Orden ISM/1320/2024, de 18 de noviembre, por la que se aprueba la Política de Seguridad de la Información del Ministerio de Inclusión, Seguridad Social y Migraciones y se crea el Comité de Seguridad de los Sistemas de Información

Rango Orden
Publicación 2024-11-23
Estado Vigente
Departamento Ministerio de Inclusión, Seguridad Social y Migraciones
Fuente BOE
artículos 20
Historial de reformas JSON API PDF

El marco de relación entre la Administración Pública y la ciudadanía a través de los medios electrónicos se encuentra establecido en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Por su parte, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, define en su artículo 156 el objeto del Esquema Nacional de Seguridad y lo incorpora como parte esencial en la configuración del archivo electrónico de los documentos regulado en el artículo 46 y en el régimen de relaciones electrónicas y transferencias de tecnología entre las Administraciones Públicas, tal como establece su artículo 158.

Ambas normas han sido objeto de desarrollo en virtud del Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.

La Administración Digital debe ser confiable para que la ciudadanía realice los trámites administrativos correspondientes con total seguridad y fiabilidad. Para ello, el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas. El fundamento jurídico de esta orden se encuentra en el artículo 12 del mismo, que establece que cada administración pública contará con una política de seguridad formalmente aprobada por el órgano competente, y, en el caso de la Administración General del Estado, cada ministerio contará con su política de seguridad, que aprobará la persona titular del departamento, lo que enlaza con los principios de necesidad, seguridad jurídica y transparencia.

El Real Decreto 829/2023, de 20 de noviembre, por el que se reestructuran los departamentos ministeriales, atribuye en su artículo 21 al Ministerio de Inclusión, Seguridad Social y Migraciones la propuesta y ejecución de la política del Gobierno en materia de Seguridad Social y clases pasivas, así como la elaboración y el desarrollo de la política del Gobierno en materia de extranjería, inmigración y emigración y de políticas de inclusión. Con posterioridad, el Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales, estableció en su artículo 20 la estructura del Ministerio de Inclusión, Seguridad Social y Migraciones hasta el nivel orgánico de dirección general. Recientemente, se ha determinado la estructura orgánica básica de este departamento ministerial por el Real Decreto 501/2024, de 21 de mayo, por el que se desarrolla la estructura orgánica básica del Ministerio de Inclusión, Seguridad Social y Migraciones, y se modifica el Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales.

Esta Política de Seguridad de la Información (en adelante PSI) es el instrumento en que se apoya el Ministerio de Inclusión, Seguridad Social y Migraciones para alcanzar sus objetivos utilizando de forma segura los sistemas de información y las comunicaciones. La seguridad, concebida como proceso integral, comprende todos los elementos técnicos, humanos, materiales y organizativos relacionados con los sistemas de información y las comunicaciones y debe entenderse no como un producto sino como un proceso continuo de adaptación y mejora, que debe ser controlado, gestionado y monitorizado, implementando la cultura de la seguridad en el Ministerio.

La PSI constituye el marco de referencia orientado a facilitar la definición, gestión, administración e implementación de los mecanismos y procedimientos de seguridad establecidos en el Esquema Nacional de Seguridad. Identifica responsabilidades y establece principios y directrices para una protección adecuada y consistente de los servicios y activos de información gestionados por medio de las Tecnologías de la Información y de las Comunicaciones.

Del mismo modo, el Real Decreto 311/2022, de 3 de mayo, determina que la PSI debe ser coherente con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y la normativa vigente en esta materia, prevaleciendo éstos en lo relativo a la protección de datos de carácter personal en caso de discrepancias.

