Boletín Oficial de la Junta de Andalucía - Histórico del BOJA Boletín número 110 de 12/06/2017

Las tecnologías de la información y las comunicaciones (TIC) han impulsado el bienestar y progreso de las sociedades de forma que gran parte de las relaciones públicas y privadas dependen de las mismas. Sin embargo, su aplicación y uso conlleva muchos beneficios pero también plantea retos que es necesario abordar. Con el tiempo y la evolución tecnológica, han aparecido riesgos y amenazas, cada vez más sofisticadas y numerosas, dando lugar a un ciberespacio cada día más hostil.

Tal y como establece la Estrategia de Ciberseguridad de la Unión Europea, nuestra libertad y prosperidad dependen, cada vez más, de un ciberespacio abierto, protegido y seguro, correspondiendo a las Administraciones Públicas un papel destacado en la custodia del mismo. En el ámbito europeo, el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), pretende sentar las bases de una normativa de privacidad que se adecue a la nueva realidad tecnológica y social, dando un paso más en la defensa de los derechos de los ciudadanos, ante la creciente preocupación de éstos durante los últimos años por la falta de control sobre sus propios datos que han podido percibir cuando los han facilitado a terceros.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y sus normas de desarrollo determinan las medidas para la protección de los datos de carácter personal.

La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, señala en su artículo 13.h) que quienes, de conformidad con el artículo 3, tienen capacidad de obrar ante las Administraciones Públicas, son titulares, en sus relaciones con ellas, del derecho a la protección de datos de carácter personal y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, determina, en su artículo 3.2, que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas y garantizarán la protección de los datos de carácter personal y facilitarán preferentemente la prestación conjunta de servicios a los interesados.

La articulación de las cuestiones relativas a la seguridad de la información a las que hacen mención las leyes referidas, se lleva a cabo en la actualidad a través del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, modificado a su vez por el Real Decreto 951/2015, de 23 de octubre, siendo su finalidad la creación de las condiciones de confianza en el uso de los medios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

El Estatuto de Autonomía para Andalucía, en su artículo 34, reconoce el derecho a acceder y usar las nuevas tecnologías y a participar activamente en la sociedad del conocimiento, la información y la comunicación, mediante los medios y recursos que la ley establezca. Asimismo, el artículo 58.1.2.º atribuye a la Comunidad Autónoma de Andalucía competencias exclusivas sobre el régimen de las nuevas tecnologías relacionadas con la Sociedad de la Información y del Conocimiento, en el marco de la legislación del Estado.

La Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía, señala en su artículo 7.2 que los principios que rigen las relaciones que mantenga la Administración de la Junta de Andalucía con la ciudadanía y con otras Administraciones Públicas a través de redes abiertas de telecomunicación son los de simplificación y agilización de trámites, libre acceso, accesibilidad universal y confidencialidad en el tratamiento de la información, y de seguridad y autenticidad en orden a la identificación de las partes y el objeto de la comunicación. Para ello, establece que estos sistemas deben de cumplir con el requisito de existencia de medidas de seguridad que eviten la interceptación y alteración de las comunicaciones, así como los accesos no autorizados.

Por otra parte, la Resolución de 27 de septiembre de 2004, de la Secretaría General para la Administración Pública, por la que se establece el manual de comportamiento de los empleados públicos en el uso de los sistemas informáticos y redes de comunicaciones de la Administración de la Junta de Andalucía, define el uso correcto de equipos, servicios e instalaciones, lo que se considerará uso indebido y la responsabilidad del personal con respecto al cumplimiento o violación de estas normas.

La entonces Consejería de Innovación, Ciencia y Empresa puso en marcha, en el año 2007, un programa de seguridad de los sistemas de información denominado «Programa Alcazaba», que tenía como objetivo final la elaboración de un Plan Director de Seguridad para la Administración de la Junta de Andalucía. Las actuaciones realizadas en el marco de ese programa sirvieron para diseñar el Acuerdo de 16 de noviembre de 2010, del Consejo de Gobierno, por el que se aprobó el Plan Director de Seguridad de los Sistemas de Información y Telecomunicaciones de la Administración de la Junta de Andalucía (2010-2013).

