BOLETN OFICIAL DEL ESTADO

Nm. 220

Viernes 13 de septiembre de 2013

Sec. III. Pg. 69278

III. OTRAS DISPOSICIONES

MINISTERIO DE ASUNTOS EXTERIORES Y DE COOPERACIN

9544

Orden AEC/1647/2013, de 5 de septiembre, por la que se aprueba la poltica

de seguridad de la informacin en el mbito de la administracin electrnica
del Ministerio de Asuntos Exteriores y de Cooperacin.

El desarrollo de la Administracin Electrnica implica el tratamiento automatizado de

gran cantidad de informacin, as como su almacenamiento por sistemas basados en
tecnologas de la informacin y de las comunicaciones. Estos sistemas estn expuestos a
amenazas que aprovechndose de sus posibles vulnerabilidades pueden poner en peligro
la informacin que manejan.
En el contexto de la Administracin Electrnica, se entiende por seguridad de la
informacin la capacidad de las redes o de los sistemas de informacin para resistir, con
un determinado nivel de confianza, los accidentes y acciones ilcitas o malintencionadas
que comprometan la autenticidad, confidencialidad, integridad y disponibilidad de los
datos almacenados o transmitidos y la de los servicios que dichas redes y sistemas
ofrecen o hacen accesibles.
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad (en adelante, ENS) en el mbito de la Administracin Electrnica, persigue
fundamentar la confianza en que los sistemas de informacin prestarn sus servicios y
custodiaran la informacin de acuerdo con sus respectivas especificaciones funcionales,
sin interrupciones o modificaciones fuera de control, y sin que la informacin pueda llegar
a conocimiento de personas no autorizadas.
Para ello, ENS enuncia en sus artculos del 5 al 10, los principios bsicos en materia
de seguridad de la informacin (seguridad integral, gestin de riesgos, prevencin,
reaccin y recuperacin, lneas de defensa, reevaluacin peridica y funcin diferenciada)
y establece el marco regulatorio de la Poltica de Seguridad de la Informacin (en
adelante, PSI).
La PSI es, segn ENS, el documento que define lo que significa seguridad de la
informacin en una organizacin determinada, rige la forma en que dicha organizacin
gestiona y protege la informacin y los servicios que considera crticos y debe plasmarse
en un documento, accesible y comprensible para todos los miembros de la organizacin.
En concreto ENS dispone que:

a) Los objetivos o misin de la organizacin.

b) El marco legal y regulatorio en el que se desarrollan sus actividades.
c) Los roles o funciones de seguridad, definiendo para cada uno, los deberes y
responsabilidades del cargo, as como el procedimiento para su designacin y renovacin.
d) La estructura del comit o los comits para la gestin y coordinacin de la
seguridad, detallando su mbito de responsabilidad, los miembros y la relacin con otros
elementos de la organizacin.
e) Las directrices para la estructuracin de la documentacin de seguridad del
sistema, su gestin y acceso.

cve: BOE-A-2013-9544

1. Todos los rganos superiores de las Administraciones pblicas debern disponer

formalmente de su poltica de seguridad, que ser aprobada por el titular del rgano
superior correspondiente (artculo 11).
2. La PSI debe comprometer a todos los miembros de la organizacin, por los que
debe ser conocida, e identificar unos claros responsables de velar por su cumplimiento
(artculo 12).
3. La PSI deber plasmarse en un documento escrito, en el que, de forma clara, se
precise, al menos, lo siguiente:

