LegalizeResolución de 7 de julio de 2021, de la Secretaría General de Administración Digital, por la que se aprueba la Política de Seguridad de los servicios prestados por la Secretaría General de Administración Digital
La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas regula en su artículo 13 los derechos de las personas en sus relaciones con las Administraciones Públicas, incluyendo en su apartado h) el relativo a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
Por otra parte, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, al regular en su artículo 3 los principios generales que las Administraciones Públicas deben respetar en su actuación y relaciones, establece en su apartado 2 que aquellas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados.
En el artículo 156.2 de la misma norma prevé la existencia del Esquema Nacional de Seguridad, que tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en su ámbito de aplicación, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
El Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica se regula en el Real Decreto 3/2010, de 8 de enero, cuyo artículo 11.1 establece el mandato de que todos los órganos superiores de las Administraciones públicas dispongan formalmente de su política de seguridad aprobada por su titular, que articule la gestión continuada de la seguridad. Dicha política de seguridad se establecerá de acuerdo con los principios básicos que recogen los artículos 4 a 10 y se desarrollará aplicando los requisitos mínimos que detalla el propio artículo 11.1.
El anexo II del real decreto, al regular las medidas de seguridad, incluye el marco organizativo entre el primer grupo de dichas medidas, que comprende, entre otras, la política de seguridad. Al respecto, el apartado 3.1 del Anexo II establece que la política de seguridad debe referenciar y ser coherente con lo establecido en la legislación de protección de datos de carácter personal, en lo que corresponda, en particular, por el Reglamento UE 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y por lo previsto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
El Real Decreto 403/2020, de 25 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Asuntos Económicos y Transformación Digital en el artículo 9 atribuye a la Secretaría General de Administración Digital (en adelante, SGAD), un amplio conjunto de competencias de carácter transversal a toda la Administración General del Estado y sus Organismos Públicos, entre ellas la provisión de servicios en materia de tecnologías de la información y comunicaciones y la prestación de aplicaciones y servicios para Delegaciones y Subdelegaciones del Gobierno y las Direcciones Insulares en todos sus ámbitos de actuación, en materia de tecnologías de la información y comunicaciones.
A la luz de las competencias previstas en el artículo 9 del Real Decreto 403/2020, de 25 de febrero, y en coherencia con la estrategia de racionalización encomendada a la Secretaría General de Administración Digital, la presente resolución tiene como finalidad aprobar la Política de Seguridad única en el ámbito de todos los servicios de tecnologías de la información prestados por la Secretaría General de Administración Digital, independientemente de la adscripción orgánica de la Unidad destinataria de los mismos. Asimismo, la resolución establece la estructura organizativa necesaria para desarrollar, implantar y gestionar esta política.
En virtud de lo anterior, en cumplimiento del artículo 11 del Real Decreto 3/2010, de 8 de enero, previo informe de la Abogacía del Estado, dispongo:
Primero.
Se aprueba la «Política de Seguridad de los servicios prestados por la Secretaría General de Administración Digital», cuyo texto se incluye a continuación.
Segundo.
La Política de seguridad de los servicios prestados por la Secretaría General de Administración Digital se aplicará desde el día siguiente al de la publicación de la presente Resolución en el «Boletín Oficial del Estado».
Madrid, 7 de julio de 2021.–El Secretario General de Administración Digital, Juan Jesús Torres Carbonell.
POLÍTICA DE SEGURIDAD DE LOS SERVICIOS PRESTADOS POR LA SECRETARÍA GENERAL DE ADMINISTRACIÓN DIGITAL
Artículo 1. Objeto.
La Política de Seguridad de los servicios prestados por la Secretaría General de Administración Digital (en adelante, SGAD) tiene por objeto identificar responsabilidades y establecer principios y directrices para una protección apropiada y consistente de los servicios y activos de información gestionados por la Secretaría General de Administración Digital mediante las tecnologías de la información y de las comunicaciones, así como la estructuración de la correspondiente documentación de seguridad.
La Política de Seguridad es el instrumento en el que se apoya la Secretaría General de Administración Digital para garantizar el uso seguro de los sistemas de información y las comunicaciones, en el ejercicio de las competencias, previstas en el artículo 9 del Real Decreto 403/2020, de 25 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Asuntos Económicos y Transformación Digital.
