Artículo 11. Estructura normativa de la seguridad de la información.
Redacción vigente según el texto consolidado del BOE, en vigor desde el 2021-10-26.
Texto consolidado
1. El cuerpo normativo sobre seguridad de la información es de obligado cumplimiento y se podrá estructurar como máximo en los siguientes niveles relacionados jerárquicamente:
a) Primer nivel normativo: PSI y directrices. Está constituido por la PSI y las directrices generales de seguridad aplicables a los órganos superiores o directivos del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, a los que, conforme al artículo 1, sea de aplicación esta PSI.
b) Segundo nivel normativo: Normativa y recomendaciones de seguridad. Está constituido por la normativa y recomendaciones de seguridad que se definan en cada ámbito organizativo de aplicación específico (órganos superiores y directivos, y organismos públicos dependientes a los que sea de aplicación esta PSI, conforme al artículo 1). La normativa, que comprende los procedimientos, las normas y las instrucciones técnicas de seguridad se formalizará mediante instrucciones o resoluciones de las personas titulares de los órganos correspondientes, previa aprobación en la Comisión Permanente de la CMAD, mientras que las recomendaciones consistirán en buenas prácticas y consejos no vinculantes para mejorar las condiciones de seguridad.
c) Tercer nivel normativo: Procedimientos técnicos. Está constituido por el conjunto de procedimientos técnicos orientados a resolver las tareas, consideradas críticas por el perjuicio que causaría una actuación inadecuada, de seguridad, desarrollo, mantenimiento y explotación de los sistemas de información. Son recomendaciones o informaciones relativas a temas concretos de seguridad basadas en Instrucciones previas, que establecen las configuraciones mínimas de seguridad de los diferentes elementos de un sistema de información, recomendaciones de uso o de otro tipo. La responsabilidad de aprobación de estos procedimientos técnicos recae en la persona responsable de seguridad. Se consideran incluidas en este nivel normativo las guías CCN-STIC elaboradas por el Centro Criptológico Nacional.
2. Además de la normativa enunciada en este artículo, la estructura normativa podrá disponer, a criterio de cada uno de los órganos u organismos adscritos a esta PSI, y siempre dentro del ámbito de sus competencias y responsabilidades, de otros documentos tales como: informes técnicos, registros, evidencias, entre otros.
Más artículos de Orden AUC/1147/2021
- ← Artículo 10. La persona delegada de Protección de Datos.
- → Artículo 12. Gestión de los riesgos.
- Ver la norma completa: Orden AUC/1147/2021, de 15 de octubre, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración digital del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, y se modifica la Orden AEC/1372/2016, de 19 de julio, por la que se crea y regula la Comisión Ministerial para la Administración Digital del Ministerio de Asuntos Exteriores y de Cooperación.