Información jurídica inteligente
 España | 900 649 672

Orden ITC/657/2011, de 11 de marzo, por la que se aprueba la política de seguridad de la información en el ámbito de la administración electrónica del Ministerio de Industria, Turismo y Comercio.

Texto Original (BOE) Citas 8 Citado por Análisis 1 Relacionados
Vincent
MarginalBOE-A-2011-5575
SecciónIII - Otras Disposiciones
EmisorMinisterio de Industria, Turismo y Comercio
Rango de LeyOrden

El desarrollo de la Administración Electrónica implica el tratamiento de ingentes cantidades de información por los sistemas de tecnologías de la información y de las comunicaciones, que está sometida a diferentes tipos de amenazas y vulnerabilidades.

En la Administración Electrónica se entiende por seguridad la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes y acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad de los datos almacenados o transmitidos y de los servicios que dichas redes o sistemas ofrecen, o a través de los cuales se realiza el acceso.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la Administración Electrónica, persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiaran la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas.

El Real Decreto 3/2010, de 8 de enero, enuncia en sus artículos 5 a 10 los principios básicos en materia de seguridad de la información (seguridad integral, gestión de riesgos, prevención, reacción y recuperación, líneas de defensa, reevaluación periódica y función diferenciada) y establece el marco regulatorio de la Política de Seguridad de la Información (PSI), que se plasma en un documento, accesible y comprensible para todos los miembros, que define lo que significa seguridad de la información en una organización determinada y que rige la forma en que una organización gestiona y protege la información y los servicios que considera críticos, disponiendo que:

  1. Todos los órganos superiores, esto es, Ministerios y Secretaría de Estado en la Administración General del Estado (AGE), deberán disponer formalmente de su PSI, que será aprobada por el titular del órgano superior correspondiente (artículo 11).

  2. La PSI debe comprometer a todos los miembros de la organización, por los que debe ser conocida, e identificar unos claros responsables de velar por su cumplimiento (artículo 12).

  3. El contenido mínimo de la PSI debe precisar de forma clara los objetivos o misión de la organización, el marco legal y regulatorio en que desarrolla sus actividades, los roles o funciones de seguridad, definiendo para cada uno sus deberes y responsabilidades, así como el procedimiento para su designación y renovación, la estructura del comité para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad, sus miembros y su relación con otros elementos de la organización, y las directrices para la estructuración de de la documentación de seguridad del sistema, su gestión y acceso [anexo II.3 Política de Seguridad (org 1)].

  4. Además, la PSI debe ser coherente con lo establecido en el Documento de Seguridad que exige el artículo 88 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en lo que corresponda, prevaleciendo lo relativo a la protección de datos de carácter personal en caso de discrepancias.

  5. Para la elaboración de la PSI deben utilizarse las guías CCN-STIC 001, 201, 402, 801 y 805 elaboradas por el Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI), que establecen las pautas de carácter general relativas a la organización de seguridad y sus responsables, así como sobre la estructura y contenido mínimo de la PSI.

El artículo 11 del Real Decreto 3/2010, de 8 de enero, establece que todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente.

En su virtud, dispongo:

Artículo 1 Objeto y ámbito de aplicación.

  1. Constituye el objeto de la presente orden la aprobación de la Política de Seguridad de la Información (en adelante, PSI) en el ámbito de la Administración Electrónica del Ministerio de Industria, Turismo y Comercio, así como el establecimiento del marco organizativo y tecnológico de la misma.

  2. La PSI que se aprueba por esta orden se aplicará con carácter imperativo por todos los órganos y unidades centrales y territoriales del Ministerio de Industria, Turismo y Comercio, así como por los organismos autónomos que dependan de los mismos (Oficina Española de Patentes y Marcas, Instituto para la Reestructuración de la Minería del Carbón y Desarrollo Alternativo de las Comarcas Mineras, Centro Español de Metrología e Instituto de Turismo de España), siendo de aplicación a todos sus sistemas de información y debiendo ser observada por todo el personal destinado en dichos órganos y unidades, así como por aquellas personas que, aunque no estén destinadas en los mismos, tengan acceso a sus sistemas de información.

Artículo 2 Misión del Departamento.

Corresponde al Ministerio de Industria, Turismo y Comercio la propuesta y ejecución de la política del Gobierno en materia de desarrollo industrial, política comercial, política energética, política de la pequeña y mediana empresa (PYME), política de turismo y política de telecomunicaciones y de la sociedad de la información.

Artículo 3 Marco normativo.

  1. El marco normativo en que se desarrollan las actividades del Ministerio de Industria, Turismo y Comercio, y, en particular, la prestación de sus servicios electrónicos a los ciudadanos, está integrado por las siguientes normas:

    1. La legislación sectorial reguladora de la actuación de los órganos superiores y directivos del Ministerio de Industria, Turismo y Comercio y de los organismos autónomos dependientes, así como el Real Decreto 1226/2010, de 1 de octubre, por el que se desarrolla la estructura orgánica básica de dicho Departamento ministerial.

    2. Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

    3. Real Decreto...

Para continuar leyendo

Solicita tu prueba
Índice de navegación
Documentos relacionados

Búsquedas relacionadas:

Otros documentos interesantes:

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR