Versión comentada del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. No dudes en añadir tus comentarios.
El marco organizativo está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad.
3.1 Política de seguridad [org.1].
| dimensiones | Todas | ||
| categoría | básica | media | alta |
| aplica | = | = | |
La política de seguridad será aprobada por el órgano superior competente que corresponda, de acuerdo con lo establecido en el artículo 11, y se plasmará en un documento escrito, en el que, de forma clara, se precise, al menos, lo siguiente:
- Los objetivos o misión de la organización.
- El marco legal y regulatorio en el que se desarrollarán las actividades.
- Los roles o funciones de seguridad, definiendo para cada uno, los deberes y responsabilidades del cargo, así como el procedimiento para su designación y renovación.
- La estructura del comité o los comités para la gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad, los miembros y la relación con otros elementos de la organización.
- Las directrices para la estructuración de la documentación de seguridad del sistema, su gestión y acceso.
La política de seguridad debe referenciar y ser coherente con lo establecido en el Documento de Seguridad que exige el Real Decreto 1720/2007, en lo que corresponda.
3.2 Normativa de seguridad [org.2].
| dimensiones | Todas | ||
| categoría | básica | media | alta |
| aplica | = | = | |
Se dispondrá de una serie de documentos que describan:
- El uso correcto de equipos, servicios e instalaciones.
- Lo que se considerará uso indebido.
- La responsabilidad del personal con respecto al cumplimiento o violación de estas normas: derechos, deberes y medidas disciplinarias de acuerdo con la legislación vigente.
3.3 Procedimientos de seguridad [org.3].
| dimensiones | Todas | ||
| categoría | básica | media | alta |
| aplica | = | = | |
Se dispondrá de una serie de documentos que detallen de forma clara y precisa:
- Cómo llevar a cabo las tareas habituales.
- Quién debe hacer cada tarea.
- Cómo identificar y reportar comportamientos anómalos.
3.4 Proceso de autorización [org.4].
| dimensiones | Todas | ||
| categoría | básica | media | alta |
| aplica | = | = | |
Se establecerá un proceso formal de autorizaciones que cubra todos los elementos del sistema de información:
- Utilización de instalaciones, habituales y alternativas.
- Entrada de equipos en producción, en particular, equipos que involucren criptografía.
- Entrada de aplicaciones en producción.
- Establecimiento de enlaces de comunicaciones con otros sistemas.
- Utilización de medios de comunicación, habituales y alternativos.
- Utilización de soportes de información.
- Utilización de equipos móviles. Se entenderá por equipos móviles ordenadores portátiles, PDA, u otros de naturaleza análoga.
- Utilización de servicios de terceros, bajo contrato o Convenio.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!