Tecnologías de la Información y las Comunicaciones

Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración


Orden TIN/3016/2011, de 28 de octubre, por la que se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración (BOE de 10 de noviembre de 2011). Texto completo.

ORDEN TIN/3016/2011, DE 28 DE OCTUBRE, POR LA QUE SE CREA EL COMITÉ DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES DEL MINISTERIO DE TRABAJO E INMIGRACIÓN.


Vivimos en una época que ha visto la generalización de la sociedad de la información a todos los niveles y la Administración Pública no se ha visto excluida de esta realidad, más bien al contrario, ha tratado no solo de utilizar los medios tecnológicos necesarios para formar parte de la sociedad de la información, sino también de impulsar el uso de dichos medios en la sociedad en general y en las relaciones de los ciudadanos con la Administración en particular.

Ya en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se menciona el impulso al uso de medios electrónicos para el desarrollo de su actividad y el ejercicio de sus competencias y también determina el sustrato legal de las comunicaciones administrativas y sus requisitos jurídicos de validez y eficacia, sobre los que soportar los requerimientos tecnológicos y de seguridad necesarios para proyectar sus efectos en las comunicaciones electrónicas.

La Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal y posteriormente la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su reglamento de desarrollo ponen de relieve que el uso de medios electrónicos conlleva unas necesidades de seguridad especifica de estos medios traducidas en una serie de medidas concretas aplicables a cualquier sistema de información que trate datos de carácter personal.

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos consagra el derecho de los ciudadanos a comunicarse electrónicamente con la Administración Pública, dando respuesta también a los compromisos comunitarios y a las iniciativas europeas puestas en marcha a partir de Consejo Europeo de Lisboa. Esta Ley manifiesta la necesidad de una adecuada protección de la información y de los servicios que permita usar los medios electrónicos con confianza y a esta necesidad responde la publicación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

El Esquema Nacional de Seguridad tiene como finalidad crear las condiciones de confianza necesarias en el uso de los medios electrónicos, mediante medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permitan a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Actualmente los sistemas de información de las Administraciones Públicas están fuertemente imbricados entre sí, siendo la seguridad una función transversal a todos ellos, por lo que la seguridad tiene un nuevo reto que va más allá del aseguramiento individual de cada sistema. Por ello, entre las obligaciones que impone el mencionado Esquema Nacional se encuentran la de que todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad que será aprobada por el titular del órgano superior correspondiente, impulsar y verificar la realización de auditorías periódicas de los sistemas de información e informar del estado de la seguridad a los órganos competentes. En el citado Real Decreto 3/2010 de 8 de enero, en el anexo II, apartado 3.1.d), Política de seguridad, se establece la existencia de un comité para la gestión y coordinación de la seguridad.

Esta orden ministerial desarrolla el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración cuyo objetivo es establecer, gestionar, coordinar y aprobar las actuaciones en materia de seguridad de las tecnologías de la información y las comunicaciones, incluyendo dentro del ámbito de actuación del mismo a todos los sistemas de información del Ministerio de Trabajo e Inmigración, de manera que se gestione de forma conjunta la seguridad de dichos sistemas. El motivo es el carácter horizontal de la seguridad y la fuerte interconexión entre todos los sistemas de información que permiten a la Administración Pública prestar su servicio a los ciudadanos.

En el funcionamiento del Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración deberá promoverse la utilización de medios electrónicos, de conformidad con lo establecido en la disposición adicional primera de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.

En su virtud, y con la aprobación previa del Vicepresidente del Gobierno de Política Territorial y Ministro de Política Territorial y Administración Pública, dispongo:

Artículo 1. Creación y adscripción del Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración.

Se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones (en adelante TIC) del Ministerio de Trabajo e Inmigración como órgano colegiado de carácter transversal, adscrito a la Subsecretaría de Trabajo e Inmigración.

Artículo 2. Estructura del Comité de Seguridad TIC del Ministerio de Trabajo e Inmigración.

El Comité de Seguridad TIC del Ministerio de Trabajo e Inmigración se estructura a través de: Comité de Dirección de Seguridad TIC (en adelante CDSTIC) y Comité Permanente de Seguridad TIC (en adelante CPSTIC).

Artículo 3. Funciones del Comité de Dirección de Seguridad TIC.

Al CDSTIC le corresponde, en el ámbito del Ministerio de Trabajo e Inmigración, determinar y coordinar el mandato contenido en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad y, por tanto la política de seguridad que se ha de implementar en el Departamento para la utilización de los medios electrónicos de forma que se garantice una adecuada protección de la información. En concreto le corresponde:

1. La dirección y seguimiento de la aplicación de la legislación vigente, normas, estándares y buenas prácticas aplicables en materia de seguridad de las TIC.

