Art. 11
11 / 21En vigor desde 26 oct 2021
1. El cuerpo normativo sobre seguridad de la información es de obligado cumplimiento y se podrá estructurar como máximo en los siguientes niveles relacionados jerárquicamente:
a) Primer nivel normativo: PSI y directrices. Está constituido por la PSI y las directrices generales de seguridad aplicables a los órganos superiores o directivos del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, a los que, conforme al artículo 1, sea de aplicación esta PSI.
b) Segundo nivel normativo: Normativa y recomendaciones de seguridad. Está constituido por la normativa y recomendaciones de seguridad que se definan en cada ámbito organizativo de aplicación específico (órganos superiores y directivos, y organismos públicos dependientes a los que sea de aplicación esta PSI, conforme al artículo 1). La normativa, que comprende los procedimientos, las normas y las instrucciones técnicas de seguridad se formalizará mediante instrucciones o resoluciones de las personas titulares de los órganos correspondientes, previa aprobación en la Comisión Permanente de la CMAD, mientras que las recomendaciones consistirán en buenas prácticas y consejos no vinculantes para mejorar las condiciones de seguridad.
c) Tercer nivel normativo: Procedimientos técnicos. Está constituido por el conjunto de procedimientos técnicos orientados a resolver las tareas, consideradas críticas por el perjuicio que causaría una actuación inadecuada, de seguridad, desarrollo, mantenimiento y explotación de los sistemas de información. Son recomendaciones o informaciones relativas a temas concretos de seguridad basadas en Instrucciones previas, que establecen las configuraciones mínimas de seguridad de los diferentes elementos de un sistema de información, recomendaciones de uso o de otro tipo. La responsabilidad de aprobación de estos procedimientos técnicos recae en la persona responsable de seguridad. Se consideran incluidas en este nivel normativo las guías CCN-STIC elaboradas por el Centro Criptológico Nacional.
2. Además de la normativa enunciada en este artículo, la estructura normativa podrá disponer, a criterio de cada uno de los órganos u organismos adscritos a esta PSI, y siempre dentro del ámbito de sus competencias y responsabilidades, de otros documentos tales como: informes técnicos, registros, evidencias, entre otros.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli/es/o/2021/10/15/auc1147#art-11