas deben diseñarse y configurarse de forma
que garanticen un grado suficiente de seguridad por defecto. En el ámbito del
tratamiento de datos personales, deben cumplir con los principios de privacidad por
defecto y desde el diseño.
2.
Principios particulares y responsabilidades específicas.
a) Protección de datos de carácter personal: se adoptarán las medidas técnicas y
organizativas necesarias para garantizar una adecuada protección de los datos. Tal y
como establece en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, dichas medidas deberán ser apropiadas en función del análisis
de riesgos mencionado en el artículo 4.1.d), así como de una evaluación de impacto en
la protección de datos cuando sea probable que un tratamiento, por su naturaleza,
alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las
personas físicas.
cve: BOE-A-2021-17277
Verificable en https://www.boe.es
Las directrices fundamentales de seguridad se concretan en un conjunto de
principios particulares y responsabilidades específicas, que se configuran como objetivos
instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que
inspiran las actuaciones del Departamento en dicha materia. Se establecen los
siguientes objetivos instrumentales:
Núm. 255
Lunes 25 de octubre de 2021
Sec. I. Pág. 129057
b) Responsabilidad diferenciada: En los sistemas de información se diferenciará
persona o unidad ministerial responsable de la información, que determina los requisitos
de seguridad de la información tratada; responsable del servicio, que determina los
requisitos de seguridad de los servicios prestados; responsable del sistema, que tiene la
responsabilidad técnica sobre la prestación de los servicios; y responsable de seguridad,
que propone a la persona o unidad responsable de la información las decisiones para
satisfacer los requisitos de seguridad. Las figuras de responsable de la información y
responsable de servicio pueden recaer en la misma persona o unidad, en función de la
estructura organizativa del servicio que se preste. En los supuestos de tratamientos de
datos personales se identificará además a la persona o unidad responsable de
tratamiento y, en su caso, al encargado de tratamiento, de acuerdo con el artículo 12 de
esta orden.
c) Seguridad integral: La seguridad se entenderá como un proceso integral
constituido por todos los elementos técnicos, humanos, materiales y organizativos
relacionados con el sistema, evitando, salvo casos de urgencia o necesidad, cualquier
actuación puntual o tratamiento coyuntural. La seguridad de la información debe
considerarse como parte de la operativa habitual, estando presente y aplicándose desde
el diseño inicial de los sistemas de información.
d) Gestión de riesgos: de acuerdo con lo establecido en los artículos 24, 25 y 32 del
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, en el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, así como en el
artículo 6 del Real Decreto 3/2010, de 8 de enero, el análisis y gestión de riesgos será
parte esencial del proceso de seguridad. La gestión de riesgos permitirá el
mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles
aceptables. La reducción de estos niveles se realizará mediante el despliegue de
medidas de seguridad, que establecerán un equilibrio entre la naturaleza de los datos y
los tratamientos, el impacto y la probabilidad de los riesgos a los que estén expuestos y
la eficacia y el coste de las medidas de seguridad.
e) Proporcionalidad: El establecimiento de medidas de protección, detección y
recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de
la información y de los servicios afectados.
f) Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán
periódicamente para adecuar su eficacia a la constante evolución de los riesgos y
sistemas de protección. La seguridad de la información será atendida, revisada y
auditada por personal cualificado, instruido, dedicado y diferenciado.
g) Seguridad por defecto: Los sistemas deben diseñarse y configurarse de forma
que garanticen un grado suficiente de seguridad por defecto. En el ámbito del
tratamiento de datos personales, deben cumplir con los principios de privacidad por
defecto y desde el diseño.
2.
Principios particulares y responsabilidades específicas.
a) Protección de datos de carácter personal: se adoptarán las medidas técnicas y
organizativas necesarias para garantizar una adecuada protección de los datos. Tal y
como establece en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, dichas medidas deberán ser apropiadas en función del análisis
de riesgos mencionado en el artículo 4.1.d), así como de una evaluación de impacto en
la protección de datos cuando sea probable que un tratamiento, por su naturaleza,
alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las
personas físicas.
cve: BOE-A-2021-17277
Verificable en https://www.boe.es
Las directrices fundamentales de seguridad se concretan en un conjunto de
principios particulares y responsabilidades específicas, que se configuran como objetivos
instrumentales que garantizan el cumplimiento de los principios básicos de la PSI y que
inspiran las actuaciones del Departamento en dicha materia. Se establecen los
siguientes objetivos instrumentales:
