Texto aprobado el día 16 de septiembre de 2019 por el Presidente de Diputación Provincial de Soria.
Esta Política de Seguridad de la Información es efectiva desde dicha fecha y hasta que sea reemplazada por una nueva Política.
La presente versión de la Política de Seguridad de la Información ha sido aprobada por D. Benito Serrano Mata en calidad de Presidente de Diputación Provincial de Soria.
A través de la sede electrónica y de la carpeta ciudadana de la Diputación de Soria se prestan servicios a los ciudadanos como, por ejemplo: Solicitudes de información, Quejas y sugerencias, Pago de tributos, etc.
Además de los servicios mencionados, se incluye en el alcance de esta política todos los servicios internos de la entidad, así como servicios prestados a terceros o a ciudadanos a través de medios electrónicos en alguna de sus fases.
Para el cumplimiento de su Misión, la prestación de los Servicios identificados y el cumplimiento de sus objetivos, la Diputación de Soria depende de los sistemas TIC (Tecnologías de la Información y Comunicaciones).
Estos sistemas deben ser administrados con diligencia, adoptando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información tratada o de los servicios prestados.
El objetivo de la seguridad de la información es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
Los sistemas TIC deben estar protegidos contra amenazas de rápida evolución con potencial para incidir en la confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad, uso previsto y valor de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.
Es por ello que el Esquema Nacional de Seguridad (Real Decreto 3/2010 de 8 de enero), en su artículo 11 establece que “Todos los órganos superiores de las Administraciones Públicas deberán disponer formalmente de su política de seguridad, que será aprobada por el titular del órgano superior correspondiente”.
Todos los departamentos deben aplicar las medidas mínimas de seguridad exigidas por el Esquema Nacional de Seguridad, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.
Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y las necesidades de financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.
Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo al Artículo 7 del ENS.
La Diputación de Soria, en cumplimiento de sus responsabilidades, deberá atender a diferentes regulaciones, de entre las que destacamos, en el ámbito del Esquema Nacional de Seguridad, las siguientes:
En lo que se refiere al Procedimiento Administrativo
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local.
Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público.
Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos
En lo que se refiere a la Protección de Datos
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los derechos Digitales.
En lo que respecta al Esquema Nacional de Seguridad y legislación complementaria
El Real Decreto 3/2010, de 8 de enero, de desarrollo del Esquema Nacional de Seguridad fija los principios básicos y requisitos mínimos, así como las medidas de protección a implantar en los sistemas de la Administración.
Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración electrónica.
Ley 59/2003, de 19 de diciembre, de firma electrónica.
La Política de Seguridad, según requiere el Anexo II, en su sección 3.1, debe identificar unos claros responsables para velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.
La responsabilidad de la actividad de una entidad del sector Público se sitúa, en última instancia, en su Titular.
Mientras que las competencias o funciones de una entidad deben estar recogidas en su norma de creación o en las sucesivas normas de desarrollo de su estructura, el Titular de la Entidad es responsable de fijar los objetivos estratégicos, organizar adecuadamente sus elementos constituyentes, sus relaciones internas y externas, y dirigir su actividad, incluyendo la aprobación de la Política de Seguridad de la Información del organismo, así como, en su caso, la Política de Protección de Datos, facilitando los recursos adecuados para alcanzar los objetivos propuestos, velando por su cumplimiento.
Así pues, la figura de la Dirección de la entidad (personificada en su Titular) cobra una importancia capital: de la Dirección depende el compromiso de la entidad con la seguridad y su adecuada implantación, gestión y mantenimiento.
Se establecen los siguientes roles en la organización relacionados con la Seguridad de la Información.
Corresponde al nivel de un Órgano de Gobierno de máximo nivel, constituido por la Alta Dirección, que entiende la misión de la organización, determina los objetivos que se propone alcanzar y responde de que se alcancen.
Sus funciones podrán ser asignadas a personas individuales, o bien ser asumidas por el Comité de Seguridad de la Información.
La persona u órgano que lo asuma deberá ser identificada para cada Información que trate la organización.
El Responsable de la Información en la Diputación de Soria será el Presidente de la Diputación.
Sus funciones serán las siguientes:
Este rol podrá coincidir con el del Responsable de Servicio.
