POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE SUMINISTRADORES

Ponemos en conocimiento de nuestros proveedores la existencia de Directrices de Seguridad de la Información establecidas en nuestra organización para mostrar el compromiso de PRODEVELOP en la protección y garantía de los principios de: confidencialidad, integridad, autenticidad y disponibilidad de la información manejada en la Organización.

Trabajamos bajo un Sistema de Gestión de Seguridad de la Información, cuyo alcance no sólo afecta al uso de los activos, sino que se extiende a todas las personas y terceros en el conocimiento y cumplimiento de estas Directrices estructuradas acorde a la norma ISO/IEC 27001:2022. Tanto la Política como las Directrices de Seguridad de la Información, están en línea con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Esta regulación en materia de seguridad incide en los siguientes campos de la Organización:

• Acceso a las instalaciones. En la que se regulan las normas de acceso, haciendo especial mención a los accesos a áreas seguras y regulación del acceso a personas ajenas a la organización.
• Acceso a la red corporativa. Los recursos corporativos son protegidos con los medios de seguridad técnicos necesarios para asegurar la protección de la información, ya sea desde las propias instalaciones o de forma externa. El acceso y el uso de la información están reguladas por normas enfocadas a la protección con especial atención a información sensible o confidencial.
• Uso de los activos. Las personas en PRODEVELOP se comprometen a hacer un uso racional y velar por el cuidado de los equipos proporcionados por la Organización para el desempeño de sus funciones y tareas. En este sentido se describen normas de actuación y se aplican configuraciones encaminadas a la protección de la información contenida en estos dispositivos.
• Uso de internet. Especial atención se realiza en la regulación del uso de internet, correo electrónico y almacenamiento en la nube a usos profesionales con el objetivo de minimizar riesgos que puedan producirse con un uso no regulado de dichas herramientas.
• Gestión de incidencias. La implicación de las personas de PRODEVELOP en materia de seguridad ayuda a detectar posibles problemas que puedan poner en peligro la confidencialidad, integridad y disponibilidad los servicios o activos que soportan.
• Continuidad de negocio. Todos los medios implantados para la disponibilidad y continuidad del negocio están en línea con los requerimientos de los esquemas ISO certificados en la organización.
• Propiedad intelectual. Protegida con el compromiso de las personas de PRODEVELOP conforme a las normas de confidencialidad de la organización.

La violación de las Políticas y las directrices de Seguridad está sujetas a sanción de acuerdo con los mecanismos habilitados en la legislación vigente.

Tanto la política (SGSI02-PolíticaDeSeguridad) como las directrices (SGSI04-DirectricesGestionSeguridad) son revisadas periódicamente para alinearlas con las necesidades de la organización.

El Comité de Dirección conoce la importancia de estas Políticas y participa activamente en la revisión de las mismas.

 

POLÍTICA DE SEGURIDAD ENS

1 Introducción

La presente Política de Seguridad de la Información se elabora en cumplimiento de la exigencia del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), en el ámbito de la Administración Electrónica, que en su artículo 12 establece la obligación a las Administraciones Públicas y a los proveedores de servicios de las Administraciones públicas de disponer de una Política de Seguridad e indica los requisitos mínimos que debe cumplir. 

Esta Política de Seguridad sigue también las indicaciones de la guía CCN-STIC-805 del Centro Criptológico Nacional (CCN), centro adscrito al Centro Nacional de Inteligencia (CNI). 

Ley 40/2015, de Régimen Jurídico del Sector Público establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados y recoge el Esquema Nacional de Seguridad en su artículo 156. 

Mientras que la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13 sobre derechos de las personas en sus relaciones con las Administraciones Públicas el relativo a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas. 

La finalidad del ENS es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.  

La adaptación al ENS implica que Prodevelop y su personal deben aplicar las medidas mínimas de seguridad exigidas por el propio ENS, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados. 

Las diferentes unidades de gestión de Prodevelop deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.  

