ORDEN de 10 de marzo de 2021, por la que se aprueba la Política de Seguridad de la Información de la Consejería de Administraciones Públicas, Justicia y Seguridad, en el ámbito de la Administración Electrónica.
| Sección | I. DISPOSICIONES GENERALES |
| Emisor | Consejería de Administraciones Públicas, Justicia y Seguridad |
| Rango de Ley | Orden |
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en adelante ENS, establece los principios y requisitos de una política de seguridad en la utilización de los medios electrónicos que permita la adecuada protección de la información. El ENS establece que el marco organizativo está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad.
El ENS establece que todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente.
La implantación y utilización de los medios electrónicos en el ámbito de la Administración Pública supone el desarrollo e implantación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a la ciudadanía y a las Administraciones públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, hacen referencia al ENS, al objeto de contar con medidas de seguridad, y establecer la política de seguridad en la utilización de medios electrónicos.
La política de seguridad deberá identificar con claridad, las personas responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.
Asimismo, las Guías CCN-STIC de Seguridad de los Sistemas de Información y Comunicaciones del Centro Criptológico Nacional (CCN-STIC Serie 800) establecen las políticas y procedimientos adecuados para la implementación de las medidas contempladas en el Esquema Nacional de Seguridad.
Concretamente, la Guía CCN-STIC-805 considera la Política de Seguridad de la Información, como un documento de alto nivel que define lo que significa "seguridad de la información" en una organización. El documento debe estar accesible por toda la organización y redactado de forma sencilla, precisa y comprensible, dejando los detalles técnicos para otros documentos normativos de segundo nivel.
De conformidad con la Guía CCN-STIC-801, y dado el ámbito de aplicación de esta Política de Seguridad tanto a los órganos superiores de este Departamento, como al resto de departamentos, entidades de derecho público y organismos autónomos de la Administración Pública de la Comunidad Autónoma de Canarias en el uso de los sistemas de información corporativos de Administración Electrónica que gestione esta Consejería, se considera necesaria la incorporación de la figura de Administrador de la Seguridad del Sistema, que dependerá del Responsable del Sistema, para garantizar la operatividad y eficacia de las medidas de seguridad previstas en el ENS.
La Orden de 31 de julio de 2013 del Consejero de Presidencia, Justicia e Igualdad estableció el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma.
La Orden de fecha 29 de mayo de 2014 aprobó la Política de Seguridad de la Información de la Consejería de Presidencia, Justicia e Igualdad en el ámbito de la Administración Electrónica. Esta Orden fue modificada puntualmente por la Orden de 15 de diciembre de 2016.
La Política de Seguridad de la Información aprobada por la Orden de 29 de mayo de 2014 precisa ser sustituida por una nueva regulación, a fin de reflejar la actual estructura y denominación del Departamento, los responsables y la composición del Comité para la Gestión y Coordinación de la Seguridad de la Información de acuerdo con lo previsto en el Decreto 119/2019, de 16 de julio, del Presidente, por el que se determinan el número, denominación y competencias de las Consejerías, y en el Decreto 203/2019, de 1 de agosto, por el que se determina la estructura central y periférica, así como las sedes de las Consejerías del Gobierno de Canarias.
Mediante Orden de 30 de enero de 2020 se crea y regula la sede electrónica y el registro electrónico de la Consejería de Administraciones Públicas, Justicia y Seguridad, cuyo ámbito se extiende a la totalidad de los órganos superiores y unidades administrativas del Departamento, quedando excluidos los organismos públicos adscritos a la misma, sin perjuicio de que estos puedan incorporarse mediante la suscripción del correspondiente convenio.
En la tramitación de esta Orden se ha dado cumplimiento a los principios de buena regulación a los que se refiere el artículo 129.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Se han aplicado los principios de necesidad, eficacia y proporcionalidad, en tanto que con la norma se consigue el objetivo perseguido de adaptación a la nueva denominación y estructura organizativa del Departamento. Asimismo se da cumplimiento al principio de seguridad jurídica, al integrarse de forma coherente en el marco normativo autonómico en materia de seguridad, en el ámbito de la Administración Electrónica, facilitando su conocimiento y comprensión por parte de sus destinatarios, así como al principio de transparencia, mediante su publicación en la sede electrónica departamental y al principio de eficiencia, toda vez que evita remisiones administrativas innecesarias o accesorias, y contribuye a una mejor gestión de los recursos públicos.
La norma ha incorporado el enfoque de género en la medida que su ámbito material permite, en cumplimiento de los principios generales que informan la actuación de la Administración Pública y de la Ley Canaria de Igualdad entre Mujeres y Hombres, con el uso de un lenguaje inclusivo.
Por lo expuesto, visto el informe de la Dirección General de Telecomunicaciones y Nuevas Tecnologías, en el ejercicio de la competencia prevista en el artículo 2.2 de la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias, y haciendo uso de las facultades que tengo conferidas en virtud de los artículos 32.c) y 37 de la Ley 1/1983, de 14 de abril, del Gobierno y de la Administración Pública de la Comunidad Autónoma de Canarias,
D I S P O N G O:
-
La presente Orden tiene por objeto establecer la Política de Seguridad de la Información, en adelante, PSI, de la Consejería de Administraciones Públicas, Justicia y Seguridad, en el ámbito de la Administración Electrónica.
-
Esta PSI será de aplicación por todos los órganos superiores del Departamento, así como por los organismos autónomos dependientes del mismo. Se excluye de su aplicación a la Administración de Justicia, dado su propio ámbito regulatorio a través del Esquema Judicial de Interoperabilidad y Seguridad.
-
Asimismo, esta Política de Seguridad será de aplicación por el resto de departamentos, entidades de derecho público y organismos autónomos de la Administración Pública de la Comunidad Autónoma de Canarias, en el uso de los sistemas de información corporativos de Administración Electrónica que gestione esta Consejería.
Es misión de la Consejería de Administraciones Públicas, Justicia y Seguridad la propuesta y ejecución de las directrices del Gobierno de Canarias y de la gestión de los servicios y competencias que le son propias, conforme a su correspondiente Reglamento Orgánico.
Sin perjuicio de los principios básicos establecidos en el Esquema Nacional de Seguridad, en adelante ENS, la política de seguridad del Departamento y sus organismos autónomos en el ámbito de la Administración Electrónica se desarrollará, con carácter general, de acuerdo a los siguientes principios:
-
Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.
-
Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.
-
Principio de disponibilidad y continuidad: se garantizará un alto nivel de disponibilidad en los sistemas de información y se dotarán de los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.
-
Principio de...
Para continuar leyendo
Solicita tu prueba