Este rol no podrá coincidir con el de Responsable de Seguridad, salvo en organizaciones de reducida dimensión que funcionen de forma autónoma.
Este rol no podrá coincidir con el de Responsable de Sistema ni con el de Administrador de la Seguridad del Sistema, ni siquiera cuando se trate de organizaciones de reducida dimensión que funcionen de forma autónoma.
Cuando sea distinto del Responsable de la Información, puede corresponder al nivel de un Órgano de Gobierno de máximo nivel, al igual que el Responsable de la Información, o bien al de una Dirección Ejecutiva o gerencia, que entiende qué hace cada departamento, y cómo los departamentos se coordinan entre sí para alcanzar los objetivos marcados por la Dirección.
Sus funciones podrán ser asignadas a personas individuales, o bien ser asumidas por el Comité de Seguridad de la Información.
La persona u órgano que lo asuma deberá ser identificada para cada Servicio que preste la organización.
El Responsable del Servicio de la Diputación de Soria será el Presidente de la Diputación.
Sus funciones serán las siguientes:
Podrá coincidir en la misma persona u órgano el rol de Responsable de la Información y del Responsable del Servicio.
Este rol no podrá coincidir con el de Responsable de Seguridad, salvo en organizaciones de reducida dimensión que funcionen de forma autónoma.
Este rol no podrá coincidir con el de Responsable de Sistema ni con el de Administrador de la Seguridad del Sistema, ni siquiera cuando se trate de organizaciones de reducida dimensión que funcionen de forma autónoma.
Corresponde al nivel de una Dirección Ejecutiva o gerencia.
Se nombrará formalmente como tal a una única persona en la organización. El rol no podrá ser desarrollado por un órgano colegiado, ni podrá haber más de una persona asumiendo el rol en la organización, aunque pueda delegar parte de sus funciones en otras personas.
Se ha designado como Responsable de la Seguridad de la Información al Diputado del Área de Sistemas.
Sus funciones serán las siguientes:
En caso de ocurrencia de incidentes de seguridad de la información:
Este rol únicamente podrá coincidir con la del Responsable de Servicio y el Responsable de Información en organizaciones de reducidas dimensiones que tengan una estructura autónoma de funcionamiento.
Este rol no podrá coincidir con el de Responsable de Sistema y el de Administrador de Seguridad del Sistema, aunque se trate de organizaciones de reducidas dimensiones que tengan una estructura autónoma de funcionamiento.
Para determinados Sistemas de Información que, por su complejidad, distribución, separación física de sus elementos o número de usuarios se necesite de personal adicional para llevar a cabo las funciones de Responsable de la Seguridad, se podrán designar los Responsables de Seguridad Delegados que se consideren necesarios.
La designación corresponde al Responsable de la Seguridad. Por medio de la designación de delegados, se delegan funciones. La responsabilidad final seguirá recayendo sobre el Responsable de la Seguridad.
Los Responsables de Seguridad Delegados se harán cargo, en su ámbito, de todas aquellas acciones que delegue el Responsable de la Seguridad, pudiendo ser, por ejemplo, la seguridad de sistemas de información concretos o de sistemas de información horizontales.
Cada Responsable de Seguridad Delegado tendrá una dependencia funcional directa del Responsable de Seguridad, que es a quien reportan.
El Responsable de Seguridad delega en los jefes de servicio las funciones de Responsable de Seguridad asociadas a cada servicio.
Corresponde al nivel de una Dirección Operativa.
Se nombrará formalmente como tal a una única persona para cada Sistema. El rol no podrá ser desarrollado por un órgano colegiado, aunque pueda delegar parte de sus funciones en otras personas.
Se ha nombrado como Responsable del Sistema al Jefe del Servicio de Informática.
Sus funciones serán las siguientes:
En caso de ocurrencia de incidentes de seguridad de la información:
Este rol no podrá coincidir con el de Responsable de Información, con el de Responsable de Servicio ni con el de Responsable de Seguridad de la Información.
Este rol podrá coincidir con el de Administrador de Seguridad del Sistema en organizaciones de una dimensión reducida o intermedia que tengan una estructura autónoma de funcionamiento.
En grandes organizaciones no debería coincidir con el de Administrador de la Seguridad del Sistema, independientemente del tamaño del Sistema.
