Art. 12
12 / 21En vigor desde 26 oct 2021
1. La gestión de riesgos debe realizarse de manera continua sobre el sistema de información, conforme a los principios de gestión de la seguridad y protección de datos, basada en los riesgos (artículo 6 del Real Decreto 3/2010, de 8 de enero, artículo 24 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre) y reevaluación periódica (artículo 9 del Real Decreto 3/2010, de 8 de enero), siendo la persona o unidad responsable del servicio la encargada de solicitar el preceptivo análisis de riesgos y de que se proponga el tratamiento adecuado, calculando los riesgos residuales. El responsable de seguridad, tras la calificación de la información y la determinación del nivel de seguridad del sistema, obtendrá la matriz de aplicabilidad y el conjunto de medidas para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información y del servicio. Se realizará la evaluación de riesgo identificando los riesgos residuales y, determinando, sobre la base de estos, el Plan de Tratamiento de Riesgo, que será comunicado al responsable de la información y del servicio.
2. La persona o unidad responsable de seguridad es la persona encargada de realizar dicho análisis en tiempo y forma, a petición de la persona responsable de la información y/o de la persona responsable del servicio, así como de identificar carencias y debilidades y ponerlas en conocimiento de las personas responsables de la información y del servicio.
3. Las personas responsables de la información y del servicio son los propietarios de los riesgos sobre la información y sobre los servicios, respectivamente, siendo responsables de su seguimiento y control, sin perjuicio de la posibilidad de delegar esta tarea.
4. El proceso de gestión de riesgos, que comprende las fases de categorización de los sistemas, análisis de riesgos y selección de medidas de seguridad a aplicar, que deberán ser proporcionales a los riesgos y estar justificadas, deberá revisarse y aprobarse cada año por la persona titular del órgano o unidad administrativa o, en su caso, organismo autónomo, a través de un Plan de Adecuación al Esquema Nacional de Seguridad.
5. En cumplimento del Reglamento de actuación y funcionamiento del sector público por medios electrónicos, aprobado por el Real Decreto 203/2021 de 30 de marzo, el nivel de seguridad en la identificación electrónica de los sistemas de información que soporten procedimientos o servicios donde sea requerida, se determinará sobre la base del análisis de riesgos, de acuerdo con el Esquema Nacional de Seguridad y normativa correspondiente.
6. Las indicadas fases del proceso de gestión de riesgos se realizarán según lo dispuesto en los anexos I y II del Real Decreto 3/2010, de 8 de enero y siguiendo las normas, instrucciones, guías CCN-STIC y recomendaciones para la aplicación del mismo elaboradas por el Centro Criptológico Nacional.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli/es/o/2021/10/15/auc1147#art-12