ORDEN de 21 de mayo de 2019, por la que se aprueba la política de seguridad de la información de esta Consejería en el ámbito de la administración electrónica.

• Sección: I. DISPOSICIONES GENERALES
• Emisor: Consejería de Educación y Universidades
• Rango de Ley: Orden

En los últimos años el ordenamiento jurídico, tanto estatal como autonómico, ha ido incorporando un conjunto de políticas públicas que, relacionadas intrínsecamente con el propio funcionamiento de la Administración y que por ello pueden ser calificadas de instrumentales, tienen todas ellas por finalidad conformar un nuevo modelo de relación del sector público con la ciudadanía que redunde en una prestación de servicios públicos de mayor calidad, más eficaz y eficiente, y adaptado a los nuevos entornos relacionales, como es la relación con la Administración a través de medios digitales, sirviendo mejor a los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia.

La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados y recoge el Esquema Nacional de Seguridad en su artículo 156.

La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13 sobre derechos de las personas en sus relaciones con las Administraciones Públicas el relativo a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

Los ciudadanos deben confiar en que los servicios públicos disponibles por medios electrónicos se presten en unas condiciones de seguridad equivalentes a las que encuentran cuando se acercan personalmente a las oficinas de la Administración.

El Esquema Nacional de Seguridad (ENS) aprobado por el Real Decreto 3/2010, de 8 de enero, regula la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos y determina los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información.

El ENS señala en su artículo 11 que todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente.

El marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias ha sido determinado por Orden de 31 de julio de 2013, del Consejero de Presidencia, Justicia e Igualdad. En su artículo 2, señala que cada organismo incluido en el ámbito de la aplicación de la Orden deberá desarrollar y aprobar el documento de política seguridad de la información en el ámbito de la administración electrónica del organismo, así como las normas y procedimientos que adecuen, en su caso, el marco común y las directrices básicas en la Administración Pública de la Comunidad Autónoma de Canarias a sus particularidades y determina que su aprobación se realizará mediante orden del titular de la consejería correspondiente o resolución del órgano competente de la entidad pública u organismo autónomo, que deberá publicarse en el Boletín Oficial de Canarias.

Por otra parte debe señalarse que la redacción de la presente Orden se ha adecuado a la normativa vigente en materia de impacto de género, en el sentido de lo establecido en el apartado 11 del artículo 14 de la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres (BOE nº 71, de 23.3.07), así como en el apartado 10 del artículo 4 de la Ley 1/2010, de 26 de febrero, Canaria de Igualdad entre Mujeres y Hombres (BOC nº 45, de 5.3.10).

Por todo ello, visto el informe de iniciativa de la Secretaria General Técnica de la Consejería de Educación y Universidades, y en el ejercicio de las competencias atribuidas,

D I S P O N G O:

Artículo 1 Objeto y ámbito de aplicación.

1. La presente Orden tiene por objeto establecer y aprobar la Política de Seguridad de la Información, en adelante, PSI, de la Consejería de Educación y Universidades, en el ámbito de la administración electrónica.

2. La política de Seguridad aprobada se aplicará a todos los servicios, aplicaciones o sistemas de la Consejería de Educación y Universidades, por los órganos y unidades centrales y territoriales de este organismo y por todo el personal destinado en dichos órganos y unidades, así como por el personal de otros organismos o entidades que haya sido autorizado para acceder a los sistemas de información incluidos en su ámbito de aplicación.

3. Así mismo, esta PSI debe ser observada por las personas físicas, jurídicas y entes sin personalidad en sus relaciones con las entidades anteriores cuando procedan al uso de sus sistemas de información.

Artículo 2 Misión del Departamento.

Es misión de la Consejería de Educación y Universidades la propuesta y ejecución de las directrices del Gobierno de Canarias y de la gestión de los servicios y competencias en materia de educación y universidades, conforme a su Reglamento Orgánico, así como la gestión y administración de los centros públicos educativos no universitarios de Canarias.

Artículo 3 Principios de la PSI.

Sin perjuicio de los principios básicos establecidos en el Esquema Nacional de Seguridad, la PSI del Departamento y sus organismos autónomos en el ámbito de la Administración electrónica se desarrollará, con carácter general, de acuerdo a los siguientes principios determinados en la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la PSI en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias:

1. Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.

2. Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.

3. Principio de disponibilidad y continuidad: se garantizará un alto nivel de disponibilidad en los sistemas de información y se dotarán de los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.

4. Principio de gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la seguridad de los sistemas de información.

5. Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los sistemas de información deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos.

6. Principio de concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad TIC de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.

7. Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad TIC.

8. Principio de mejora continua: se revisará el grado de eficacia de los controles de seguridad TIC implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública de la Comunidad Autónoma de Canarias.

9. ...