Corresponde al nivel de un empleado cualificado en seguridad informática de sistemas.
Podrá nombrarse formalmente como tal a varias personas para cada Sistema. El rol no podrá ser desarrollado por un órgano colegiado, ni podrá delegar parte de sus funciones en otras personas. En su caso, se nombrarían nuevos Administradores de la Seguridad del Sistema.
Será propuesto por el Responsable del Sistema, a quien reportará en todo lo relacionado con seguridad de la información.
En este sentido, se nombra como Administrador del Sistema al Técnico medio de sistemas.
Sus funciones serán las siguientes:
En caso de ocurrencia de incidentes de seguridad de la información:
Este rol no podrá coincidir con el de Responsable de Información, con el de Responsable de Servicio ni con el de Responsable de Seguridad de la Información.
Este rol podrá coincidir con el de Responsable del Sistema en organizaciones de una dimensión reducida o intermedia que tengan una estructura autónoma de funcionamiento.
En grandes organizaciones no debería coincidir con el de Responsable del Sistema, independientemente del tamaño del Sistema.
En determinados sistemas de información que, por su complejidad, distribución, separación física de sus elementos o número de usuarios se necesite de personal adicional para llevar a cabo sus funciones, se podrán designar Administradores de Seguridad del Sistema Delegados.
Los Administradores de Seguridad del Sistema Delegados serán responsables, en su ámbito, de aquellas acciones que delegue el Administrador de Seguridad del Sistema relacionadas con la implantación, gestión y mantenimiento de las medidas de seguridad aplicables al sistema de información.
El Administrador de Seguridad del Sistema Delegado será designado a solicitud del Administrador de Seguridad del Sistema, del que dependerá funcionalmente.
Su identidad aparecerá reflejada en la documentación de seguridad del sistema de información.
Es el órgano que coordina la Seguridad de la Información a nivel de organización.
Estará constituido por el Responsable de Seguridad de la Información y por representantes de las áreas afectadas por el ENS.
Siempre que sea posible deberá asumir las siguientes funciones:
En caso de ocurrencia de incidentes de seguridad de la información:
El Comité de Seguridad de la Información no es un comité técnico, pero recabará regularmente del personal técnico propio o externo, la información pertinente para tomar decisiones. El Comité de Seguridad de la Información se asesorará de los temas sobre los que tenga que decidir o emitir una opinión. Este asesoramiento se determinará en cada caso, pudiendo materializarse de diferentes formas y maneras:
El Responsable de la Seguridad de la Información es el secretario del Comité de Seguridad de la Información y como tal:
Los diferentes roles de seguridad de la información (autoridad principal y posibles delegadas) se limitan a una jerarquía simple: el Comité de Seguridad de la Información da instrucciones al Responsable de la Seguridad de la Información que se encarga de cumplimentar, supervisando que administradores y operadores implementan las medidas de seguridad según lo establecido en la política de seguridad aprobada para la Organización.
El Administrador de Seguridad reporta al Responsable del Sistema:
El Responsable del Sistema informa al Responsable de la Información de las incidencias funcionales relativas a la información que le compete.
El Responsable del Sistema informa al Responsable del Servicio de las incidencias funcionales relativas al servicio que le compete.
El Responsable del Sistema reporta al Responsable de la Seguridad:
El Responsable de la Seguridad informa al Responsable de la Información de las decisiones e incidentes en materia de seguridad que afecten a la información que le compete, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.
El Responsable de la Seguridad informa al Responsable del Servicio de las decisiones e incidentes en materia de seguridad que afecten al servicio que le compete, en particular de la estimación de riesgo residual y de las desviaciones significativas de riesgo respecto de los márgenes aprobados.
Cuando exista un Comité de Seguridad de la Información, el Responsable de la Seguridad reporta a dicho comité como secretario:
La Dirección de la Organización nombrará formalmente mediante su publicación en el Boletín Oficial correspondiente:
La Dirección de la Organización designa a la persona Responsable del Sistema:
información preste un único servicio.
La Dirección de la Organización designa al Administrador de Seguridad del Sistema a propuesta del Responsable del Sistema.