Este Plan contenía entre sus medidas el desarrollo y aprobación de un marco normativo de seguridad para la Administración de la Junta de Andalucía, contemplando concretamente la aprobación de un documento de política de seguridad que había de mostrar el compromiso expreso del Gobierno Andaluz con la gestión de la seguridad, sus objetivos y principios básicos, el marco de referencia común y la descripción de la estructura organizativa en la que se apoyará el gobierno de la seguridad en la Administración de la Junta de Andalucía.

La ejecución de dicha medida derivó en la elaboración y aprobación del Decreto 1/2011, de 11 de enero, por el que se establecía la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.

La experiencia adquirida durante estos años ha venido a ratificar la necesidad de reforzar el gobierno de la seguridad TIC en la Administración de la Junta de Andalucía, en línea con los estándares nacionales e internacionales en la materia, tal y como vienen haciendo las organizaciones con más experiencia en gestión de la seguridad.

Vistos los antecedentes mencionados, la modificación que se plantea del Decreto 1/2011, de 11 de enero, se basa, fundamentalmente, en introducir cambios en la organización corporativa de la seguridad TIC, potenciando la estructura de gobierno mediante la definición de atribuciones específicas a las Consejerías en relación con su propia seguridad y con la de las entidades vinculadas o dependientes de ellas, clarificando la aplicación del principio de función diferenciada y delimitando las funciones que deben desempeñar las distintas áreas implicadas en el mantenimiento de la seguridad, en línea con los perfiles con responsabilidad en seguridad definidos en el Real Decreto 3/2010, de 8 de enero.

De acuerdo con el artículo 5 de la Ley 12/2007, de 26 de noviembre, para la promoción de la igualdad de género en Andalucía, este Decreto integra el principio de igualdad de género de forma transversal en su elaboración, garantizando con ello un impacto positivo en la igualdad de oportunidades entre mujeres y hombres.

En virtud de lo anterior, oído el Comité de Seguridad de TIC de la Junta de Andalucía, a propuesta de la Consejería de Empleo, Empresa y Comercio, de conformidad con el artículo 21.3 de la Ley 6/2006, de 24 de octubre, del Gobierno de la Comunidad Autónoma de Andalucía, en el ejercicio de las atribuciones conferidas por el artículo 27.9 de la citada Ley, y previa deliberación del Consejo de Gobierno en su sesión del día 6 de junio de 2017,

DISPONGO

Artículo único. Modificación del Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.

El Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, queda modificado como sigue:

Uno. Se modifica el apartado 1 y se elimina el apartado 2 del artículo 1, que queda redactado como sigue:

«Artículo 1. Objeto.

El presente Decreto tiene por objeto definir y regular la política de seguridad de las tecnologías de la información y comunicaciones de la Administración de la Junta de Andalucía, conformando, junto a las disposiciones y documentos técnicos que la desarrollen, el marco regulador de seguridad TIC.»

Dos. Se modifica el apartado 1 y se elimina el apartado 2 del artículo 2, que queda redactado como sigue:

«Artículo 2. Definiciones.

A los efectos previstos en este Decreto, las definiciones han de ser entendidas en el sentido indicado en el Glosario de términos incluido como Anexo I.»

Tres. Se modifica el artículo 6, que queda redactado como sigue:

«Artículo 6. Organización de la seguridad TIC.

1. La preservación de la seguridad TIC será considerada objetivo común de todas las personas al servicio de la Administración de la Junta de Andalucía, siendo éstas responsables del uso correcto de los activos de tecnologías de la información y comunicaciones puestos a su disposición.