BOLETN OFICIAL DEL ESTADO

Viernes 13 de septiembre de 2013

Sec. III. Pg. 69279

4. La PSI debe ser coherente, en lo que proceda, con el correspondiente Documento

de Seguridad, previsto en el artculo 88 del Reglamento de desarrollo de la Ley Orgnica
15/1999, de 13 de diciembre, de proteccin de datos de carcter personal, aprobado por
Real Decreto 1720/2007, de 21 de diciembre, prevaleciendo la proteccin de datos de
carcter personal en caso de discrepancias.
Para la elaboracin de la PSI se han tenido en cuenta las guas CCN-STIC elaboradas
por el Centro Criptolgico Nacional (en adelante, CCN), en ejercicio de la funcin
sealada en el artculo 2.2.a) del Real Decreto 421/2004, de 12 de marzo, que establecen
las pautas de carcter general relativas a la organizacin de la seguridad y sus
responsables, as como sobre la estructura y contenido mnimo de la PSI.
En virtud de lo anterior y en cumplimiento del artculo 11 del Real Decreto 3/2010,
de 8 de enero, con la aprobacin previa del Ministro de Hacienda y Administraciones
Pblicas, dispongo:
Artculo 1. Objeto y mbito de aplicacin.
1. Esta orden tiene por objeto aprobar la poltica de seguridad de la informacin (en
adelante, PSI) en el mbito de la Administracin Electrnica del Ministerio de Asuntos
Exteriores y de Cooperacin (en adelante, MAEC) y establecer el marco organizativo y
tecnolgico de la misma.
2. La PSI se aplicar por todos los rganos y unidades del Departamento y sus
organismos adscritos, a todos los datos, informaciones y servicios utilizados en medios
electrnicos que gestionen en el ejercicio de sus competencias, debiendo ser cumplida
por su personal y por cualquiera que tenga acceso a dichos datos, informaciones o
servicios.
3. Las competencias asignadas por esta orden se ejercern sin perjuicio de la
competencia sobre seguridad de la informacin que atribuye a la Direccin General del
Servicio Exterior el artculo 14.1.f) del Real Decreto 342/2012, de 10 de febrero, por el
que se desarrolla la estructura orgnica bsica del Ministerio de Asuntos Exteriores y de
Cooperacin.
Artculo 2. Misin del departamento.
Corresponde al Ministerio de Asuntos Exteriores y de Cooperacin, conforme a lo
establecido en el Real Decreto 342/2012, de 10 de febrero, planificar, dirigir, ejecutar y
evaluar la poltica exterior del Estado y la poltica de cooperacin internacional para el
desarrollo, con singular atencin a las relacionadas con la Unin Europea y con
Iberoamrica, y coordinar y supervisar todas las actuaciones que en dichos mbitos
realicen, en ejecucin de sus respectivas competencias, los restantes Departamentos y
Administraciones Pblicas. Asimismo, le corresponde fomentar las relaciones econmicas,
culturales y cientficas internacionales; participar, en la esfera de actuacin que le es
propia, en la propuesta y aplicacin de las polticas migratorias y de extranjera; fomentar
la cooperacin transfronteriza e interterritorial; proteger a los espaoles en el exterior; y
preparar, negociar y tramitar los Tratados Internacionales de los que Espaa sea parte.
Artculo 3. Marco normativo.
El marco normativo de las actividades del MAEC est integrado por las siguientes
normas y la legislacin sectorial reguladora de sus rganos superiores y directivos y
organismos adscritos:
a) Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico Administrativo de las
Administraciones Pblicas y del Procedimiento Administrativo Comn.
b) Ley 6/1997, de 14 de abril, de Organizacin y Funcionamiento de la Administracin
General del Estado.

cve: BOE-A-2013-9544

Nm. 220

BOLETN OFICIAL DEL ESTADO

Nm. 220

Viernes 13 de septiembre de 2013

Sec. III. Pg. 69280

c) Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter

Personal.
d) Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre.
e) Ley 59/2003, de 19 de diciembre, de firma electrnica.
f) Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los
Servicios Pblicos.
g) Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente
la Ley 11/2007, de 22 de junio.
h) Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento
nacional de identidad y sus certificados de firma electrnica.
i) Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el mbito de la Administracin Electrnica.
j) Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el mbito de la Administracin Electrnica.
k) Real Decreto 342/2012, de 10 de febrero, por el que se desarrolla la estructura
orgnica bsica del Ministerio de Asuntos Exteriores y de Cooperacin.
l) Orden AEC/2629/2010, de 7 de octubre, por la que se crea y regula el Registro
Electrnico del Ministerio de Asuntos Exteriores y de Cooperacin.
m) Orden AEC/2630/2010, de 7 de octubre, por la que se crea la Sede Electrnica
del Ministerio de Asuntos Exteriores y de Cooperacin.
n) Orden AEC/2703/2010, de 13 de septiembre, de creacin y modificacin de los
ficheros de carcter personal del Ministerio de Asuntos Exteriores y de Cooperacin.
o) Normas aplicables a la Administracin Electrnica del Departamento derivadas y
de inferior rango que las citadas en las letras anteriores, publicadas en las sedes
electrnicas comprendidas en el mbito de aplicacin de la PSI.
Tambin formarn parte del marco normativo las nuevas normas aplicables a la
Administracin Electrnica que afecten a la presente poltica de seguridad de la
informacin.
Artculo 4. Estructura organizativa de la poltica de seguridad de la informacin.
La estructura organizativa de gestin de la seguridad de la informacin en el mbito
de la Administracin Electrnica del Ministerio de Asuntos Exteriores y de Cooperacin
estar integrada por los siguientes agentes:
a)
b)
c)
d)