Los requisitos de seguridad y los costes asociados deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC. 

 

1. Misión 

Prodevelop tiene como misión prestar servicios de desarrollo de aplicaciones para administraciones públicas, el desarrollo de aplicaciones en el ámbito de I+D+I y aunque en menor medida, el desarrollo de aplicaciones en la empresa privada.  

El principal sector de actuación de Prodevelop en cuanto a administraciones públicas, es el sector portuario. Se ofrecen soluciones portuarias para la gestión y optimización de actividades portuarias. 

Además, la empresa está altamente comprometida con la investigación, desarrollo e innovación, como fuente de enriquecimiento del conocimiento de nuestro equipo de trabajo. 

Las soluciones que ofrece Prodevelop principalmente pertenecen a los sectores marítimo, agrario, administración pública, transporte y medioambiente. 

2. Alcance 

Prodevelop aplicará la presente Política de Seguridad sobre aquellos sistemas que están relacionados con el ejercicio de desarrollo de las aplicaciones utilizadas por las administraciones públicas y que están relacionados con el ejercicio de derechos por medios electrónicos, con el cumplimiento de deberes por medios electrónicos o con el acceso a la información o al procedimiento administrativo.  

De forma concreta, atendida la misión de Prodevelop definida en el punto 2, la presente Política de Seguridad es aplicable sobre los Sistemas de Información que dan soporte a las actividades de desarrollo software, implantación y asistencia. 

La organización desestima la aplicación de la presente Política de Seguridad sobre aquellos sistemas de información no reflejados en este apartado. 

 3. Marco normativo complementario 

En el desarrollo e implementación de esta política se tendrán en cuenta los Estatutos de Prodevelop, así como sus normativas de desarrollo relacionadas con los objetivos de este. 

El marco normativo aplicable a Prodevelop se encuentra en el apartado 6 Normativa Aplicable del documento SGSI05 Manual de Seguridad. 

 4. Organización de la seguridad 

Pueden distinguirse tres (3) niveles en el organigrama de Prodevelop: 

• Nivel 1 – Dirección general:  

Secretario General, que entiende la misión de la organización, determina los objetivos que se propone alcanzar y responde que se alcancen. 

 

• Nivel 2 – Dirección Ejecutiva:  

Servicios, que entienden qué hace cada unidad de gestión y cómo las diferentes unidades se coordinan entre sí para alcanzar los objetivos marcados por la Dirección. 

 

• Nivel 3: Operacional 

Se centra en una actividad concreta y controla cómo se hacen las cosas. 

Siguiendo el mismo esquema y de acuerdo con el ENS se estructura un organigrama de seguridad Prodevelop en 3 niveles:  

Nivel 1: 

• Comité de Seguridad Corporativa (cso) 

• Comité de seguridad de la información(ciso) 

• Responsable de la Información.  

• Responsable del Servicio 

Nivel 2: 

• Responsable de la Seguridad de la Información. 

Nivel 3: 

• Responsables de los Sistemas de Información. 

La especificación de requisitos de seguridad (Nivel 1) corresponde a los responsables de la información y de los servicios, junto con el responsable del fichero si hubiera datos de carácter personal. La operación (nivel 3) corresponde a los responsables de los sistemas, mientras que la supervisión corresponde al responsable de la seguridad (nivel 2). 

Por encima de todos ellos existe el Comité de Coordinación y Gestión de la Seguridad (nivel 1). Este Comité de Seguridad puede asumir también la responsabilidad de la Información y de los Servicios. 

La descripción concreta de las responsabilidades puede consultarse en el documento: SGS01-Roles y Responsabilidades.docx 

4. Procedimientos de designación 

El desempeño de las responsabilidades definidas en esta Política de Seguridad vendrá determinado por el acceso a los diferentes cargos que se han vinculado a ellas. En el caso de que desapareciese o cambiará de denominación alguno de estos cargos será competencia de Dirección de Prodevelop asignar el nuevo puesto al que quedará vinculada la figura.  

