Gobierno de Canarias

Comunidad Autónoma de Canarias

Boletín Oficial de Canarias

Estás en:

BOC Nº 107. Jueves 6 de junio de 2019 - 2818

ATENCION. La versión HTML de este documento no es oficial. Para obtener una versión oficial, debe descargar el archivo en formato PDF.

I. DISPOSICIONES GENERALES - Consejería de Educación y Universidades

2818 ORDEN de 21 de mayo de 2019, por la que se aprueba la política de seguridad de la información de esta Consejería en el ámbito de la administración electrónica.

14 páginas. Formato de archivo en PDF/Adobe Acrobat. Tamaño: 456.36 Kb.
BOC-A-2019-107-2818. Firma electrónica - Descargar

En los últimos años el ordenamiento jurídico, tanto estatal como autonómico, ha ido incorporando un conjunto de políticas públicas que, relacionadas intrínsecamente con el propio funcionamiento de la Administración y que por ello pueden ser calificadas de instrumentales, tienen todas ellas por finalidad conformar un nuevo modelo de relación del sector público con la ciudadanía que redunde en una prestación de servicios públicos de mayor calidad, más eficaz y eficiente, y adaptado a los nuevos entornos relacionales, como es la relación con la Administración a través de medios digitales, sirviendo mejor a los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia.

La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados y recoge el Esquema Nacional de Seguridad en su artículo 156.

La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13 sobre derechos de las personas en sus relaciones con las Administraciones Públicas el relativo a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

Los ciudadanos deben confiar en que los servicios públicos disponibles por medios electrónicos se presten en unas condiciones de seguridad equivalentes a las que encuentran cuando se acercan personalmente a las oficinas de la Administración.

El Esquema Nacional de Seguridad (ENS) aprobado por el Real Decreto 3/2010, de 8 de enero, regula la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos y determina los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información.

El ENS señala en su artículo 11 que todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente.

El marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias ha sido determinado por Orden de 31 de julio de 2013, del Consejero de Presidencia, Justicia e Igualdad. En su artículo 2, señala que cada organismo incluido en el ámbito de la aplicación de la Orden deberá desarrollar y aprobar el documento de política seguridad de la información en el ámbito de la administración electrónica del organismo, así como las normas y procedimientos que adecuen, en su caso, el marco común y las directrices básicas en la Administración Pública de la Comunidad Autónoma de Canarias a sus particularidades y determina que su aprobación se realizará mediante orden del titular de la consejería correspondiente o resolución del órgano competente de la entidad pública u organismo autónomo, que deberá publicarse en el Boletín Oficial de Canarias.

Por otra parte debe señalarse que la redacción de la presente Orden se ha adecuado a la normativa vigente en materia de impacto de género, en el sentido de lo establecido en el apartado 11 del artículo 14 de la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres (BOE nº 71, de 23.3.07), así como en el apartado 10 del artículo 4 de la Ley 1/2010, de 26 de febrero, Canaria de Igualdad entre Mujeres y Hombres (BOC nº 45, de 5.3.10).

Por todo ello, visto el informe de iniciativa de la Secretaria General Técnica de la Consejería de Educación y Universidades, y en el ejercicio de las competencias atribuidas,

D I S P O N G O:

Artículo 1.- Objeto y ámbito de aplicación.

1. La presente Orden tiene por objeto establecer y aprobar la Política de Seguridad de la Información, en adelante, PSI, de la Consejería de Educación y Universidades, en el ámbito de la administración electrónica.

2. La política de Seguridad aprobada se aplicará a todos los servicios, aplicaciones o sistemas de la Consejería de Educación y Universidades, por los órganos y unidades centrales y territoriales de este organismo y por todo el personal destinado en dichos órganos y unidades, así como por el personal de otros organismos o entidades que haya sido autorizado para acceder a los sistemas de información incluidos en su ámbito de aplicación.