Comit para la Gestin y Coordinacin de la Seguridad de la Informacin.

Responsable de la Informacin.
Responsable del Servicio.
Responsable de la Seguridad.

Artculo 5. Comit para la Gestin y Coordinacin de la Seguridad de la Informacin.

a) Presidente: El Subsecretario de Asuntos Exteriores y de Cooperacin.

b) Vicepresidente: El Director general del Servicio Exterior.
c) Vocales: En representacin de los siguientes rganos del Departamento y de los
organismos adscritos al Ministerio designados, a propuesta de sus titulares, por el
Subsecretario de Asuntos Exteriores y de Cooperacin y con nivel orgnico de subdirector
general o asimilado los siguientes:

cve: BOE-A-2013-9544

1. Se crea el Comit para la Gestin y Coordinacin de la Seguridad de la

Informacin (en adelante, el Comit). El Comit se configura como un grupo de trabajo en
el seno de la Comisin Ministerial de Administracin Electrnica del Departamento.
2. Composicin. El Comit estar compuesto por:

BOLETN OFICIAL DEL ESTADO

Viernes 13 de septiembre de 2013

Sec. III. Pg. 69281

Un Vocal representante del Gabinete del Ministro de Asuntos Exteriores y de

Cooperacin.
Un Vocal representante de la Secretara de Estado de Asuntos Exteriores.
Un Vocal representante de la Secretara de Estado para la Unin Europea.
Un Vocal representante de la Secretara de Estado de Cooperacin Internacional y
para Iberoamrica.
Un Vocal representante de la Subsecretara de Asuntos Exteriores y de Cooperacin.
Un Vocal representante de la Direccin General de Espaoles en el Exterior y Asuntos
Consulares y Migratorios.
Un Vocal representante de la Direccin General de la Oficina de Informacin
Diplomtica.
Un Vocal representante de la Agencia Espaola de Cooperacin Internacional para el
Desarrollo.
Un Vocal representante del Instituto Cervantes.
d) Secretario. La persona titular de la Subdireccin General de Informtica,
Comunicaciones y Redes, con voz y voto. En caso de ausencia, vacante o enfermedad
ejercer sus funciones el Subdirector general adjunto de Telecomunicaciones y Proteccin
de la Informacin.
3. Expertos. El presidente podr invitar a las reuniones del Comit a representantes
de otras unidades o expertos cuando los asuntos a tratar lo requieran, as como recabar
dictmenes e informes sobre dichos asuntos.
4.Funciones:
a) Elaborar las propuestas de modificacin y actualizacin permanente de la PSI.
b) Aprobar las normas de desarrollo de la PSI de segundo nivel.
c) Velar por el cumplimiento y difusin de la PSI, promoviendo las actividades de
concienciacin y formacin en materia de seguridad para el personal del Departamento.
d) Fijar las condiciones para satisfacer los requisitos de seguridad de la informacin
y de los servicios.
e) Establecer directrices para coordinar la comunicacin con el Centro Criptolgico
Nacional (en adelante, CCN) en la utilizacin de servicios de respuesta a incidentes de
seguridad en la Administracin Electrnica del Departamento.
f) Informar sobre el estado de las principales variables de seguridad en los sistemas
de informacin del Departamento al Comit de Seguridad de la Informacin de las
Administraciones Pblicas, con objeto de elaborar un perfil general del estado de dichas
variables.
g) Compartir entre sus miembros experiencias de xito en materia de seguridad
para velar por el cumplimiento de la PSI y su normativa de desarrollo.
h) Tomar todas aquellas decisiones que garanticen la seguridad de la informacin y
servicios del Departamento.
5. Reuniones. El Comit se reunir, al menos, con periodicidad anual.
Artculo 6. Responsable de la Informacin.
1. El Responsable de la Informacin es la persona que determina los niveles de
seguridad de la informacin dentro del marco establecido en el anexo I del Real Decreto
3/2010, de 8 de enero, previa propuesta del responsable de seguridad.
2. Esta responsabilidad recaer en el titular del rgano o unidad administrativa que
gestione cada procedimiento administrativo, pudiendo una misma persona acumular las
responsabilidades de la informacin de todos los procedimientos que gestione.
3. Las funciones de cada Responsable de la Informacin, dentro de su mbito de
actuacin, son las siguientes:

