Orden
Orden UNI/1231/2021, de 5 de noviembre, por la que se aprueba la política de seguridad de la información en el ámbito de la administración electrónica y de protección de datos y se crea la Comisión Ministerial de Administración Digital del Ministerio de Universidades
 Abrir lector completo

Art. 14

En vigor desde 13 nov 2021
1. El cuerpo documental sobre seguridad de la información se desarrollará en cuatro niveles por ámbito de aplicación, nivel de detalle técnico y de obligado cumplimiento, de manera que cada documento de un determinado nivel de desarrollo se fundamente en los documentos de nivel superior. Dichos niveles de desarrollo documental son los siguientes: a) Primer nivel. Política de seguridad de la información. Está constituido por la presente orden y es de obligado cumplimiento, al amparo de lo establecido por el Real Decreto 3/2010, de 8 de enero. b) Segundo nivel. Directrices y recomendaciones de seguridad. El cuerpo documental, que comprende las directrices y recomendaciones de seguridad de las tecnologías de la información y las comunicaciones (STIC) y las guías STIC, es de obligado cumplimiento, según lo establecido por el Real Decreto 3/2010, de 8 de enero, y se formalizará mediante aprobación de la CMAD. Las recomendaciones consistirán en buenas prácticas y consejos no vinculantes para mejorar las condiciones de seguridad. c) Tercer nivel. Procedimientos e instrucciones técnicas. Está constituido por el conjunto de procedimientos técnicos orientados a resolver las tareas, consideradas críticas por el perjuicio que causaría una actuación inadecuada, de seguridad, desarrollo, mantenimiento y explotación de los sistemas de información. Son recomendaciones o informaciones relativas a temas concretos de seguridad basadas en instrucciones previas, que establecen las configuraciones mínimas de seguridad de los diferentes elementos de un sistema de información, recomendaciones de uso o de otro tipo. La responsabilidad de aprobación de estos procedimientos técnicos dependerá de su ámbito de aplicación, que podrá ser en un ámbito específico o en un sistema de información determinado. Se consideran incluidas en este nivel las guías CCN-STIC. d) Cuarto nivel. Informes, registros y evidencias electrónicas. Está constituido por los informes técnicos, que son documentos de carácter técnico que recogen el resultado y las conclusiones de un estudio o de una evaluación; registros de actividad o alertas de seguridad, que son documentos de carácter técnico que recogen amenazas y vulnerabilidades a sistemas de información. 2. El comité de dirección de seguridad de la información establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollo documental con el propósito de normalizarlo, en la medida de lo posible, en todo el ámbito de aplicación de la política.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli/es/o/2021/11/05/uni1231#art-14

Volver a la ficha de la norma
Inicio
Buscar
Mis Consultas
Tienda
Perfil