Artículo 2. Misión y funciones de la Secretaría General de Administración Digital.
Sin perjuicio del resto de competencias previstas en el artículo 9 del Real Decreto 403/2020, de 25 de febrero, las competencias de la Secretaría General de Administración Digital relativas a la prestación de servicios se encuadran en los siguientes ejes de actuación:
Prestación de Servicios TIC comunes y de carácter horizontal, incluidos los servicios declarados compartidos por la Comisión de Estrategia TIC en su reunión de 15 de septiembre de 2015, u otros que puedan ser declarados con posterioridad.
Prestación de Servicios TIC sectoriales, tanto los prestados por la Secretaría General de Administración Digital en virtud de sus competencias como los prestados a aquellos órganos, unidades, organismos y entes públicos con los que se acuerde la provisión.
Prestación de servicios directos a ciudadanos y empresas.
Artículo 3. Principios rectores de la Política de Seguridad.
Los principios básicos y requisitos de la seguridad de la información desarrollados bajo el marco de esta Política de Seguridad son los recogidos en el Esquema Nacional de Seguridad regulado por el Real Decreto 3/2010, de 8 de enero, en particular, los previstos en sus capítulos II y III, y su normativa de desarrollo.
Artículo 4. Desarrollo normativo.
El cuerpo normativo sobre seguridad de la información es de obligado cumplimiento y se desarrollará en tres niveles, de manera que cada norma de un determinado nivel de desarrollo se fundamente en las normas de nivel superior. Dichos niveles de desarrollo normativo son los siguientes:
Primer nivel normativo: constituido por la presente Política de Seguridad.
Segundo nivel normativo: constituido principalmente por las normas y directrices de seguridad generales que, respetando lo estipulado por la Política de Seguridad, determinan qué se puede hacer y qué no desde el punto de vista de la seguridad en relación con los servicios prestados por la Secretaría General de Administración Digital, sin considerar aspectos relativos a implementación ni tecnológicos.
La documentación perteneciente a este segundo nivel normativo será aprobada por Resolución del Secretario General de Administración Digital a propuesta del Responsable de Seguridad, previo acuerdo en el Grupo de Trabajo de Seguridad de los servicios prestados por la Secretaría General de Administración Digital.
Tercer nivel normativo: constituido por políticas específicas que, respetando lo dispuesto en los niveles normativos anteriores, apliquen a ámbitos o sistemas de información particulares. También estará constituido por procedimientos, guías e instrucciones de carácter técnico o procedimental.
La documentación perteneciente a este tercer nivel normativo será aprobada por el Responsable de Seguridad, previo acuerdo en el Grupo de Trabajo de Seguridad de los servicios prestados por la Secretaría General de Administración Digital.
El Responsable de Seguridad será el encargado de mantener la documentación de seguridad actualizada y organizada, y de gestionar los mecanismos de acceso a la misma.
El personal de cada uno de los órganos u organismos a los que es de aplicación la presente Política de Seguridad tendrá la obligación de conocerla y cumplirla y las normas y procedimientos de seguridad de la información que puedan afectar a sus funciones. A tal efecto, la Secretaría General de Administración Digital pondrá a disposición de todas las entidades usuarias de sus servicios la documentación pertinente.
Artículo 5. Estructura organizativa.
La organización de la seguridad tendrá en cuenta la organización propia de la Secretaría General de Administración Digital y la de los órganos, organismos y entidades usuarios de sus servicios. En consecuencia, deberá garantizarse la actuación coordinada y eficaz, según lo establecido al respecto en el Esquema Nacional de Seguridad y en las orientaciones de la guía CCN-STIC 801 ‘Responsabilidades y funciones’.
Sin perjuicio de lo anterior, son órganos que intervienen en el desarrollo de la presente Política de Seguridad:
El Secretario General de Administración Digital.
El Grupo de trabajo de seguridad de los servicios prestados por la Secretaría General de Administración Digital.
El Responsable de Seguridad.
El Responsable del Sistema.
Los Responsables de la Información.
Los Responsables del Servicio.
Los Delegados de Protección de Datos
Los órganos u organismos sujetos a la presente Política de Seguridad deberán disponer de la estructura organizativa necesaria para cumplir adecuadamente con sus obligaciones en el ámbito de los servicios que presta la Secretaría General de Administración Digital.