2. La aprobación y seguimiento de las Políticas, los planes estratégicos, planes directores y líneas de actuación del Departamento en materia de seguridad TIC que proponga el Comité Permanente.

3. La aprobación y seguimiento de las normativas en materia de seguridad, que afecten transversalmente a toda la organización. Así como, impulsar nuevas líneas en materia de seguridad de las Tecnologías de la Información y las Comunicaciones

4. La aprobación y seguimiento de las políticas de auditoría de las Unidades del Departamento, a propuesta del Comité Permanente.

5. La aprobación de las declaraciones de aplicabilidad y conformidad con el Esquema Nacional de Seguridad de cada una de las Unidades del Ministerio de Trabajo e Inmigración, a propuesta del Comité Permanente.

6. Designar la representación e informar sobre el estado de la seguridad TIC del Ministerio de Trabajo e Inmigración, en el Comité de Seguridad de la Información de las Administraciones Públicas definido en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

7. El control de las actuaciones del CPSTIC y atribuir o delegar en el mismo las competencias que estime oportuno.

8. El impulso de nuevas líneas de trabajo en materia de seguridad de las TIC.

Artículo 4. Composición del Comité de Dirección de Seguridad TIC.

1. Presidencia: Subsecretario de Trabajo e Inmigración.

2. Vocales, serán representantes que ocupen puestos de nivel 30 o superior:

a) Dos representantes designados por el titular de la Subsecretaría de Trabajo e Inmigración.

b) Dos representantes designados por el titular de la Secretaría de Estado de la Seguridad Social.

c) Dos representantes designados por el titular de la Secretaría de Estado de Empleo.

d) Dos representantes designados por el titular de la Secretaría de Estado de Inmigración y Emigración.

e) Un representante designado por el titular de la Dirección General de la Inspección de Trabajo y Seguridad Social.

f) El titular de la Subdirección General de Tecnologías de la Información y Comunicaciones, que además actuará como Secretario del CDSTIC.

Artículo 5. Funcionamiento del Comité de Dirección de Seguridad TIC.

El CDSTIC se reunirá con carácter ordinario una vez al año y con carácter extraordinario cuando el Presidente lo decida o sí:

1. Surgieran incidencias de seguridad graves que afecten al Ministerio de Trabajo e Inmigración.

2. Fuera necesario establecer nuevas directrices de seguridad que afecten a todo el Departamento.

3. Existiera una solicitud motivada del CPSTIC.

La secretaría del CDSTIC levantará acta de las reuniones, siendo enviadas a la Presidencia de dicho comité para su aprobación, en su caso, en el pleno siguiente. Esta Secretaría realizará todos los trabajos previos necesarios para las reuniones del CDSTIC, apoyándose cuando lo requiera en las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e inmigración.

Caso de ser necesario, y por invitación del Presidente del Comité de Dirección, podrán asistir en calidad de asesores, con voz pero sin voto, las personas que se estime conveniente.

Artículo 6. Funciones del Comité Permanente de Seguridad TIC.

Al CPSTIC le corresponde en materia de Seguridad de las TIC, en el ámbito del Ministerio de Trabajo e Inmigración, la ejecución de cuantas tareas le sean encomendadas por el CDSTIC, y en particular:

1. Proponer para su aprobación y seguimiento en el CDSTIC:

a) Los planes estratégicos, planes directores y líneas de actuación en materia de seguridad TIC de las Unidades del Departamento.

b) Las políticas, normas y procedimientos de seguridad de cada una de las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e Inmigración.

c) Las políticas de auditoría de las Unidades del Ministerio de Trabajo e Inmigración.

d) Las declaraciones de aplicabilidad y conformidad con el Esquema Nacional de Seguridad de cada una de las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e Inmigración.

e) Los indicadores y resultados significativos que en materia de seguridad se determinen, para lo que se podrá recabar la información necesaria de cada una de las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e inmigración.

2. Asesorar al CDSTIC en todo lo que solicite y reportar al CDSTIC todas las cuestiones de las que, por su relevancia, deba tener conocimiento.

3. Promover, dirigir y coordinar los proyectos de seguridad que afecten a todo el Departamento.

4. Realizar la aprobación y seguimiento de los sistemas de gestión de la seguridad de cada una de las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e Inmigración.