2. La organización de la seguridad TIC en la Administración de la Junta de Andalucía se conforma mediante la siguiente estructura:

a) Organización corporativa:

1.º Comité de Seguridad TIC de la Junta de Andalucía y su Grupo de Respuesta a Incidentes.

2.º Unidad de Seguridad TIC Corporativa.

3.º Grupo de Personas Expertas en Seguridad TIC.

b) Organización en Consejerías:

1.º Comité de Seguridad TIC.

2.º Unidad de Seguridad TIC.

c) Organización en entidades vinculadas o dependientes:

1.º Comité de Seguridad TIC.

2.º Responsable de Seguridad TIC.

3. El modelo organizativo establecido en el apartado anterior tiene el carácter de mínimo, pudiendo cada Consejería y entidad incluida en el ámbito de aplicación del Decreto crear comités o perfiles con responsabilidad en seguridad adicionales para una mejor consecución de los objetivos y principios del Decreto, en el marco de lo establecido en el Real Decreto 3/2010, de 8 de enero.»

Cuatro. Se modifican los apartados 2 y 4 y se elimina el apartado 6 del artículo 7, que queda redactado como sigue:

«Artículo 7. Comité de Seguridad TIC de la Junta de Andalucía.

1. Se crea en el seno de la Comisión Interdepartamental de la Sociedad de la Información de la Junta de Andalucía (CISI), como órgano colegiado de coordinación y gobierno en materia de seguridad en el ámbito de la Administración de la Junta de Andalucía, el Comité de Seguridad TIC de la Junta de Andalucía, al amparo de lo establecido en el artículo 7.7 del Decreto 166/2001, de 10 de julio, de coordinación de actuaciones para el desarrollo de la Sociedad de la Información.

2. El Comité estará formado por aquellas personas elegidas por la propia Comisión Interdepartamental de la Sociedad de la Información de la Junta de Andalucía entre las personas que la componen, debiendo tener representación de todas las Consejerías de la Administración de la Junta de Andalucía. Formará parte también del Comité la persona titular de la Dirección General competente en la coordinación de la evaluación de las necesidades de protección contra riesgos de intrusión en los edificios públicos de la Administración de la Junta de Andalucía. La presidencia recaerá en la persona titular del centro directivo de mayor rango con competencias en la coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones de la Administración de la Junta de Andalucía, y la secretaría recaerá en la persona titular del Servicio que tenga asignadas las funciones de la Unidad de Seguridad TIC corporativa.

3. Serán funciones propias del Comité:

a) Definición, aprobación y seguimiento de los objetivos, iniciativas y planes estratégicos en seguridad TIC.

b) Velar por la disponibilidad de los recursos necesarios para desarrollar las iniciativas y planes estratégicos definidos y proponer a la Unidad de Seguridad TIC Corporativa la realización de los procedimientos de compra centralizada de productos y servicios corporativos de seguridad TIC, en aquellos supuestos en que se determine su conveniencia en razón a criterios de oportunidad, eficacia y de economías de escala.

c) Elevación de propuestas de revisión del marco normativo de seguridad TIC al órgano competente para su reglamentaria tramitación.

d) Establecimiento de directrices comunes y supervisión del cumplimiento de la normativa en materia de seguridad TIC.

e) Supervisión del nivel de riesgo y toma de decisiones en la respuesta a incidentes de seguridad TIC que afecten a los activos TIC.

f) Definición y aprobación del modelo de relación con los Comités de Seguridad TIC de las Consejerías y entidades incluidas en el ámbito de aplicación de este Decreto.

g) Promoción de la educación, entrenamiento y concienciación sobre las medidas legales y organizativas relativas a la Seguridad TIC entre el personal de la Administración Pública.

