I. Disposiciones generales. MINISTERIO DE ASUNTOS EXTERIORES, UNIÓN EUROPEA Y COOPERACIÓN. Seguridad informática. Organización. (BOE-A-2021-17277)
Orden AUC/1147/2021, de 15 de octubre, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración digital del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, y se modifica la Orden AEC/1372/2016, de 19 de julio, por la que se crea y regula la Comisión Ministerial para la Administración Digital del Ministerio de Asuntos Exteriores y de Cooperación.
11 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Lunes 25 de octubre de 2021
Sec. I. Pág. 129062
c) Tercer nivel normativo: Procedimientos técnicos. Está constituido por el conjunto
de procedimientos técnicos orientados a resolver las tareas, consideradas críticas por el
perjuicio que causaría una actuación inadecuada, de seguridad, desarrollo,
mantenimiento y explotación de los sistemas de información. Son recomendaciones o
informaciones relativas a temas concretos de seguridad basadas en Instrucciones
previas, que establecen las configuraciones mínimas de seguridad de los diferentes
elementos de un sistema de información, recomendaciones de uso o de otro tipo. La
responsabilidad de aprobación de estos procedimientos técnicos recae en la persona
responsable de seguridad. Se consideran incluidas en este nivel normativo las guías
CCN-STIC elaboradas por el Centro Criptológico Nacional.
2. Además de la normativa enunciada en este artículo, la estructura normativa
podrá disponer, a criterio de cada uno de los órganos u organismos adscritos a esta PSI,
y siempre dentro del ámbito de sus competencias y responsabilidades, de otros
documentos tales como: informes técnicos, registros, evidencias, entre otros.
Artículo 12. Gestión de los riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre el sistema de
información, conforme a los principios de gestión de la seguridad y protección de datos,
basada en los riesgos (artículo 6 del Real Decreto 3/2010, de 8 de enero, artículo 24 del
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, y artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre) y reevaluación
periódica (artículo 9 del Real Decreto 3/2010, de 8 de enero), siendo la persona o unidad
responsable del servicio la encargada de solicitar el preceptivo análisis de riesgos y de
que se proponga el tratamiento adecuado, calculando los riesgos residuales. El
responsable de seguridad, tras la calificación de la información y la determinación del
nivel de seguridad del sistema, obtendrá la matriz de aplicabilidad y el conjunto de
medidas para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y
trazabilidad de la información y del servicio. Se realizará la evaluación de riesgo
identificando los riesgos residuales y, determinando, sobre la base de estos, el Plan de
Tratamiento de Riesgo, que será comunicado al responsable de la información y del
servicio.
2. La persona o unidad responsable de seguridad es la persona encargada de
realizar dicho análisis en tiempo y forma, a petición de la persona responsable de la
información y/o de la persona responsable del servicio, así como de identificar carencias
y debilidades y ponerlas en conocimiento de las personas responsables de la
información y del servicio.
3. Las personas responsables de la información y del servicio son los propietarios
de los riesgos sobre la información y sobre los servicios, respectivamente, siendo
responsables de su seguimiento y control, sin perjuicio de la posibilidad de delegar esta
tarea.
4. El proceso de gestión de riesgos, que comprende las fases de categorización de
los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que
deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse y
aprobarse cada año por la persona titular del órgano o unidad administrativa o, en su
caso, organismo autónomo, a través de un Plan de Adecuación al Esquema Nacional de
Seguridad.
5. En cumplimento del Reglamento de actuación y funcionamiento del sector
público por medios electrónicos, aprobado por el Real Decreto 203/2021 de 30 de marzo,
el nivel de seguridad en la identificación electrónica de los sistemas de información que
soporten procedimientos o servicios donde sea requerida, se determinará sobre la base
del análisis de riesgos, de acuerdo con el Esquema Nacional de Seguridad y normativa
correspondiente.