3. Así mismo, esta PSI debe ser observada por las personas físicas, jurídicas y entes sin personalidad en sus relaciones con las entidades anteriores cuando procedan al uso de sus sistemas de información.

Artículo 2.- Misión del Departamento.

Es misión de la Consejería de Educación y Universidades la propuesta y ejecución de las directrices del Gobierno de Canarias y de la gestión de los servicios y competencias en materia de educación y universidades, conforme a su Reglamento Orgánico, así como la gestión y administración de los centros públicos educativos no universitarios de Canarias.

Artículo 3.- Principios de la PSI.

Sin perjuicio de los principios básicos establecidos en el Esquema Nacional de Seguridad, la PSI del Departamento y sus organismos autónomos en el ámbito de la Administración electrónica se desarrollará, con carácter general, de acuerdo a los siguientes principios determinados en la Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la PSI en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias:

a) Principio de confidencialidad: los sistemas de información deberán ser accesibles únicamente para aquellas personas usuarias, órganos y entidades o procesos expresamente autorizados para ello, con respeto a las obligaciones de secreto y sigilo profesional.

b) Principio de integridad y calidad: se deberá garantizar el mantenimiento de la integridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que los procesos de creación, tratamiento, almacenamiento y distribución de la información contribuyen a preservar su exactitud y corrección.

c) Principio de disponibilidad y continuidad: se garantizará un alto nivel de disponibilidad en los sistemas de información y se dotarán de los planes y medidas necesarias para asegurar la continuidad de los servicios y la recuperación ante posibles contingencias graves.

d) Principio de gestión del riesgo: se deberá articular un proceso continuo de análisis y tratamiento de riesgos como mecanismo básico sobre el que debe descansar la gestión de la seguridad de los sistemas de información.

e) Principio de proporcionalidad en coste: la implantación de medidas que mitiguen los riesgos de seguridad de los sistemas de información deberá hacerse bajo un enfoque de proporcionalidad en los costes económicos y operativos.

f) Principio de concienciación y formación: se articularán iniciativas que permitan a las personas usuarias conocer sus deberes y obligaciones en cuanto al tratamiento seguro de la información. De igual forma, se fomentará la formación específica en materia de seguridad TIC de todas aquellas personas que gestionan y administran sistemas de información y telecomunicaciones.

g) Principio de prevención: se desarrollarán planes y líneas de trabajo específicas orientadas a prevenir fraudes, incumplimientos o incidentes relacionados con la seguridad TIC.

h) Principio de mejora continua: se revisará el grado de eficacia de los controles de seguridad TIC implantados, al objeto de adecuarlos a la constante evolución de los riesgos y del entorno tecnológico de la Administración Pública de la Comunidad Autónoma de Canarias.

i) Principio de seguridad TIC en el ciclo de vida de los sistemas de información: las especificaciones de seguridad se incluirán en todas las fases del ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.

j) Principio de función diferenciada: la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

Artículo 4.- Definiciones.

A los efectos previstos en esta Orden, las definiciones, palabras, expresiones y términos han de ser entendidos en el siguiente sentido:

Gestión de riesgos: actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos.

Infraestructura tecnológica: aquellos recursos físicos y lógicos, sobre los que se soportan los sistemas de información.

Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.

Sistema de Información: conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

Sistemas de Información propios: aquellos sistemas de información cuyo ámbito de aplicación es específico para un área concreta y su gestión pertenece a esta Consejería.

Artículo 5.- Marco normativo.

El marco normativo para el desarrollo de la gestión de los servicios y competencias de la Consejería es el siguiente:

a) Decreto 135/2016, de 10 de octubre, por el que se aprueba el Reglamento Orgánico de la Consejería de Educación y Universidades.

b) Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

c) Orden de 31 de julio de 2013, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias.

d) Decreto 19/2011, de 10 de febrero, por el que se regula la utilización de los medios electrónicos en la Administración Pública de la Comunidad Autónoma de Canarias.

e) Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

f) Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

g) Ley Orgánica de protección de datos personales y garantía de los derechos digitales.