cve: BOE-A-2013-9544

Nm. 220

BOLETN OFICIAL DEL ESTADO

Viernes 13 de septiembre de 2013

Sec. III. Pg. 69282

a) Determinar los niveles de seguridad de la informacin tratada, valorando los

impactos de los incidentes que afecten a la seguridad de la informacin, conforme con lo
establecido en el artculo 44 del Real Decreto 3/2010, de 8 de enero.
b) Son los encargados, junto a los Responsables del Servicio y contando con la
participacin del Responsable de Seguridad, de realizar los preceptivos anlisis de
riesgos, y seleccionar las salvaguardas que se han de implantar.
c) Son los responsables de aceptar los riesgos residuales respecto de la informacin
calculados en el anlisis de riesgos.
d) Son los responsables de realizar el seguimiento y control de los riesgos, con la
participacin del Responsable de Seguridad.
Artculo 7. Responsable del Servicio.
1. El Responsable del Servicio es la persona que determina los niveles de seguridad
de los servicios dentro del marco establecido en el anexo I del Real Decreto 3/2010, de 8
de enero, previa propuesta del Responsable de Seguridad.
2. Esta responsabilidad recaer en el titular del rgano o unidad administrativa que
gestione cada servicio.
3. Las funciones de cada Responsable del Servicio, dentro de su mbito de
actuacin, son las siguientes:
a) Son los encargados, junto a los Responsables de la Informacin y contando con
la participacin y asesoramiento del Responsable de Seguridad, de realizar los
preceptivos anlisis de riesgos, y de seleccionar las salvaguardas que se han de
implantar.
b) Son los responsables de aceptar los riesgos residuales respecto a los servicios
calculados en el anlisis de riesgos.
c) Son los responsables de realizar el seguimiento y control de los riesgos con la
participacin del Responsable de Seguridad.
d) Suspender, de acuerdo con el Responsable de la Informacin y el Responsable
de Seguridad, la prestacin de un servicio electrnico o el manejo de una determinada
informacin, si es informado de deficiencias graves de seguridad.
Artculo 8. Responsable de Seguridad.
1. Conforme al artculo 10 del Real Decreto 3/2010, de 8 de enero, el Responsable
de la Seguridad determina las decisiones para satisfacer los requisitos de seguridad de la
informacin y de los servicios.
2. Se designarn los siguientes Responsables de Seguridad, segn su mbito de
responsabilidad:
a) Responsable de Seguridad cuyo mbito de responsabilidad comprende la
informacin y servicios afectados por los sistemas de informacin gestionados por la
Subsecretara de Asuntos Exteriores y de Cooperacin. Corresponder al Grupo tcnico
al que se refiere el punto 3 del presente artculo.
b) Responsable de Seguridad cuyo mbito de responsabilidad comprende la
informacin y servicios afectados por aquellos sistemas de informacin gestionados por
la Secretara de Estado de la Unin Europea. La designacin corresponder al titular de
la Secretara de Estado de la Unin Europea.
c) Responsable de Seguridad en la Agencia Espaola de Cooperacin Internacional
para el Desarrollo. La designacin corresponder al titular de la Direccin de la Agencia
Espaola de Cooperacin Internacional para el Desarrollo.
d) Responsable de Seguridad en el Instituto Cervantes. La designacin
corresponder al titular de la Direccin del Instituto Cervantes.
3. El Grupo tcnico responsable de seguridad del mbito de la Subsecretara de
Asuntos Exteriores y de Cooperacin estar coordinado por el titular de la Subdireccin