4. El Comité se reunirá al menos una vez por semestre y se regirá por este Decreto y por las normas sobre los órganos colegiados que contiene la Sección 1.ª del Capítulo II del Título IV de la Ley 9/2007, de 22 de octubre, así como por la normativa de carácter básico, establecida en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

5. El Comité nombrará un Grupo de Respuesta a Incidentes TIC cuya función será la toma urgente de decisiones en caso de contingencia grave que afecte a la seguridad de sistemas de información críticos de la Administración de la Junta de Andalucía.»

Cinco. Se modifica el artículo 8, que queda redactado como sigue:

«Artículo 8. Unidad de Seguridad TIC Corporativa de la Junta de Andalucía.

1. La Dirección General competente en materia de coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones de la Administración de la Junta de Andalucía contará con una Unidad de Seguridad TIC Corporativa, cuyas funciones se asignarán a una unidad administrativa con nivel orgánico mínimo de Servicio.

2. La Unidad de Seguridad TIC Corporativa tendrá las siguientes atribuciones:

a) Labores de soporte, asesoramiento e información al Comité de Seguridad TIC de la Junta de Andalucía y su Grupo de Respuesta a Incidentes TIC, así como de ejecución de las decisiones y acuerdos adoptados.

b) Diseño y ejecución de los programas de actuación de carácter horizontal, así como la dirección de los proyectos y servicios corporativos de seguridad TIC.

c) Desarrollo, mantenimiento y supervisión del marco regulador de seguridad TIC.

d) Generación y supervisión de criterios y directrices corporativas de gestión de la seguridad TIC.

e) Recogida sistemática de información y supervisión del estado de las principales variables de seguridad TIC de la Administración de la Junta de Andalucía, mediante el reflejo, cuando proceda, de los datos referidos a personas desagregados por sexo.

f) Coordinación y seguimiento de la actividad de las Unidades de Seguridad TIC de las Consejerías.

g) Realización de los procedimientos de compra centralizada de productos y servicios corporativos de seguridad TIC a propuesta del Comité de Seguridad TIC en aquellos supuestos en que se determine su conveniencia en razón a criterios de oportunidad, eficacia y de economías de escala.

h) Realización de auditorías técnicas y de cumplimiento normativo, en aquellos supuestos en que se determine su conveniencia en razón a criterios de oportunidad, eficacia, eficiencia y de economías de escala.

i) Representación de la Administración de la Junta de Andalucía ante los foros y agentes de relevancia del sector.

j) Coordinación del Grupo de Personas Expertas en Seguridad TIC.

k) Y cuantas otras le sean encomendadas por la Dirección General competente en materia de coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones.»

Seis. Se modifican los apartados 1, 2 y 3 del artículo 9, que queda redactado como sigue:

«Artículo 9. Grupo de Personas Expertas en Seguridad TIC de la Junta de Andalucía.

1. Las personas que componen el Grupo de Personas Expertas en Seguridad TIC serán nombradas o cesadas por la Dirección General competente en materia de coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones de la Administración de la Junta de Andalucía, a propuesta de las personas titulares de los centros directivos presentes en el Comité de Seguridad TIC. Estas personas serán personal de la Administración Pública de la Junta de Andalucía y podrán estar adscritas a cualquier Consejería o entidad incluidas en el ámbito de aplicación del presente Decreto.

2. El Grupo actuará como equipo técnico consultivo, mediante la redacción de informes y asesoramiento verbal, en la definición de los programas de actuación de carácter horizontal y se reunirá previa convocatoria de la persona responsable de la Unidad de Seguridad TIC Corporativa.

3. Las personas titulares de los centros directivos que forman parte del Comité de Seguridad TIC serán responsables de mantener actualizada su lista de personas expertas en el Grupo en el caso de producirse cambios en la organización institucional o ante cambios de puesto de trabajo u Organismo.

4. En la composición del Grupo de Personas Expertas en Seguridad TIC, ha de garantizarse, en la medida de lo posible, la representación equilibrada de mujeres y hombres, conforme a lo establecido en el artículo 19.2 de la Ley 9/2007, de 22 de octubre, y a la definición de representación equilibrada contenida en el artículo 3.3 de la Ley 12/2007, de 26 de noviembre, para la Promoción de la Igualdad de Género en Andalucía.»

Siete. Se modifica el artículo 10, que queda redactado como sigue:

«Artículo 10. Documento de Política de Seguridad TIC y Comité de Seguridad TIC.

1. Sin perjuicio de las directrices establecidas en el marco regulador de seguridad TIC de la Administración de la Junta de Andalucía, cada Consejería y entidad incluida en el ámbito de aplicación del presente Decreto deberá disponer formalmente de su propio documento de política de seguridad TIC, así como de las disposiciones de desarrollo que adecuen, en su caso, las directrices comunes de la Administración de la Junta de Andalucía a sus particularidades. Asimismo, cada Consejería y entidad deberá contar con un Comité de Seguridad TIC, que no tendrá carácter colegiado y que actuará como órgano de dirección y seguimiento en materia de seguridad de los activos TIC de su titularidad o cuya gestión tenga encomendada.

2. El documento de política de seguridad TIC será aprobado por la persona titular de la Consejería o entidad correspondiente y se plasmará en los términos descritos en el Real Decreto 3/2010, de 8 de enero, debiendo hacer referencia y ser coherente con lo establecido en el documento de seguridad que exige el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

3. El documento de política de seguridad TIC de las Consejerías y sus documentos complementarios también serán de obligado cumplimiento para sus entidades vinculadas o dependientes.

4. El documento de política de seguridad TIC deberá recoger la composición, atribuciones, y funcionamiento del Comité de Seguridad TIC y del resto de perfiles con responsabilidad en seguridad, incluyendo, en su caso, los recogidos en el Real Decreto 3/2010, de 8 de enero, definiendo para cada uno de ellos, los deberes y responsabilidades del cargo, así como el procedimiento para su designación y renovación.

5. Los Comités de Seguridad TIC de las Consejerías articularán los mecanismos de colaboración y coordinación necesarios con los de sus entidades vinculadas o dependientes.

6. Las atribuciones de los Comités de Seguridad TIC de las entidades vinculadas o dependientes podrán ser asumidas por los comités de dirección existentes en dichas entidades, lo cual deberá ser recogido expresamente en el correspondiente documento de política de seguridad TIC.

7. En la composición de estos comités ha de garantizarse, en la medida de lo posible, la representación paritaria de mujeres y hombres, conforme a lo establecido en el artículo 19.2 de la Ley 9/2007, de 22 de octubre.»

Ocho. Se modifica el artículo 11, que queda redactado como sigue:

«Artículo 11. Gestión de la seguridad TIC.

1. Cada Consejería contará con una Unidad de Seguridad TIC, garantizando el principio de función diferenciada recogido en el artículo 5.j), que ejerza las funciones de responsabilidad de seguridad TIC de la Consejería, debiendo ser nombrada por el Comité de Seguridad TIC de la misma. La Unidad de Seguridad TIC tendrá las siguientes atribuciones:

a) Labores de soporte, asesoramiento e información al Comité de Seguridad TIC de la Consejería, así como de ejecución de las decisiones y acuerdos adoptados por éste.

b) Diseño y ejecución de los programas de actuación propios de la Consejería, incluyendo, entre otros, planes directores de seguridad, proyectos de desarrollo normativo, auditorías de cumplimiento y planes de adecuación legal.

c) Definición, implantación y mantenimiento de los controles de carácter organizativo para la protección de los datos, aplicaciones y sistemas, así como la realización y mantenimiento de los análisis de riesgos de la Consejería.

d) Supervisión sistemática de los controles de carácter procedimental, operacional y medidas técnicas de protección de los datos, aplicaciones y sistemas de la Consejería.

e) Definición y supervisión de los criterios y requisitos técnicos de seguridad aplicados en las distintas fases del ciclo de vida de los soportes, sistemas y aplicaciones de la Consejería por parte de los Servicios o Departamentos responsables de la prestación de los servicios de tecnologías de la información y comunicaciones. Antes de la puesta en producción de nuevos sistemas de información o de evolutivos de los existentes, la Unidad de Seguridad TIC deberá evaluar los aspectos de seguridad y comunicar los posibles riesgos al centro o centros directivos responsables de la información y del servicio.

f) Definición y ejecución de los programas formativos y de concienciación relacionados con buenas prácticas de seguridad TIC en el ámbito de la Consejería, procurando promover, en el proceso de selección de las personas participantes en estos programas, la concurrencia de mujeres.

g) Coordinación, dirección y seguimiento de la actividad en materia de seguridad TIC de las entidades vinculadas o dependientes de la Consejería.

h) Aplicación de los criterios y directrices de gestión de la seguridad TIC emanadas de la Unidad de Seguridad TIC Corporativa.

i) Y cuantas otras le sean encomendadas por el órgano directivo de la Consejería del que dependa funcional u orgánicamente.

2. Las entidades vinculadas o dependientes contarán, al menos, con una persona Responsable de Seguridad TIC que será nombrada por el Comité de Seguridad TIC de las mismas y que tendrá las siguientes atribuciones:

a) Labores de soporte, asesoramiento e información al Comité de Seguridad TIC de la entidad, así como de ejecución de las decisiones y acuerdos adoptados por éste.

b) Diseño y ejecución de los programas de actuación propios de la entidad, incluyendo, entre otros, planes directores de seguridad, proyectos de desarrollo normativo, auditorías de cumplimiento y planes de adecuación legal.

c) Definición, implantación y mantenimiento de los controles de carácter organizativo para la protección de los datos, aplicaciones y sistemas, así como la realización y mantenimiento de los análisis de riesgos de la entidad.

d) Definición y ejecución de los programas formativos y de concienciación relacionadas con buenas prácticas de seguridad TIC en el ámbito de la entidad, procurando promover, en el proceso de selección de las personas participantes en estos programas, la concurrencia de mujeres.

e) Aplicación de los criterios y directrices de gestión de la seguridad TIC emanadas de la Unidad de Seguridad TIC de la Consejería de la que dependa la entidad.

3. La persona responsable de la Unidad de Seguridad TIC de las Consejerías y, en su caso, la persona Responsable de Seguridad TIC de las entidades vinculadas o dependientes tendrá la condición de Responsable de Seguridad, en los términos establecidos en el Real Decreto 3/2010, de 8 de enero, y en el Real Decreto 1720/2007, de 21 de diciembre, en caso de que dicha designación fuera única para todos los sistemas, ficheros o tratamientos de datos de carácter personal. En caso de que fuesen varias las personas designadas, la persona responsable de la Unidad de Seguridad TIC tendrá atribuciones de coordinación y dirección de la labor desempeñada por el resto de personas responsables de seguridad designadas.»

Nueve. Se modifica el título del Capítulo IV, que queda redactado como sigue:

«CAPÍTULO IV

Operación de la seguridad TIC»

Diez. Se modifica el artículo 12, que queda redactado como sigue:

«Artículo 12. Operación de la seguridad TIC.

1. La Consejería competente en materia de coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones desarrollará acciones centralizadas de prevención, detección y respuesta a incidentes en el ámbito de la Administración de la Junta de Andalucía. Tales acciones serán llevadas a cabo a través de AndalucíaCERT, centro especializado y orientado a la prevención, detección y respuesta a incidentes y amenazas de seguridad.