Artículo 6.- Organización de la gestión de la PSI.

La estructura organizativa de la gestión de la seguridad de la información en el ámbito de la Administración electrónica de la Consejería de Educación y Universidades, está compuesta por los siguientes agentes:

a) Comité para la Gestión y Coordinación de la Seguridad de la Información.

b) Responsables de la Información y responsables del servicio.

c) Responsable de Seguridad.

d) Responsable del Sistema.

e) Responsables de los tratamientos que contengan datos de carácter personal.

f) Administradores de la Seguridad del Sistema.

Artículo 7.- Comité para la Gestión y Coordinación de la Seguridad de la Información.

1. Se crea el Comité para la Gestión y Coordinación de la Seguridad de la Información, como un grupo de trabajo en el seno del Departamento y sus organismos autónomos, que estará constituido por los siguientes miembros.

a) Presidencia: la persona designada como Responsable de Seguridad.

b) Secretaría: una persona con vínculo funcionarial del Departamento, perteneciente a la Secretaría General Técnica, designado por la Presidencia, que actuará con voz y sin voto.

c) Vocalías: las personas titulares de las Direcciones Generales, órganos superiores en los que estructura el Departamento, y el Responsable del Sistema.

2. El Comité ajustará su funcionamiento a las previsiones contenidas en la legislación en materia de régimen jurídico del Sector Público y del Procedimiento Administrativo Común.

3. El Comité se reunirá con carácter ordinario una vez al año y con carácter extraordinario a propuesta de su Presidencia. Las reuniones se realizarán en horario de trabajo y, cuando proceda, por videoconferencia. No se percibirán indemnizaciones en concepto de asistencia por concurrencia al Comité.

4. El Comité podrá recabar de personal técnico la información o asesoramiento pertinente para el ejercicio de sus funciones. En caso necesario este personal podrá ser convocado por el Comité para su asistencia a las reuniones, en calidad de asesores, con voz pero sin voto.

5. Podrá acordarse la constitución de subgrupos de trabajo para el análisis, elaboración y ejecución de trabajos o actividades específicas, dentro del ámbito de sus funciones.

Artículo 8.- Funciones del Comité para la Gestión y Coordinación de la Seguridad de la Información.

Al Comité para la Gestión y Coordinación de la Seguridad de la Información le corresponden, como mínimo, las siguientes funciones:

a) Elaborar los borradores de modificación y actualización de la PSI.

b) Analizar los riesgos e impulsar su evaluación.

c) Aprobar y revisar el informe de Análisis de Riesgos realizado por el Responsable de Seguridad.

d) Impulsar la actualización de los criterios y directrices sobre seguridad de la información.

e) Impulsar medidas para mejorar y reforzar los sistemas de seguridad y control.

f) Impulsar el cumplimiento y difusión de la PSI, promoviendo las actividades de concienciación y formación en materia de seguridad para el personal del departamento, entidad de derecho público u organismo autónomo.

g) Elaborar los borradores de directrices y normas de seguridad generales para todo el departamento, entidad de derecho público u organismo autónomo que deberá cumplir el marco normativo de la presente Orden.

h) Elaborar la normativa de seguridad de segundo nivel, que se corresponde con las políticas específicas de seguridad y con las Normas de Seguridad TIC (en adelante, Normas STIC), de obligado cumplimiento.

i) Coordinar las decisiones y actuaciones de los diferentes Responsables de Seguridad, asesorando la resolución de los posibles conflictos entre los mismos bajo el criterio de garantizar la seguridad de las infraestructuras tecnológicas compartidas.

j) Impulsar los proyectos para la adecuación al cumplimiento del Esquema Nacional de Seguridad.

k) Compartir experiencias de éxito en materia de seguridad entre sus miembros para velar por el cumplimiento de la PSI y su normativa de desarrollo.

l) Coordinar todas las actividades relacionadas con la seguridad de los sistemas de información.