cve: BOE-A-2013-9544

Nm. 220

BOLETN OFICIAL DEL ESTADO

Viernes 13 de septiembre de 2013

Sec. III. Pg. 69283

General de Informtica, Comunicaciones y Redes y compuesto por un representante de

cada uno los siguientes rganos designados por los titulares de aqullos:
Inspeccin General de Servicios.
Oficiala Mayor.
Subdireccin General de Personal.
El Subdirector General Adjunto de Telecomunicaciones y Proteccin de la Informacin,
que ejercer las funciones de Secretario y coordinar al Equipo de seguridad.
4. Funciones del Responsable de Seguridad.
a) Promover la seguridad de la informacin manejada y de los servicios electrnicos
prestados por los sistemas de informacin.
b) Proponer al Comit de Seguridad la normativa de seguridad de segundo nivel a la
que se refiere el artculo 13 apartado b).
c) Aprobar la normativa de seguridad de tercer nivel a la se refiere el artculo 13
apartado c).
d) Realizar o promover auditoras peridicas para verificar el cumplimiento de las
obligaciones en materia de seguridad de la informacin.
e) Realizar el seguimiento y control del estado de seguridad de los sistemas de
informacin.
f) Verificar que las medidas de seguridad son adecuadas para la proteccin de la
informacin y los servicios.
g) Participar junto a los Responsables de la Informacin y a los Responsables del
Servicio en la realizacin de los preceptivos anlisis de riesgos.
h) Apoyar y supervisar la investigacin de los incidentes de seguridad desde su
notificacin hasta su resolucin.
i) Elaborar informes peridicos de seguridad para el Comit, que incluirn los
incidentes ms relevantes de cada periodo.
5. Cuando lo justifique la complejidad, la distribucin o separacin fsica de sus
elementos o el nmero de usuarios de la informacin en soporte electrnico, o de los
sistemas que la manejen, los responsables de seguridad podrn designar responsables
de seguridad delegados, dependientes funcionalmente de ellos y responsables en su
mbito de las actuaciones que se les deleguen.
6. En todos los casos, las designaciones a las que hace referencia el presente
artculo se realizarn de entre los efectivos que presten servicios en el Departamento y
sus organismos pblicos adscritos.
Artculo 9. Equipo de Seguridad.
1. El Equipo de Seguridad es un grupo de apoyo al Responsable de Seguridad para
el cumplimiento de sus funciones, que aglutinar los esfuerzos de prevencin de
incidentes de seguridad, deteccin de anomalas, mecanismos de respuesta eficaz ante
los mismos y actividades de recuperacin mediante el desarrollo de planes de continuidad
de los sistemas de informacin para garantizar la disponibilidad de los servicios crticos.
2. A estos efectos, el Equipo de Seguridad realizar las auditoras peridicas de
seguridad (prevencin), el seguimiento y control del estado de seguridad de los sistemas
y servicios (deteccin), la respuesta eficaz a los incidentes de seguridad desde su
notificacin hasta su resolucin (respuesta) y el desarrollo de los planes de continuidad
de los sistemas de informacin (recuperacin).
3. Los componentes del Equipo de Seguridad se determinarn por el Responsable
de Seguridad, de entre los efectivos que presten servicios en el Departamento y sus
organismos pblicos adscritos.

cve: BOE-A-2013-9544

Nm. 220

BOLETN OFICIAL DEL ESTADO

Viernes 13 de septiembre de 2013

Sec. III. Pg. 69284

Artculo 10. Resolucin de conflictos.