Para la prestación de los servicios previstos deben ser tratados datos de carácter personal. El Registro de Tratamiento detalla los ficheros afectados y los responsables correspondientes, así como las medidas adoptadas en este marco. Todos los sistemas de información se ajustarán a los niveles de seguridad requeridos por la normativa para la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Registro de Actividades.
En esta materia surgen varias responsabilidades a nivel legal u organizativo. Por un lado, el responsable del tratamiento o responsable, que es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. En este caso, la Exma. Diputación Provincial de Soria.
Por otro, el encargado es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos por cuenta del responsable del tratamiento.
La relación entre responsable y encargado deberá estar regulada en un contrato o instrumento jurídico.
De cualquier forma, también se deberá establecer la siguiente figura:
El Reglamento General de Protección de datos (RGPD), en los artículos 37 al 39, detalla los requisitos y funciones de este rol:
Respecto a las funciones a desempeñar destaca las indicadas en el RGPD:
Que a su vez son integradas dentro de la Política de Seguridad en las siguientes funciones:
Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos.
El análisis de riesgos será la base para determinar las medidas de seguridad que se deben adoptar además de los mínimos establecidos por el Esquema Nacional de Seguridad, según lo previsto en el Artículo 6 del ENS.
Para la armonización de los análisis de riesgos, el Comité de Seguridad de la Información establecerá una valoración de referencia para los diferentes tipos de información manejados y los diferentes servicios prestados.
Los criterios de evaluación de riesgos detallados se especificarán en la metodología de evaluación de riesgos que elaborará la organización, basándose en estándares y buenas prácticas reconocidas.
Deberán tratarse, como mínimo, todos los riesgos que puedan impedir la prestación de los servicios o el cumplimiento de la misión de la organización de forma grave.
Se priorizarán especialmente los riesgos que impliquen un cese en la prestación de servicios a los ciudadanos.
El Comité de Seguridad de la Información dinamizará la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de carácter horizontal.
Los riesgos residuales serán determinados por el Responsable de Seguridad de la Información.
Los niveles de Riesgo residuales esperados sobre cada Información tras la implementación de las opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad previstas en el Anexo II del ENS) deberán ser aceptados previamente por su Responsable de esa Información.
Los niveles de Riesgo residuales esperados sobre cada Servicio tras la implementación de las opciones de tratamiento previstas (incluida la implantación de las medidas de seguridad previstas en el Anexo II del ENS) deberán ser aceptados previamente por su Responsable de ese Servicio.
Los niveles de riesgo residuales serán presentados por el Responsable de Seguridad de la Información al Comité de Seguridad de la Información, para que éste proceda, en su caso, a evaluar, aprobar o rectificar las opciones de tratamiento propuestas.
El análisis de los riesgos y su tratamiento deben ser una actividad repetida regularmente, según lo establecido en el Artículo 9 del ENS. Este análisis se repetirá:
Los departamentos deben evitar, o al menos prevenir en la medida de lo posible, que la información o los servicios se vean perjudicados por incidentes de seguridad. Para ello los departamentos deben implementar las medidas mínimas de seguridad determinadas por el ENS, así como cualquier control adicional identificado a través de una evaluación de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.
Para garantizar el cumplimiento de la política, los departamentos deben:
Dado que los servicios se pueden degradar rápidamente debido a incidentes, que van desde una disminución hasta el cese del nivel de prestación, los servicios deben monitorizar la operación de manera continua para detectar anomalías en los niveles de prestación de los servicios y actuar en consecuencia según lo establecido en el Artículo 9 del ENS.
La monitorización es especialmente relevante cuando se establecen líneas de defensa de acuerdo con el Artículo 8 del ENS. Se establecerán mecanismos de detección, análisis y reporte que puedan informar a los responsables tanto regularmente como cuando se produzca una desviación significativa de los parámetros que se hayan preestablecido como normales.
Los departamentos deben:
Para garantizar la disponibilidad de los servicios críticos, los departamentos deben desarrollar planes de continuidad de los sistemas TIC como parte de su plan general de continuidad de negocio y actividades de recuperación.
Todos los miembros de la organización tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad de la Información disponer los medios necesarios para que la información llegue a los afectados.
Todos los miembros de la organización atenderán a una sesión de concienciación en materia de seguridad TIC al menos una vez cada dos años. Se establecerá un programa de concienciación continua para atender a todos los miembros de la organización, en particular a los de nueva incorporación.
Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.
El cumplimiento de la presente Política de Seguridad es obligatorio por parte de todo el personal interno o externo que intervenga en los procesos la organización, constituyendo su incumplimiento infracción grave a efectos laborales.
Cuando se presten servicios o se gestione información de otras organizaciones, se les hará partícipes de esta Política de Seguridad de la Información, se establecerán canales para reporte y coordinación de los respectivos Comités de Seguridad de la Información y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.
Cuando se utilicen servicios de terceros o ceda información a terceros, se les hará partícipes de esta Política de Seguridad y de la Normativa de Seguridad que ataña a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla.
Se establecerán procedimientos específicos de reporte y resolución de incidencias.
Se garantizará que el personal de terceros está adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Política, pudiendo requerir certificado en este sentido.
Cuando algún aspecto de la Política no pueda ser satisfecho por una tercera parte según se requiere en los párrafos anteriores, se requerirá un informe del Responsable de Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Se requerirá la aprobación de este informe por los responsables de la información y los servicios afectados antes de seguir adelante.
La Política de Seguridad de la Información se cumplimentará con documentos más precisos que ayudan a llevar a cabo lo propuesto. Para ello se utilizarán:
Las normas uniformizan el uso de aspectos concretos del sistema. Indican el uso correcto y las responsabilidades de los usuarios. Son de carácter obligatorio.
Las guías tienen un carácter formativo y buscan ayudar a los usuarios a aplicar correctamente las medidas de seguridad proporcionando razonamientos donde no existen procedimientos precisos. Por ejemplo, suele haber una guía sobre cómo escribir procedimientos de seguridad.
Las guías ayudan a prevenir que se pasen por alto aspectos importantes de seguridad que pueden materializarse de varias formas.
Los procedimientos [operativos] de seguridad afrontan tareas concretas, indicando lo que hay que hacer, paso a paso. Son útiles en tareas repetitivas.
La Política de Seguridad de la Información será revisada por el Comité de Seguridad de la Información a intervalos planificados, que no podrán exceder el año de duración, o siempre que se produzcan cambios significativos, a fin de asegurar que se mantenga su idoneidad, adecuación y eficacia.
Los cambios sobre la Política de Seguridad de la Información deberán ser aprobados por el órgano superior competente que corresponda, en este caso, la Junta de Gobierno, de acuerdo con el artículo 11 del ENS.
Cualquier cambio sobre la misma deberá ser difundido a todas las partes afectadas.
Esta Política de Seguridad de la Información complementa las Políticas de Seguridad corporativas, detallando las medidas a adoptar sobre Sistemas de Información.
Esta Política se desarrollará por medio de normativa de seguridad que afronte aspectos específicos. La normativa de seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.
Análisis de riesgos
Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.
Datos de carácter personal
Cualquier información concerniente a personas físicas identificadas o identificables.
Gestión de incidentes
Plan de acción para atender a las incidencias que se den. Además de resolverlas debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas. ENS.
Gestión de riesgos
Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos. ENS.
Incidente de seguridad
Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información. ENS.
Información
Caso concreto de un cierto tipo de información.
Política de seguridad
Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que consideran críticos. ENS.
Principios básicos de seguridad
Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios. ENS.
Responsable de la información
Persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad.
Responsable de la seguridad
El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
Responsable del servicio
Persona que tiene la potestad de establecer los requisitos de un servicio en materia de seguridad.
Responsable del sistema
Persona que se encarga de la explotación del sistema de información.
Servicio
Función o prestación desempeñada por alguna entidad oficial destinada a cuidar intereses o satisfacer necesidades de los ciudadanos.
Sistema de información
Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir. ENS.
ENS Esquema Nacional de Seguridad
TIC Tecnologías de la Información y las Comunicaciones
CCN-STIC-402
Organización y Gestión para la Seguridad de los Sistemas TIC. Diciembre 2006.
CCN-STIC-801
ENS - Responsables y Funciones. 2010.
RD 3/2010
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. BOE de 29 de enero de 2010.
RD 951/2015
Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
Diputación Provincial de Soria
C/ Caballeros, 17 - 42002 Soria - Tfno. 975 10 10 00