2. Los Servicios o Departamentos responsables de la prestación de los servicios de tecnologías de la información y comunicaciones de las Consejerías y entidades incluidas en el ámbito de aplicación del presente Decreto, deberán realizar la implantación y mantenimiento de los controles de carácter procedimental y operacional, así como de las medidas técnicas de protección de los datos, aplicaciones y sistemas de información en los términos previstos en el Anexo II del Real Decreto 3/2010, de 8 de enero, y, en su caso, en la normativa vigente en materia de protección de datos personales en lo referente a la adopción de medidas de seguridad específicas. Asimismo, dichos Servicios o Departamentos deberán velar por el cumplimiento de los términos previstos en la Política de seguridad TIC de la Junta de Andalucía y, en su caso, de la de su propia entidad o de la de su organismo de adscripción.»

Once. Se elimina el Anexo II.

Doce. Se incluyen una disposición adicional primera y una disposición adicional segunda con la siguiente redacción:

«Disposición adicional primera. Marco regulador de seguridad TIC.

1. El marco regulador de seguridad TIC se conformará por las siguientes disposiciones y documentos:

a) Decreto 1/2011, de 11 de enero, y sus Órdenes de desarrollo.

b) Resoluciones de la Dirección General competente en materia de coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones de la Administración de la Junta de Andalucía.

c) Documentos técnicos, que se agruparán en las categorías de procedimientos y guías técnicas.

2. La Consejería competente en materia de coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones pondrá en marcha las acciones necesarias para dar a conocer y formar en el cumplimiento del marco regulador de seguridad TIC a las Consejerías y entidades incluidas en el ámbito de aplicación de este Decreto.

Disposición adicional segunda. Servicio Andaluz de Salud y Servicio Andaluz de Empleo.

Las disposiciones relativas a Consejerías contenidas en los artículos 6.2.b y 11.1, específicamente, en lo referente a la Unidad de Seguridad TIC, también serán de obligado cumplimiento para el Servicio Andaluz de Salud y el Servicio Andaluz de Empleo.»

Disposición adicional única. Disponibilidades presupuestarias ordinarias.

1. Las Consejerías y entidades incluidas en el ámbito de aplicación de este Decreto deberán desarrollar las medidas derivadas de su cumplimiento ateniéndose a sus disponibilidades presupuestarias ordinarias.

2. Las obligaciones derivadas de todas las actuaciones que se desarrollen en el ámbito de la política de seguridad de las TIC en la Administración de la Junta de Andalucía deberán ser asumidas por los distintos centros directivos gestores de las mismas, de acuerdo a la envolvente que les sea asignada, dentro de las disponibilidades presupuestarias de la Junta de Andalucía.

3. Para posibilitar la ejecución práctica de algunas de las previsiones organizativas de este Decreto y en línea con lo exigido por la normativa estatal en cuanto a diferenciación de funciones, deberá procederse, en su caso, a realizar las reorganizaciones y reasignaciones de puestos que sean necesarias para que la Unidad de Seguridad TIC y el responsable de seguridad TIC dispongan de los perfiles profesionales necesarios y cumplan el principio de función diferenciada.

Disposición transitoria única. Adecuación normativa.

Las Consejerías y entidades incluidas en el ámbito de aplicación del Decreto 1/2011, de 11 de enero, dispondrán de un plazo de seis meses, contados a partir de la fecha de entrada en vigor del presente Decreto, para la adecuación a lo dispuesto en el mismo.

Disposición final primera. Desarrollo y ejecución.

Se faculta a la persona titular de la Consejería competente en materia de coordinación y ejecución de las políticas de seguridad de los sistemas de información y telecomunicaciones de la Administración de la Junta de Andalucía para dictar cuantas disposiciones sean precisas para el desarrollo y ejecución de lo previsto en el Decreto.

Disposición final segunda. Entrada en vigor.

El presente Decreto entrará en vigor el mismo día de su publicación en el Boletín Oficial de la Junta de Andalucía.

Sevilla, 6 de junio de 2017

	SUSANA DÍAZ PACHECO
	Presidenta de la Junta de Andalucía
JOSÉ SÁNCHEZ MALDONADO
Consejero de Empleo, Empresa y Comercio

Descargar PDF