1. En caso de conflicto entre los diferentes responsables que componen la estructura
organizativa de la PSI, ste ser resuelto por el superior jerrquico de los mismos. En
defecto de lo anterior, prevalecer la decisin del Comit para la Gestin y Coordinacin
de la Seguridad de la Informacin.
2. En la resolucin de estas controversias prevalecern las mayores exigencias
derivadas de la proteccin de datos de carcter personal.
Artculo 11. Obligaciones del personal.
1. Todo el personal que presta servicios en el Ministerio de Asuntos Exteriores y de
Cooperacin y sus organismos adscritos, tienen la obligacin de conocer y cumplir esta
Poltica de Seguridad de la Informacin y la normativa de seguridad derivada, siendo
responsabilidad del Comit disponer los medios necesarios para que la informacin llegue
a los afectados.
2. Todo el personal que se incorpore al Ministerio de Asuntos Exteriores y de
Cooperacin o vaya a tener acceso a alguno de sus sistemas de informacin o la
informacin gestionada por ellos deber ser informado y deber cumplir la Poltica de
Seguridad de la Informacin y la normativa de seguridad derivada.
3. El incumplimiento manifiesto de la Poltica de Seguridad de la Informacin o la
normativa de seguridad derivada podr acarrear el inicio de las medidas disciplinarias
oportunas y, en su caso, las responsabilidades contractuales y legales correspondientes.
Artculo 12. Gestin de riesgos.
1. La gestin de riesgos para la seguridad de la informacin se realizar de manera
continua sobre los sistemas de informacin y de los servicios, conforme con la legislacin
aplicable, incluidos los principios de gestin de la seguridad basada en los riesgos y
reevaluacin peridica, sealados en los artculos 6 y 9 del Real Decreto 3/2010, de 8 de
enero.
2. Los Responsables de la Informacin y del Servicio son los encargados, con la
participacin del Responsable de Seguridad, de realizar el preceptivo anlisis de riesgos,
proponer las salvaguardas adecuadas y calcular el riesgo residual.
3. Las salvaguardas identificadas en el preceptivo anlisis y gestin de riesgos
sern aplicadas por la unidad competente de acuerdo al Real Decreto 342/2012, de 10 de
febrero.
4. El Responsable de Seguridad velar por la correcta implementacin de las
salvaguardas y que stas consiguen el efecto deseado.
5. Los riesgos sobre la informacin y sobre los servicios competen a los responsables
de la Informacin y del Servicio, respectivamente, y por tanto stos han de aceptar los
riesgos residuales calculados en el anlisis de riesgos, y de realizar su seguimiento y
control.
6. El proceso de gestin de riesgos, que comprende las fases de categorizacin de
los sistemas de informacin, anlisis de riesgos y seleccin de medidas de seguridad a
aplicar, que debern ser proporcionales a los riesgos y estar justificadas, ser revisado
anualmente por el correspondiente responsable de seguridad, que elevar un informe al
Comit.
7. Para realizar el anlisis de riesgos se utilizar la metodologa Magerit aprobada
por el Consejo Superior de Administracin Electrnica, y las herramientas que la apliquen,
como PILAR desarrollada por el Centro Criptolgico Nacional.
Artculo 13. Clasificacin y jerarqua del desarrollo normativo de la Poltica de Seguridad
de la Informacin.
1. Las normas del MAEC sobre seguridad de la informacin en la Administracin
Electrnica del Departamento se clasificarn jerrquicamente en tres niveles, segn su