6. Las indicadas fases del proceso de gestión de riesgos se realizarán según lo
dispuesto en los anexos I y II del Real Decreto 3/2010, de 8 de enero y siguiendo las
cve: BOE-A-2021-17277
Verificable en https://www.boe.es
Núm. 255
Lunes 25 de octubre de 2021
Sec. I. Pág. 129062
c) Tercer nivel normativo: Procedimientos técnicos. Está constituido por el conjunto
de procedimientos técnicos orientados a resolver las tareas, consideradas críticas por el
perjuicio que causaría una actuación inadecuada, de seguridad, desarrollo,
mantenimiento y explotación de los sistemas de información. Son recomendaciones o
informaciones relativas a temas concretos de seguridad basadas en Instrucciones
previas, que establecen las configuraciones mínimas de seguridad de los diferentes
elementos de un sistema de información, recomendaciones de uso o de otro tipo. La
responsabilidad de aprobación de estos procedimientos técnicos recae en la persona
responsable de seguridad. Se consideran incluidas en este nivel normativo las guías
CCN-STIC elaboradas por el Centro Criptológico Nacional.
2. Además de la normativa enunciada en este artículo, la estructura normativa
podrá disponer, a criterio de cada uno de los órganos u organismos adscritos a esta PSI,
y siempre dentro del ámbito de sus competencias y responsabilidades, de otros
documentos tales como: informes técnicos, registros, evidencias, entre otros.
Artículo 12. Gestión de los riesgos.
1. La gestión de riesgos debe realizarse de manera continua sobre el sistema de
información, conforme a los principios de gestión de la seguridad y protección de datos,
basada en los riesgos (artículo 6 del Real Decreto 3/2010, de 8 de enero, artículo 24 del
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, y artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre) y reevaluación
periódica (artículo 9 del Real Decreto 3/2010, de 8 de enero), siendo la persona o unidad
responsable del servicio la encargada de solicitar el preceptivo análisis de riesgos y de
que se proponga el tratamiento adecuado, calculando los riesgos residuales. El
responsable de seguridad, tras la calificación de la información y la determinación del
nivel de seguridad del sistema, obtendrá la matriz de aplicabilidad y el conjunto de
medidas para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y
trazabilidad de la información y del servicio. Se realizará la evaluación de riesgo
identificando los riesgos residuales y, determinando, sobre la base de estos, el Plan de
Tratamiento de Riesgo, que será comunicado al responsable de la información y del
servicio.
2. La persona o unidad responsable de seguridad es la persona encargada de
realizar dicho análisis en tiempo y forma, a petición de la persona responsable de la
información y/o de la persona responsable del servicio, así como de identificar carencias
y debilidades y ponerlas en conocimiento de las personas responsables de la
información y del servicio.
3. Las personas responsables de la información y del servicio son los propietarios
de los riesgos sobre la información y sobre los servicios, respectivamente, siendo
responsables de su seguimiento y control, sin perjuicio de la posibilidad de delegar esta
tarea.
4. El proceso de gestión de riesgos, que comprende las fases de categorización de
los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que
deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse y
aprobarse cada año por la persona titular del órgano o unidad administrativa o, en su
caso, organismo autónomo, a través de un Plan de Adecuación al Esquema Nacional de
Seguridad.
5. En cumplimento del Reglamento de actuación y funcionamiento del sector
público por medios electrónicos, aprobado por el Real Decreto 203/2021 de 30 de marzo,
el nivel de seguridad en la identificación electrónica de los sistemas de información que
soporten procedimientos o servicios donde sea requerida, se determinará sobre la base
del análisis de riesgos, de acuerdo con el Esquema Nacional de Seguridad y normativa
correspondiente.
6. Las indicadas fases del proceso de gestión de riesgos se realizarán según lo
dispuesto en los anexos I y II del Real Decreto 3/2010, de 8 de enero y siguiendo las
cve: BOE-A-2021-17277
Verificable en https://www.boe.es
Núm. 255
