Art. 13
13 / 23En vigor desde 18 abr 2023
1. Conforme al artículo 13 del Real Decreto 311/2022, de 3 de mayo, la persona responsable de seguridad es la persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, y supervisa la implantación de las medidas necesarias para garantizar que se satisfacen dichos requisitos y reportar sobre estas cuestiones.
2. Serán funciones de la persona responsable de seguridad, dentro de su ámbito de actuación, las siguientes:
a) Mantener y verificar el nivel adecuado de seguridad de la información manejada y de los servicios electrónicos prestados por los sistemas de información.
b) Promover la formación y concienciación en materia de seguridad de la información.
c) Designar responsables de la ejecución del análisis de riesgos y de la declaración de aplicabilidad, identificar medidas de seguridad, determinar las configuraciones necesarias y elaborar la documentación del sistema.
d) Determinar la categoría de seguridad del sistema en colaboración con la persona responsable del sistema y con las responsables de la información y del servicio.
e) Participar en la elaboración e implantación de los planes de mejora de la seguridad y, en su caso, en la de los planes de continuidad, procediendo a su validación.
f) Gestionar y asegurar las revisiones externas o internas del sistema, incluyendo auditorías que serán transmitidas a las personas responsables de los sistemas de información para el seguimiento y resolución de las deficiencias encontradas.
g) Gestionar los procesos de certificación y las declaraciones de aplicabilidad pertinentes de los sistemas de información.
h) Generar y mantener actualizada la documentación relativa a su ámbito de responsabilidad.
i) Adoptar, de acuerdo con las personas responsables de la información y del servicio afectado, la decisión de la suspensión del manejo de una cierta información o la prestación de un cierto servicio a propuesta de la persona responsable del sistema cuando haya sido informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos.
3. La persona titular de la Subsecretaría designará a la persona responsable de seguridad del Ministerio. Asimismo, designará al responsable de seguridad de cada organismo público adscrito al Departamento, a propuesta del organismo correspondiente.
De acuerdo con lo previsto en el artículo 13.3 del Real Decreto 311/2022, de 3 de mayo, la persona responsable de la seguridad será distinta de la responsable del sistema, no debiendo existir dependencia jerárquica entre ambas. En aquellas situaciones excepcionales en las que la ausencia justificada de recursos haga necesario que ambas funciones recaigan en la misma persona o en distintas personas entre las que exista relación jerárquica, deberán aplicarse medidas compensatorias para garantizar la finalidad del principio de diferenciación de responsabilidades previsto en el artículo 11 del citado real decreto.
Cuando la complejidad, distribución, separación física de sus elementos o número de usuarios de los sistemas de información lo justifiquen, la persona titular de la Subsecretaría podrá designar a las personas responsables de seguridad delegadas que considere necesarias, que tendrán dependencia funcional directa de la persona responsable de seguridad del Ministerio y que serán responsables, en su ámbito, de todas aquellas acciones que aquella les delegue.
Para garantizar que la persona responsable de seguridad no reciba instrucciones que limiten el desempeño de sus funciones, las desempeñará con independencia de las unidades que gestionen las tecnologías de la información y comunicaciones, y en estas funciones dependerá de la Presidencia del COSTIC.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli/es/o/2023/04/10/tes369#art-13