En este sentido, la entrada en vigor del citado Reglamento Europeo (UE) 2016/679, y de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, plantea nuevos retos, así como la necesidad de dar un nuevo enfoque al tratamiento de datos de carácter personal. De este modo, para garantizar su adecuada implantación resulta necesario intensificar la labor de coordinación con el resto de las normas de obligatoria implantación en la organización, especialmente con el Esquema Nacional de Seguridad, buscando sinergias en el desarrollo de ambas. Para garantizar la coordinación en la implantación de estas normativas se deberá procurar que:

a)

El cumplimiento del Esquema Nacional de Seguridad y la legislación de protección de datos estén alineados, apoyándose mutuamente en el caso de los sistemas de información que tratan datos de carácter personal.

b)

Los planes de concienciación y formación que se definan contengan contenidos comunes en el ámbito de los tratamientos de datos de carácter personal.

c)

Se establezca la correspondencia entre los tratamientos de datos de carácter personal y los sistemas de información identificados en el Esquema Nacional de Seguridad que incluyan datos de carácter personal, buscando unificar en una única declaración los requisitos y medidas de seguridad y de protección de los datos personales que son necesarios para cumplir con ambas normas.

d)

Las auditorías de cumplimiento en particular y las revisiones de seguridad en general que incluyan controles de ambas normas, se efectúen de manera conjunta.

e)

Se lleve a cabo una designación común de las responsabilidades, así como una relación con los organismos reguladores y de coordinación.

La PSI es de obligado cumplimiento para todo el personal que acceda a los sistemas de información o a la información del departamento, para sus órganos superiores y directivos que no tengan establecida su propia política de seguridad y para los aspectos no tratados en dichas políticas de seguridad particulares.

Esta orden se estructura en veinte artículos, tres disposiciones adicionales, dos disposiciones derogatorias y dos disposiciones finales. La disposición derogatoria primera deroga, en lo que afecta a las competencias del Ministerio de Inclusión, Seguridad Social y Migraciones, la Orden TIN/3016/2011, de 28 de octubre, por la que se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración, y la Orden comunicada de la Ministra de Empleo y Seguridad Social, de 30 de julio de 2012, por la que se aprueba la Política de Seguridad de los Sistemas de Información del Ministerio de Empleo y Seguridad Social. También se deroga en la disposición derogatoria segunda la Orden ISM/254/2021, de 16 de marzo, por la que se crea y regula la Comisión Asesora de Estudios y se establece la regulación del Programa anual de Estudios del departamento, por tratarse de otra norma de naturaleza organizativa de acuerdo con las competencias de la Subsecretaría de Inclusión, Seguridad Social y Migraciones previstas en el Real Decreto 501/2024, de 21 de mayo.

La norma se ajusta a los principios de buena regulación contenidos en el artículo 129 de la Ley 39/2015, de 1 de octubre. En concreto, se adecúa a los principios de necesidad y eficacia puesto que, con la aprobación de la norma, se dota al departamento ministerial de un marco que garantiza la seguridad en la utilización de sus activos de información.

Asimismo, es también adecuada al principio de proporcionalidad, en cuanto se trata de una norma puramente organizativa que, en consecuencia, no restringe derechos ni libertades ni impone obligaciones.

Igualmente, a la vista de su objeto y contenido se considera cumplido el principio de eficiencia en la medida en que la norma prevé que los medios personales y financieros a utilizar son los ya existentes en el ministerio y, además, no se imponen cargas administrativas ni se afecta a las existentes.

Finalmente, se ajusta al principio de seguridad jurídica, pues resulta plenamente coherente con el resto del ordenamiento jurídico, y se da cumplimiento al principio de transparencia al quedar claramente delimitados los objetivos y fines perseguidos por esta orden ministerial.

En el proceso de su tramitación se han recabado informes de la Comisión Permanente de la Comisión Ministerial de Administración Digital del Ministerio de Inclusión, Seguridad Social y Migraciones, del delegado de protección de datos y de la Secretaría General Técnica del mismo ministerio, así como de la Agencia Española de Protección de Datos.

En su virtud, con la aprobación previa del Ministro para la Transformación Digital y de la Función Pública, dispongo:

Artículo 1. Objeto y ámbito de aplicación.
1.

El objeto de esta orden es la aprobación de la Política de Seguridad de la Información (en adelante PSI) en el ámbito del Ministerio de Inclusión, Seguridad Social y Migraciones, su marco organizativo y tecnológico, así como la creación del Comité de Seguridad de los Sistemas de Información y la regulación de su composición, funcionamiento y funciones.