Artículo 6. Competencias del Secretario General de Administración Digital.
La persona titular de la Secretaría General de Administración Digital es, en el ejercicio de sus competencias, el responsable del funcionamiento de los servicios que presta la Secretaría General de Administración Digital. En particular:
Coordinará todas las actividades relacionadas con la seguridad de los servicios prestados por la Secretaría General de Administración Digital, tanto de carácter horizontal, común o compartido, como de carácter sectorial.
Impulsará la adecuación a la normativa aplicable de seguridad de la información y de protección de datos, dentro de su ámbito de competencias.
Será responsable de la modificación y actualización de esta Política de Seguridad, así como de aprobar las normas de seguridad propuestas por el Responsable de Seguridad, previo acuerdo del Grupo de Trabajo de seguridad de los servicios prestados por la Secretaría General de Administración Digital.
Artículo 7. Grupo de trabajo de seguridad de los servicios prestados por la Secretaría General de Administración Digital.
Con carácter permanente, se crea el Grupo de trabajo de seguridad de los servicios prestados por la Secretaría General de Administración Digital (en adelante, GTS) como órgano de asesoramiento del Secretario General de Administración Digital en materia de seguridad.
El GTS estará compuesto por:
Presidente: el Responsable de Seguridad de la Secretaría General de Administración Digital.
Vicepresidente: el Responsable del Sistema de la Secretaría General de Administración Digital.
Un vocal de cada una de las siguientes unidades de la Secretaría General de Administración Digital designado por el titular respectivo:
1.º La División de Planificación y Coordinación de Ciberseguridad.
2.º La Subdirección General de Planificación y Gobernanza de la Administración Digital.
3.º La Subdirección General de Impulso de la Digitalización de la Administración.
4.º La Subdirección General de Infraestructuras y Operaciones.
5.º La Subdirección General de Servicios Digitales para la Gestión.
6.º La Subdirección General de Presupuestos y Contratación TIC.
7.º El Gabinete de la Secretaría General de Administración Digital.
Secretario: un funcionario de la División de Planificación y Coordinación de Ciberseguridad, nombrado por su titular, que actuará con voz pero sin voto.
Cada unidad representada en el GTS podrá convocar a personal en calidad de asesor, con voz, pero sin voto.
El Presidente podrá convocar, en razón de los asuntos tratados, a representantes de cualquier órgano y unidad que accedan a sistemas de información de la Secretaría General de Administración Digital, así como a expertos tanto de la Secretaría General de Administración Digital como de otras entidades.
El GTS llevará a cabo las siguientes funciones:
Elaborar estudios, análisis y propuestas de modificación y actualización de la Política de Seguridad y de la normativa de la seguridad de la información de segundo y tercer nivel.
Solicitar al Responsable de Seguridad la toma en consideración de cualquier aspecto que considere relevante respecto a la seguridad de la información.
Velar por la coherencia y armonización de la normativa y actuaciones en materia de seguridad de la información entre los distintos servicios ofrecidos por la Secretaría General de Administración Digital, ya sean los de carácter común, horizontal o sectorial.
Asesorar al Responsable de Seguridad en la preparación o confección de la Declaración de Aplicabilidad, que comprende la relación de medidas de seguridad seleccionadas para un sistema.
Estudiar y proponer actividades de concienciación y formación en materia de seguridad.
Realizar cualquier otra actividad de asesoría, formulación de recomendaciones, o propuesta de iniciativas, en materia de seguridad.
Cualquier otra función en el ámbito de la seguridad de la información y los servicios que le encomiende el Secretario General de Administración Digital.
El GTS se reunirá al menos una vez al cuatrimestre y sus decisiones se adoptarán por mayoría de sus miembros con derecho a voto.
Artículo 8. Responsable de Seguridad.
El Director de la División de Planificación y Coordinación de Ciberseguridad, en su condición de Responsable de Seguridad en el ámbito de la presente Política de Seguridad, es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, de acuerdo con lo previsto en el artículo 10 del Real Decreto 3/2010, de 8 de enero.
⋯
La consulta de este documento no sustituye la lectura del Boletín Oficial del Estado correspondiente. No nos responsabilizamos de posibles incorrecciones producidas en la transcripción del original a este formato.