El Vínculo El Vínculo.
Orden Vigente

Artículo 12. Gestión de los riesgos.

Artículo 12 de la Orden AUC/1147/2021, de 15 de octubre, por la que se aprueba la Política de Seguridad de la Información en el ámbito de la administración digital del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, y se modifica la Orden AEC/1372/2016, de 19 de julio, por la que se crea y regula la Comisión Ministerial para la Administración Digital del Ministerio de Asuntos Exteriores y de Cooperación. · BOE-A-2021-17277

Redacción vigente según el texto consolidado del BOE, en vigor desde el 2021-10-26.

Texto consolidado

1. La gestión de riesgos debe realizarse de manera continua sobre el sistema de información, conforme a los principios de gestión de la seguridad y protección de datos, basada en los riesgos (artículo 6 del Real Decreto 3/2010, de 8 de enero, artículo 24 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre) y reevaluación periódica (artículo 9 del Real Decreto 3/2010, de 8 de enero), siendo la persona o unidad responsable del servicio la encargada de solicitar el preceptivo análisis de riesgos y de que se proponga el tratamiento adecuado, calculando los riesgos residuales. El responsable de seguridad, tras la calificación de la información y la determinación del nivel de seguridad del sistema, obtendrá la matriz de aplicabilidad y el conjunto de medidas para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información y del servicio. Se realizará la evaluación de riesgo identificando los riesgos residuales y, determinando, sobre la base de estos, el Plan de Tratamiento de Riesgo, que será comunicado al responsable de la información y del servicio.

2. La persona o unidad responsable de seguridad es la persona encargada de realizar dicho análisis en tiempo y forma, a petición de la persona responsable de la información y/o de la persona responsable del servicio, así como de identificar carencias y debilidades y ponerlas en conocimiento de las personas responsables de la información y del servicio.

3. Las personas responsables de la información y del servicio son los propietarios de los riesgos sobre la información y sobre los servicios, respectivamente, siendo responsables de su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.

4. El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse y aprobarse cada año por la persona titular del órgano o unidad administrativa o, en su caso, organismo autónomo, a través de un Plan de Adecuación al Esquema Nacional de Seguridad.

5. En cumplimento del Reglamento de actuación y funcionamiento del sector público por medios electrónicos, aprobado por el Real Decreto 203/2021 de 30 de marzo, el nivel de seguridad en la identificación electrónica de los sistemas de información que soporten procedimientos o servicios donde sea requerida, se determinará sobre la base del análisis de riesgos, de acuerdo con el Esquema Nacional de Seguridad y normativa correspondiente.

6. Las indicadas fases del proceso de gestión de riesgos se realizarán según lo dispuesto en los anexos I y II del Real Decreto 3/2010, de 8 de enero y siguiendo las normas, instrucciones, guías CCN-STIC y recomendaciones para la aplicación del mismo elaboradas por el Centro Criptológico Nacional.

Redacción vigente del texto consolidado publicado por el BOE, en vigor desde el 2021-10-26.

Más artículos de Orden AUC/1147/2021

En El Vínculo puedes leer Orden AUC/1147/2021 artículo a artículo, ver qué decía cada precepto en una fecha pasada y preguntarle a la IA sobre su contenido.