cve: BOE-A-2013-9544

Nm. 220

BOLETN OFICIAL DEL ESTADO

Viernes 13 de septiembre de 2013

Sec. III. Pg. 69285

mbito de aplicacin y grado de detalle tcnico, de modo que todas se basarn en otra, u
otras, de nivel superior:
a) Primer nivel normativo: PSI. Est constituido por la presente orden.
b) Segundo nivel normativo: Normativa y recomendaciones de seguridad. Est
constituido por la normativa y las recomendaciones de seguridad, en desarrollo de la PSI,
que se definan para cada mbito organizativo de aplicacin especfico. Dicho mbito
podr corresponder a uno o ms rganos superiores o directivos del MAEC u organismos
pblicos dependientes.
En cuanto a la normativa de seguridad de este segundo nivel, comprender la
regulacin de procedimientos sobre Seguridad en las Tecnologas de la Informacin y
las Comunicaciones (en adelante, STIC), y normas e instrucciones tcnicas STIC,
dictadas, con la aprobacin previa del Comit, por los titulares de los rganos superiores
o directivos en cuyo mbito se hayan de aplicar.
En cuanto a las recomendaciones, versarn sobre buenas prcticas y consejos no
vinculantes para la mejora de las condiciones de seguridad de la informacin en soporte
electrnico. Las recomendaciones las propone el Responsable de Seguridad, dentro de
su mbito de competencia, y las aprueba el Comit.
c) Tercer nivel normativo: Procesos y Procedimientos Tcnicos. Corresponden al
desarrollo del segundo nivel normativo. Est constituido por Procesos y Procedimientos
que detallan los aspectos tcnicos para realizar una determinada tarea respetando los
principios de seguridad de la organizacin y los procesos internos en ella establecidos.
Estn orientados a resolver determinadas tareas, consideradas crticas por el perjuicio
que causara su gestin inadecuada. Incluyen aspectos de configuracin, implementacin
y tecnolgicos relativos a la seguridad, desarrollo, mantenimiento y explotacin de los
sistemas de informacin. Su mbito de aplicacin podr ser general o corresponder a un
mbito orgnico especfico o un sistema de informacin determinado.
Se incluyen en este nivel normativo las guas CCN-STIC.
La aprobacin de los Procedimientos tcnicos corresponde al Responsable de
Seguridad.
2. El Comit establecer mecanismos para compartir la documentacin derivada del
desarrollo normativo de la PSI, con objeto de estandarizar en la medida de lo posible
dicho desarrollo en su mbito de aplicacin.
Artculo 14. Responsables de datos de carcter personal.
1. En lo que se refiere a los ficheros con datos de carcter personal, estarn
referenciados en el correspondiente documento de seguridad donde se har constar tanto
los ficheros afectados como los responsables correspondientes.
2. Todos los sistemas de informacin del Ministerio de Asuntos Exteriores y de
Cooperacin se ajustarn a los niveles de seguridad requeridos por la normativa de
proteccin de datos de carcter personal. En caso de conflicto con la normativa de
seguridad indicada en el artculo 13 prevalecer la norma que presente un mayor nivel de
exigencia respecto a la proteccin de los datos de carcter personal.
Artculo 15. Formacin y concienciacin.
1. Con la colaboracin, en su caso, del CCN, se desarrollarn actividades formativas
especficas orientadas a la concienciacin y formacin de los empleados pblicos del
Departamento, as como a la difusin entre ellos de la PSI y de su desarrollo normativo.
2. A estos efectos, debern incluirse actividades formativas en esta materia dentro
de los planes de formacin del MAEC.

cve: BOE-A-2013-9544

Nm. 220

BOLETN OFICIAL DEL ESTADO

Nm. 220

Viernes 13 de septiembre de 2013

Sec. III. Pg. 69286

Artculo 16. Actualizacin permanente y revisiones.

1. La PSI se deber actualizar permanentemente para adecuarla al progreso de los
servicios de Administracin Electrnica, la evolucin tecnolgica, el desarrollo de la
sociedad de la informacin, y los estndares internacionales de seguridad.
2. Las propuestas de las sucesivas revisiones de la PSI se elaborarn por el Comit
y, si su contenido es tcnico, podrn ser aprobadas por la Subsecretara de Asuntos
Exteriores y de Cooperacin, produciendo efectos a partir del da siguiente de su
publicacin en la sede electrnica del Departamento.
Disposicin adicional nica. No incremento de gasto pblico.
La aplicacin de esta orden no conllevar incremento de gasto pblico. Las medidas
incluidas en la presente orden no supondrn incremento de dotaciones ni de retribuciones
ni de otros gastos de personal.
Disposicin final nica. Entrada en vigor.
Esta orden entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial
del Estado.

cve: BOE-A-2013-9544

Madrid, 5 de septiembre de 2013.El Ministro de Asuntos Exteriores y de Cooperacin,

Jos Manuel Garca-Margallo y Marfil.

http://www.boe.es

BOLETNOFICIALDELESTADO

D.L.:M-1/1958-ISSN:0212-033X