Orden ECD/298/2018, de 12 de marzo, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración electrónica del Ministerio de Educación, Cultura y Deporte.

• Marginal: BOE-A-2018-3990
• Sección: III - Otras Disposiciones
• Emisor: Ministerio de Educacion, Cultura y Deporte
• Rango de Ley: Orden

Norma citada en: 2 disposiciones normativas

El marco de relación entre la Administración Pública y los ciudadanos a través de los medios electrónicos se encuentra establecido mediante la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

En línea con el impulso hacia la digitalización de dicho marco, y con objeto de que las consolidadas relaciones digitales se popularicen, la Administración debe ser confiable, para que los ciudadanos realicen los trámites administrativos con total seguridad y fiabilidad. Esta confianza en los sistemas de información debe extenderse a las garantías no solo sobre las comunicaciones sino también sobre el tratamiento y almacenamiento de la información.

Para ello, el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas.

La Política de Seguridad de la Información constituye el marco de referencia orientado a facilitar la definición, gestión, administración e implementación de los mecanismos y procedimientos de seguridad establecidos en el Real Decreto 3/2010, de 8 de enero.

Del mismo modo, la Política de Seguridad de la Información debe ser coherente con lo establecido en el Reglamento UE/2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Asimismo, cabe mencionar que esta orden se ajusta a los principios de buena regulación contenidos en la Ley 39/2015, de 1 de octubre, principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia, en tanto que la misma persigue un interés general al proporcionar la necesaria confianza en la relación de los ciudadanos y la administración a través de medios electrónicos. También cumple estrictamente el mandato establecido en el artículo 6.4 de la Ley, no existiendo ninguna alternativa regulatoria menos restrictiva de derechos, resulta coherente con el ordenamiento jurídico y permite así mismo una gestión más eficiente de los recursos públicos.

Esta orden se dicta en cumplimiento de lo requerido por el artículo 11 del Real Decreto 3/2010, de 8 de enero.

Esta orden ministerial ha sido informada por la Comisión Ministerial de Administración Digital del Ministerio de Educación, Cultura y Deporte y por la Agencia Española de Protección de Datos.

En su virtud, con la aprobación previa del Ministro de Hacienda y Función Pública, dispongo:

Artículo 1 Objeto y ámbito de aplicación.

1. Constituye el objeto de la presente orden la aprobación de la Política de Seguridad de la Información (en adelante PSI) en el ámbito de la administración electrónica del Ministerio de Educación, Cultura y Deporte, así como del marco organizativo y tecnológico de la misma.

2. La PSI será de obligado cumplimiento para todos los órganos superiores y directivos del Ministerio de Educación, Cultura y Deporte, incluidos los órganos dependientes o adscritos al mismo que no tengan establecida su propia política de seguridad, siendo aplicable a todos los activos empleados por el Departamento.

3. Se podrán adherir a la presente PSI aquellos organismos públicos dependientes o adscritos al Ministerio de Educación, Cultura y Deporte que así lo soliciten.

4. La PSI será de obligado cumplimiento para todo el personal que acceda tanto a los sistemas de información como a la propia información que sea gestionada por el Departamento, con independencia de cuál sea su destino, adscripción o relación con el mismo.

Artículo 2 Misión del Departamento.

El Ministerio de Educación, Cultura y Deporte es el Departamento de la Administración General del Estado encargado de la propuesta y ejecución de la política del Gobierno en materia educativa, de formación profesional y de universidades, así como la promoción, protección y difusión del patrimonio histórico español, de los museos estatales y de las artes, del libro, la lectura y la creación literaria, de las actividades cinematográficas y audiovisuales y de los archivos y bibliotecas estatales, la promoción y difusión de la cultura en español, así como la propuesta y ejecución de la política del Gobierno en materia de deporte. Asimismo, le corresponde a este Departamento el impulso de las acciones de cooperación y, en coordinación con el Ministerio de Asuntos Exteriores y de Cooperación, de las relaciones internacionales en materia de educación, cultura y deporte.

Artículo 3 Marco legal y regulatorio.

El marco normativo en que se desarrollan las actividades del Ministerio de Educación, Cultura y Deporte en el ámbito de la prestación de los servicios electrónicos a los ciudadanos, sin perjuicio de la legislación específica, se compone de:

1. Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

2. Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

3. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en al ámbito de la Administración Electrónica.

4. Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en al ámbito de la Administración Electrónica.

5. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

6. Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento nacional de identidad y sus certificados de firma electrónica.

7. Orden EDU/3607/2009, de 30 de diciembre, por la que se crea la Sede Electrónica en el Ministerio de Educación.

8. Orden CUL/395/2010, de 17 de febrero, por la que se crea la Sede Electrónica del Ministerio de Cultura.

9. Resolución de 19 de febrero de 2010, de la Presidencia del Consejo Superior de Deportes, por la que se crea la Sede Electrónica del Consejo Superior de Deportes.

10. Orden EDU/947/2010, de 13 de abril, por la que se crea y regula el Registro Electrónico del Ministerio de Educación.

11. Orden CUL/3410/2009, de 14 de diciembre, por la que se regula el Registro Electrónico del Ministerio de Cultura.

12. Resolución de 24 de junio de 2009, de la Presidencia del Consejo Superior de Deportes, por la que se crea el registro electrónico del Consejo Superior de Deportes.

13. Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

14. Texto refundido de la Ley de Propiedad Intelectual, aprobado por Real Decreto Legislativo 1/1996, de 12 de abril, y su normativa de desarrollo.

Del mismo modo, forman parte del marco regulatorio las normas aplicables a la Administración Electrónica del Departamento que desarrollen o complementen las anteriores y que se encuentren dentro del ámbito de aplicación de la PSI.

Artículo 4 Principios de la seguridad de la información.

1. Principios básicos.

   Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Se establecen los siguientes:

   1. Alcance estratégico: La seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas del Departamento para conformar un todo coherente y eficaz.

   2. Responsabilidad diferenciada: En los sistemas de...