5. Crear y determinar la composición, objetivos y funcionamiento de los grupos de trabajo así como el ámbito de actuación y el periodo de vigencia de los mismos, dando cuenta de ello al CDSTIC. Se habilita al CPSTIC para la creación de cuantos grupos de trabajo considere necesarios.

6. Promover la formación y concienciación en materia de seguridad de las TIC en cada una de las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e Inmigración.

7. Informar al CDSTIC sobre el estado de la seguridad de las TIC de cada una de las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e Inmigración.

Artículo 7. Composición del Comité Permanente de Seguridad TIC.

1. Presidencia: El titular de la Subdirección General de Tecnologías de la Información y Comunicaciones

2. Vocales: Será un representante designado por los titulares de cada uno de los siguientes órganos:

a) Subsecretaría de Trabajo e Inmigración

b) Secretaría de Estado de la Seguridad Social

c) Secretaría de Estado de Empleo

d) Secretaría de Estado de Inmigración y Emigración

e) Secretaría General Técnica

f) Gerencia de Informática de la Seguridad Social

g) Subdirección General de Tecnologías de la Información y Comunicaciones del Servicio Público de Empleo Estatal

h) Dirección General de la Inspección de Trabajo y Seguridad Social

i) Fondo de Garantía Salarial

j) Instituto Nacional de Seguridad e Higiene en el Trabajo

k) Subdirección General de Tecnologías de la Información y Comunicaciones

3. Secretaría: Con voz y sin voto, será designada por el titular de la Subdirección General de Tecnologías de la Información y Comunicaciones, entre los funcionarios de dicha Subdirección.

Artículo 8. Funcionamiento del Comité Permanente de Seguridad de las TIC.

El CPSTIC se reunirá con carácter ordinario como mínimo dos veces al año o con carácter extraordinario cuando el Presidente lo considere necesario.

La secretaría del CPSTIC levantará acta de las reuniones, siendo enviadas a la Presidencia de dicho Comité para su aprobación, en su caso, en el pleno siguiente. La Presidencia del CPSTIC elevará las actas al CDSTIC.

La Presidencia del CPSTIC, con el apoyo de la Secretaría de este Comité, realizará todos los trabajos previos necesarios para las reuniones del CPSTIC, apoyándose cuando lo requiera en las Unidades, organismos autónomos, entidades gestoras y servicios comunes de la Seguridad Social del Ministerio de Trabajo e inmigración, de las que podrá recabar cualquier información que precise y con el nivel de detalle que considere necesario.

Caso de ser necesario, y por invitación del Presidente del CPSTIC, podrán asistir en calidad de asesores, con voz pero sin voto, las personas que se estime conveniente.

Artículo 9. Funciones, composición y funcionamiento de los grupos de trabajo.

Las funciones, composición y funcionamiento de cada grupo de trabajo estarán determinadas por el CPSTIC en su acuerdo de creación.

Sus funciones se limitaran al mandato recibido del Comité Permanente.

Disposición adicional primera. Funcionamiento por medios electrónicos.

El Comité de Dirección de Seguridad TIC y el Comité Permanente de Seguridad TIC podrán celebrar sus reuniones por medios electrónicos, de conformidad con lo establecido en la disposición adicional primera de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.

Corresponderá al Presidente de cada uno de los citados órganos colegiados acordar la utilización de dicho procedimiento.

El sistema utilizado deberá asegurar una comunicación confidencial multidireccional en tiempo real y garantizar la identificación inequívoca del respectivo miembro y la autenticidad de su voto en el mismo acto. En particular garantizará el cumplimiento de las siguientes especialidades:

a) La realización efectiva de la convocatoria, el acceso a la información y la comunicación del orden del día, en donde se especificarán los tiempos en los que se organizarán los debates, la formulación y conocimiento de las propuestas y la adopción de acuerdos.

b) El régimen de constitución y adopción de acuerdos garantizará la participación de los miembros del Comité respectivo, de acuerdo con sus normas de funcionamiento.

c) Los registros de las sesiones estarán a disposición de los asistentes, dejarán constancia de las comunicaciones producidas, así como del contenido de los acuerdos adoptados.

Disposición adicional segunda. No incremento del gasto público.

La aplicación de esta Orden no conllevará incremento de gasto público, atendiéndose el funcionamiento de los Comités y grupos de trabajo con los recursos humanos y materiales de que dispone el Ministerio de Trabajo e Inmigración.

Disposición final única. Entrada en vigor.

La presente Orden entrará en vigor el día siguiente al de su publicación en el “Boletín Oficial del Estado”.