Artículo 9.- Responsables de la Información y Responsables del Servicio.

1. Las funciones de los Responsables de la Información y de los Responsables del Servicio que establece el Esquema Nacional de Seguridad serán desempeñadas por los Directores Generales en el ámbito de sus competencias.

2. Para aquellos sistemas de información vinculados a la gestión propia de la Secretaría General Técnica, las funciones de Responsable de la Información y Responsable del Servicio serán desempeñadas por su titular.

3. Los servicios que se prestarán en el ámbito de la Administración electrónica de este Departamento, sus responsables, y los responsables de la Información de dichos servicios, se determinarán mediante Orden departamental posterior.

4. Son funciones de cada Responsable de la Información, dentro de su ámbito de actuación, establecer las necesidades de seguridad de la información que se maneja y efectuar las valoraciones del impacto que tendría un incidente que afectara a su seguridad. Tienen, además, la potestad de modificar el nivel de seguridad requerido para la misma.

5. Son funciones de cada Responsable del Servicio, dentro de su ámbito de actuación, determinar los requisitos de seguridad de los servicios prestados.

6. Para desarrollar estas funciones, los Responsables de la Información, junto a los Responsables del Servicio, contarán con la colaboración de los Gestores Responsables, que se corresponderán con los titulares de aquellas unidades a su cargo con rango de Servicio o equivalentes.

Artículo 10.- Responsable de Seguridad.

1. El Responsable de Seguridad se corresponde con la persona titular de la Viceconsejería de Educación y Universidades.

2. Conforme al artículo 10 del ENS, el Responsable de Seguridad es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

3. El Responsable de Seguridad podrá designar a un Responsable de Seguridad Delegado, que bajo su dependencia funcional, será responsable en su ámbito de todas aquellas acciones que le sean delegadas. Esta delegación de funciones en ningún caso supondrá la delegación de la responsabilidad.

Artículo 11.- Funciones del Responsable de Seguridad.

Al Responsable de Seguridad le corresponde coordinar de manera continua el desarrollo de la seguridad de la información en el ámbito de aplicación de la presente Orden, además de las siguientes funciones:

a) Promover la seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.

b) Proponer la normativa de seguridad de segundo nivel, que se corresponde con las políticas específicas de seguridad y con las Normas de Seguridad TIC (Normas STIC), de obligado cumplimiento.

c) Aprobar la normativa de seguridad de tercer nivel, que se corresponde a los procesos, procedimientos STIC e instrucciones técnicas STIC.

d) Procurar que la documentación de seguridad se mantenga organizada y actualizada, y de gestionar los mecanismos de acceso a la misma.

e) Promover las actividades de concienciación y formación en materia de seguridad en su ámbito de responsabilidad.

f) Realizar la coordinación y seguimiento de la implantación de los proyectos de adecuación al Esquema Nacional de Seguridad.

g) Realizar los preceptivos análisis de riesgos, de seleccionar las salvaguardas a implantar y de revisar el proceso de gestión del riesgo, elevando un informe anual al Comité.

h) Promover auditorías periódicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la información, y analizar los informes de auditoría, elaborando las conclusiones a presentar a los Responsables del Servicio y los Responsables de la Información para que adopten las medidas correctoras adecuadas.

i) Coordinar el proceso de Gestión de la Seguridad.

j) Firmar la Declaración de Aplicabilidad, que comprende la relación de medidas de seguridad seleccionadas para un sistema (artº. 27 y Anexo II.2 del ENS).

k) Elaborar informes periódicos de seguridad que incluyan los incidentes más relevantes de cada periodo.

l) Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del Real Decreto 3/2010, de 8 de enero, y las medidas de seguridad que deben aplicarse de acuerdo con lo previsto en el Anexo II del mismo Real Decreto.

