Articulo 16 de Política de seguridad de los sistemas de información de la Secretaría de Estado de Presupuestos y Gastos y de la Intervención General de la Administración del Estado

La PSI regulada en esta resolución será desarrollada y complementada, constituyendo lo que se denominará en adelante normativa de seguridad de la Administración presupuestaria.

La normativa de seguridad de la información se desarrollará en cuatro niveles, estableciendo un orden jerárquico y de dependencia entre ellos, y deberá estar a disposición de todos los miembros de la organización que necesiten conocerla. Dichos niveles de desarrollo normativo son los siguientes:

1. Primer nivel normativo constituido por la PSI del departamento ministerial al que pertenece la Administración presupuestaria.

2. Segundo nivel normativo constituido por la PSI de la Administración presupuestaria, además de la normativa y recomendaciones de seguridad que se definan en este ámbito organizativo.

3. Tercer nivel normativo formado por los procedimientos, guías e instrucciones técnicas orientadas a la aplicación e instrumentación de las medidas de seguridad en el desarrollo, mantenimiento y explotación de los sistemas de información.

La aprobación de estos procedimientos técnicos corresponderá a los SIP.

4. Cuarto nivel normativo constituido por los informes que recojan las conclusiones, observaciones y recomendaciones de una auditoría, estudio o evaluación de seguridad; registros de actividad o alertas de seguridad que informen de amenazas y vulnerabilidades que afecten a los sistemas de información, y las evidencias electrónicas que se generan durante todas las fases del ciclo de vida de los sistemas de información y en sus distintos procesos, pudiendo abarcar uno o más sistemas en función del aspecto tratado.