2.

La PSI será de obligado cumplimiento para todos los órganos superiores y directivos del Ministerio de Inclusión, Seguridad Social y Migraciones, con las excepciones que, en su caso, correspondan a la Secretaría de Estado de la Seguridad Social y Pensiones y a las entidades gestoras y servicios comunes de la Administración de la Seguridad Social adscritas a la misma.

3.

Se podrán adscribir a la presente PSI aquellos organismos y entidades de derecho público vinculados o dependientes del Ministerio de Inclusión, Seguridad Social y Migraciones que no tengan establecida su propia política de seguridad y así lo soliciten.

4.

La PSI será de obligado cumplimiento para todo el personal que acceda tanto a los sistemas de información como a la propia información que sea gestionada por el departamento, con independencia de cuál sea su destino, adscripción o relación.

Artículo 2. Misión del departamento.

El Ministerio de Inclusión, Seguridad Social y Migraciones es el departamento encargado de la propuesta y ejecución de la política del Gobierno en materia de Seguridad Social y clases pasivas, así como de la elaboración y el desarrollo de la política del Gobierno en materia de extranjería, inmigración y emigración y de políticas de inclusión, de conformidad con lo establecido en el artículo 1 del Real Decreto 501/2024, de 21 de mayo, por el que se desarrolla la estructura orgánica básica del Ministerio de Inclusión, Seguridad Social y Migraciones, y se modifica el Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales.

Artículo 3. Marco normativo.

El marco normativo en que se desarrollan las actividades del Ministerio de Inclusión, Seguridad Social y Migraciones en el ámbito de la prestación de los servicios electrónicos a la ciudadanía, sin perjuicio de la legislación específica, está integrado fundamentalmente por las siguientes disposiciones:

a)

Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

b)

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

c)

Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

d)

Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

e)

Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

f)

Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

g)

Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.

h)

Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.

i)

Ley 12/1989, de 9 de mayo, de la Función Estadística Pública.

j)

Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos.

k)

Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

l)

Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica.

m)

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

n)

Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en al ámbito de la Administración Electrónica.

o)

Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

p)

Orden PCI/487/2019, de 26 de abril, por la que se publica la Estrategia Nacional de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional.

q)

Orden ISM/11/2021, de 12 de enero, por la que se crea y regula la Sede Electrónica Central del Ministerio de Inclusión, Seguridad Social y Migraciones.

r)

Orden TIN 1459/2010, de 28 de mayo, por la que se crea la Sede Electrónica de la Secretaría de Estado de la Seguridad Social.

s)

Aquellas normas aplicables a la administración electrónica y seguridad de la información derivadas de las anteriores y publicadas en las sedes electrónicas dentro del ámbito de aplicación de la PSI del Ministerio.

Artículo 4. Principios de la seguridad de la información.
1.

Principios básicos.

Los principios básicos son directrices fundamentales de seguridad que han de tenerse siempre presentes en cualquier actividad relacionada con el uso de los activos de información. Estos principios básicos, en su continuo fortalecimiento y revisión, se ajustarán en todo caso, de acuerdo con lo previsto en la disposición adicional segunda del Real Decreto 311/2022, de 3 de mayo, a las instrucciones técnicas de seguridad que publique la Secretaría de Estado de Función Pública del Ministerio para la Transformación Digital y de la Función Pública, así como a las guías de seguridad de las tecnologías de la información y la comunicación (guías CCN-STIC) Complementando lo dispuesto en el capítulo II del Real Decreto 311/2022, de 3 de mayo, se establecen los siguientes principios básicos:

a)

Alcance estratégico: la seguridad de la información debe contar con el compromiso y apoyo de todos los niveles directivos, de forma que pueda estar coordinada e integrada con el resto de iniciativas estratégicas del departamento para conformar un todo coherente y eficaz.

La consulta de este documento no sustituye la lectura del Boletín Oficial del Estado correspondiente. No nos responsabilizamos de posibles incorrecciones producidas en la transcripción del original a este formato.