Artículo 12.- Responsable del Sistema.

1. Será Responsable del Sistema la persona titular de la Secretaría General Técnica, al ser el órgano que ostenta las competencias en materia de informática y nuevas tecnologías, y por tanto en el desarrollo, mantenimiento, implantación y explotación de los sistemas de información que dan soporte a los servicios que presta el Departamento en el ámbito de la Administración Electrónica.

2. Son funciones del Responsable del Sistema las siguientes:

a) Implantar las medidas necesarias para garantizar la seguridad del sistema durante todo su ciclo de vida, siguiendo las indicaciones del Responsable de Seguridad.

b) Aprobar toda modificación sustancial de la configuración de cualquier elemento del sistema.

c) Suspender el manejo de una determinada información o la prestación de un servicio electrónico si es informado de deficiencias graves de seguridad, previo acuerdo con el Responsable de dicha información o servicio, y con el Responsable de Seguridad.

Artículo 13.- Responsables de los tratamientos que contengan datos de carácter personal.

Los responsables de tratamientos que contengan datos de carácter personal deberán cumplir con lo dispuesto en la normativa sobre protección de datos de carácter personal y el resto de disposiciones legales de aplicación. También deberán aplicar la PSI establecida en esta Orden y las normas de seguridad o procedimientos de seguridad que la desarrollen.

Artículo 14.- Administradores de la Seguridad del Sistema.

1. La administración de la Seguridad de los sistemas de información propios de esta Consejería, recaerá en el Área de Informática y Nuevas Tecnologías, unidad dependiente de la Secretaría General Técnica.

2. Las diferentes unidades que integran el Área de Informática y Nuevas Tecnologías, bajo la dirección de la persona titular de la Jefatura del Área, serán responsables de implementar y gestionar la seguridad de la información, dentro del marco de la PSI y de las normas de seguridad y procedimientos de seguridad que la desarrollen.

3. Serán funciones de los Administradores de la Seguridad del Sistema las siguientes:

a) La implementación, gestión y mantenimiento de las medidas de seguridad aplicables a los sistemas de información.

b) La gestión, configuración y actualización, en su caso, del hardware y software en los que se basan los mecanismos y servicios de seguridad de los sistemas de información.

c) La gestión de las autorizaciones concedidas a los usuarios del sistema.

d) La aplicación de los procedimientos operativos de seguridad de la información.

e) Aprobar los cambios de configuración de los Sistemas de Información.

f) Asegurar que los controles de seguridad establecidos son cumplidos estrictamente.

g) Asegurar que son aplicados los procedimientos aprobados para manejar los sistemas de información.

h) Supervisar la Infraestructura tecnológica, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.

i) Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de seguridad y mecanismos de auditoría técnica implementados en el sistema.

j) Informar al Responsable de Seguridad y del Sistema de cualquier anomalía, compromiso o vulnerabilidad relacionada con la seguridad.

k) Colaborar en la investigación y resolución de incidentes de seguridad, desde su detección hasta su resolución.

l) Participar en el diseño de los aspectos técnicos de los planes de contingencia, recuperación o continuidad.

m) Realizar pruebas de verificación de los planes de contingencia, recuperación o continuidad.

n) Asesorar en materia de seguridad de la información en lo relativo a su campo de actuación al Comité para la Gestión y Coordinación de la Seguridad de la Información, a las comisiones o comités sectoriales que pudiera existir, al Responsable del Sistema o al Responsable de Seguridad.

4. Estas funciones podrán ser desarrolladas directamente por los Administradores de la Seguridad del Sistema, también coordinando estos a otros empleados públicos o mediante la supervisión y control de contratos de prestación de servicios.

Artículo 15.- Obligaciones del personal.

1. Todo el personal que preste servicios en este Departamento, tiene la obligación de conocer y cumplir la PSI y la normativa de seguridad derivada, siendo responsabilidad del Comité disponer los medios necesarios para que la información esté disponible para los afectados y comunicar dicha disponibilidad.

