Inicio
Articulo 14 de Política d...del Estado

Articulo 14 de Política de seguridad de los sistemas de información de la Secretaría de Estado de Presupuestos y Gastos y de la Intervención General de la Administración del Estado

Política de seguridad de los sistemas de información de la Secretaría de Estado de Presupuestos y Gastos y de la Intervención General de la Administración del Estado
Ver Indice
»

Décimocuarto. Gestión de riesgos.

Vigente
nuevo

GPT Iberley IA

Copiloto jurídico

El análisis y gestión de riesgos será parte esencial del proceso de seguridad, siendo la base para determinar las medidas de seguridad que se deben adoptar, además de los requerimientos mínimos establecidos por el ENS, la ESN y la ECN.

La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que representen un equilibrio, de acuerdo con la naturaleza de la información y los tratamientos, entre los riesgos a los que estén expuestos y el coste de las medidas de seguridad.

La gestión de riesgos debe realizarse de manera continua sobre el sistema de información, conforme a los principios de gestión de la seguridad basada en los riesgos, y se someterá a una reevaluación periódica.

Para la armonización de los análisis de riesgos se establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados. El Comité dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas.

El Responsable de Seguridad de la Información será el encargado de que el análisis se realice en tiempo y forma, así como de identificar carencias y debilidades y de ponerlas en conocimiento del Comité. El Comité adoptará las decisiones adecuadas de forma que los Responsables de Centro, independientemente del centro directivo al que pertenezcan, puedan aplicarlas.

Los Responsables de Centro son los propietarios de los riesgos sobre la información y sobre los servicios, respectivamente, siendo responsables de su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.

El proceso de gestión de riesgos comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, las cuáles deberán ser proporcionadas a los riesgos y estar justificadas. Con carácter bienal el Comité de coordinación de la seguridad de la información revisará y aprobará, en su caso, el análisis de riesgos presentado por el Responsable de Seguridad de la Información.