2. Todas las personas que utilicen o tengan acceso a los sistemas tecnológicos o de información del Gobierno de Canarias en general y de la Consejería de Educación y Universidades en particular, así como a la información en ellos contenida, tienen las siguientes obligaciones:

a) Conocer y respetar la PSI, así como las normas de seguridad y procedimientos de seguridad que la desarrollen y que le afecten.

b) Asistir a las acciones de concienciación en materia de seguridad de la información que se realicen.

c) Utilizar los servicios y sistemas de información, así como la información en ellos contenida y a la que tengan acceso, con una finalidad profesional acorde a las tareas encomendadas en función de su puesto de trabajo y a los fines y propósitos que motivaron la concesión del acceso.

d) Velar por la confidencialidad de la información a la que tenga acceso según la clasificación y características de la misma.

e) Notificar eventos que puedan suponer un incidente de seguridad o evidencien una debilidad que pueda implicar posteriores incidentes.

f) Colaborar en la resolución de incidentes de seguridad y en la realización de acciones preventivas cuando sea necesaria su participación.

g) No realizar acciones intencionadas que perjudiquen la seguridad de los sistemas tecnológicos o de información, ni la información que contienen.

3. El incumplimiento de estas obligaciones podrá ser sancionado de conformidad con la normativa disciplinaria correspondiente.

4. En los centros públicos educativos dependientes de la Consejería de Educación y Universidades no se podrá hacer uso de sistemas de información para la prestación de servicios de Administración Electrónica diferentes a los proporcionados por la Consejería de Educación y Universidades o en su defecto por el Gobierno de Canarias.

5. En el caso de personas vinculadas a entidades externas, el uso se limitará a las tareas o actividades circunscritas en los términos del contrato o acuerdo que regula la relación entre esa entidad y la Consejería de Educación y Universidades.

Artículo 16.- Terceras partes.

1. Cuando se presten servicios a otros organismos o se ceda información a terceros:

a) Se les hará partícipes de la PSI y de las normas de seguridad o procedimientos de seguridad relacionados con el servicio o la información afectados.

b) Se establecerán canales de información y coordinación entre los respectivos responsables de gestión de la seguridad de la información y se establecerán procedimientos de seguridad para la reacción ante incidentes.

2. Cuando se utilicen servicios o se maneje información de otros organismos o entidades, se procurarán canales de información y coordinación en materia de seguridad de la información.

3. En los contratos de adquisición de sistemas o aplicaciones informáticas, de prestación de servicios tecnológicos, y también en el caso de contratos de prestación de servicios de otro tipo que implique el uso de servicios, aplicaciones o sistemas informáticos internos, se deberán tener en cuenta las medidas y consideraciones de seguridad de la información que resulten de aplicación, según la legislación vigente en la materia. También se deberán tener en cuenta las medidas y consideraciones de seguridad de la información que resulten de aplicación legal, en caso de acuerdos de cesión de sistemas, aplicaciones o acceso a servicios de otros organismos o entidades.

4. Cuando algún aspecto de la PSI no pueda ser satisfecho por una tercera parte, se requerirá del Responsable de Seguridad un informe sobre los riesgos en que se puede incurrir y la forma de tratarlos. A la vista de dicho informe y antes de que se haga efectiva la prestación, uso, acceso o cesión de que se trate, los responsables de la información o de los servicios afectados decidirán sobre la aceptación o no del riesgo residual.

Artículo 17.- Gestión de riesgos.

1. La gestión de riesgos es un factor esencial para una exitosa gestión de la seguridad de la información, y debe realizarse de manera continua sobre los sistemas de información, conforme a los principios de gestión de la seguridad basada en los riesgos (artículo 6 del Real Decreto 3/2010, de 8 de enero) y reevaluación periódica (artículo 9 del Real Decreto 3/2010, de 8 de enero).

2. El Responsable de Seguridad es el encargado del análisis de riesgos de los sistemas de información gestionados por el Departamento, y de seleccionar las salvaguardas a implantar. El informe del análisis será revisado y aprobado por el Comité para la Gestión y Coordinación de la Seguridad de la Información.

3. Los Responsables de la Información y del Servicio son los responsables de los riesgos sobre la información y sobre los servicios, respectivamente, y por tanto de aceptar los riesgos residuales calculados en el análisis, y de realizar su seguimiento y control.

4. El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse cada año por parte del Responsable de Seguridad, que elevará un informe al Comité para la Gestión y Coordinación de la Seguridad de la Información

Artículo 18.- Resolución de conflictos.

1. En caso de conflicto entre los diferentes responsables que componen la estructura organizativa de la PSI, este será resuelto por el superior jerárquico de los mismos. En su defecto, será resuelto por el titular del Departamento, oído el Comité para la Gestión y Coordinación de la Seguridad de la Información.

2. En caso de conflictos entre los responsables que componen la estructura organizativa de la PSI y los definidos en seguimiento de la normativa de protección de datos de carácter personal, prevalecerá la decisión que determine el responsable del tratamiento que presente un mayor nivel de exigencia respecto a la protección de los datos de carácter personal.

Artículo 19.- Auditoría.

1. Los sistemas de información propios de este Departamento serán objeto, al menos cada dos años, de una auditoría regular ordinaria interna o externa que verifique el cumplimiento de los requerimientos del Esquema Nacional de Seguridad. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad requeridas.

2. Los informes de auditoría quedarán a disposición del Comité para la Gestión y Coordinación de la Seguridad de la Información.

Artículo 20.- Formación y concienciación.

1. El Departamento deberá desarrollar actividades formativas específicas orientadas a la concienciación y formación de sus empleados públicos, así como a la difusión entre los mismos de la PSI y de su desarrollo normativo.

2. El Comité para la Gestión y Coordinación de la Seguridad de la Información y el Responsable de Seguridad se encargarán de promover las actividades de formación y concienciación en materia de seguridad.

Artículo 21.- Actualización de la PSI.

La propuesta de revisión de la PSI la elaborará el Responsable de Seguridad con el apoyo del Comité para la Gestión y Coordinación de la Seguridad de la Información y será aprobada por el titular del Departamento.

Disposición Adicional

Única.- Financiación de medidas de cumplimiento de PSI.

La aplicación de las previsiones contenidas en esta Orden, no supondrá incremento del gasto público. Por tanto, los órganos y entidades afectadas deberán desarrollar las medidas derivadas de su cumplimiento ateniéndose a sus disponibilidades presupuestarias ordinarias, no dando lugar, en ningún caso, a planteamientos de necesidades adicionales de financiación.

Disposiciones Finales

Primera.- Facultad para dictar instrucciones de interpretación y aplicación.

Se faculta a la persona titular de la Secretaría General Técnica para dictar las instrucciones que sean necesarias para la correcta interpretación y aplicación de la presente Orden.

Segunda.- Publicación.

Ordenar la publicación de esta Orden en el Boletín Oficial de Canarias de conformidad con lo dispuesto en el artº. 2.2 de la Orden de 31 de julio de 2013, de la Consejería de Presidencia, Justicia e Igualdad, por la que se establece el marco común y las directrices básicas de la política de seguridad de la información en el ámbito de la Administración Electrónica de la Administración Pública de la Comunidad Autónoma de Canarias. También se publicará en la sede electrónica de este organismo.

Tercera.- Entrada en vigor.

La presente Orden entrará en vigor el día siguiente de su publicación en el Boletín Oficial de Canarias.

Santa Cruz de Tenerife, a 21 de mayo de 2019.

LA CONSEJERA DE EDUCACIÓN

Y UNIVERSIDADES,

Soledad Monzón Cabrera.

© Gobierno de Canarias