5. Resolución de conflictos 

El comité de seguridad se encargará de la resolución de los conflictos y/o diferencias de opiniones que pudieran surgir entre los roles de seguridad. 

 6. Cumplimiento de artículos  

Para lograr el cumplimiento de los artículos del Real Decreto 311/2022, de 3 de mayo por el que se regula el Esquema Nacional de Seguridad (ENS), Prodevelop ha implementado diversas medidas de seguridad proporcionales a la naturaleza de la información y los servicios a proteger y teniendo en cuenta la categoría del sistema afectado. 

Seguridad como un proceso integral (artículo 6) y mínimo privilegio (artículo 20) 

La seguridad se entiende como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información. La aplicación del ENS de Prodevelop estará presidida por este principio, que excluye cualquier actuación puntual o tratamiento coyuntural. 

Los sistemas de información deben diseñarse y configurarse otorgando los mínimos privilegios necesarios para su correcto desempeño, lo que implica incorporar los siguientes aspectos: 

1. El sistema proporcionará la funcionalidad imprescindible para que la organización alcance sus objetivos competenciales o contractuales. 
2. Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son desarrolladas por las personas autorizadas, desde emplazamientos o equipos asimismo autorizados; pudiendo  exigirse, en su caso, restricciones de horario y puntos de acceso facultados. 
3. Se eliminarán o desactivarán, mediante el control de la configuración, las funciones que sean innecesarias o inadecuadas al fin que se persigue. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario. 
4. Se aplicarán guías de configuración de seguridad para las diferentes tecnologías, adaptadas a la categorización del sistema, al efecto de eliminar o desactivar las funciones que sean innecesarias o inadecuadas. 

Vigilancia continua y reevaluación periódica (artículo 10) e integridad y actualización del sistema (artículo 21) 

Prodevelop ha implementado controles y evaluaciones regulares de la seguridad, (incluyendo evaluaciones de los cambios de configuración de forma rutinaria), para conocer en todo momento el estado de la seguridad de los sistemas en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos. Antes de la entrada de nuevos elementos, ya sean físicos o lógicos, estos requerirán de una autorización formal. 

Así mismo, solicitará la revisión periódica por parte de terceros con el fin de obtener una evaluación independiente. 

Una vigilancia continua permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta. 

Las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario. 

Gestión de personal (artículo 15) y profesionalidad (artículo 16) 

Prodevelop establecerá un programa de concienciación continua para atender a todos los miembros, en particular a los de nueva incorporación. 

Las personas con responsabilidad en el uso, operación o administración de sistemas TIC recibirán formación para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formación será obligatoria antes de asumir una responsabilidad, tanto si es su primera asignación o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo. 

Gestión de la seguridad basada en los riesgos (artículo 7) y análisis y gestión de riesgos (artículo 14) 

Todos los sistemas afectados por esta Política de Seguridad, así como todos los tratamientos de datos personales, deberán ser objeto de un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá: 

• Regularmente, al menos cada una vez al año. 

• Cuando cambien la información manejada y/o los servicios prestados de manera significativa. 

• Cuando ocurra un incidente grave de seguridad o se detecten vulnerabilidades graves. 

El Responsable de Seguridad ENS será el encargado de que se realice el análisis de riesgos, así como de identificar carencias y debilidades y ponerlas en conocimiento del Comité de Seguridad de la Información. 

Incidentes de seguridad (artículo 25), prevención, detección, respuesta y conservación (artículo 8) 

Prodevelop ha implementado un proceso integral de detección, reacción y recuperación frente a código dañino mediante el desarrollo de procedimientos que cubren los mecanismos de detección, los criterios de clasificación, los procedimientos de análisis y resolución, así como los cauces de comunicación a las partes interesadas y el registro de las actuaciones. Este registro se empleará para la mejora continua de la seguridad del sistema. 

Para que la información y/o los servicios no se vean perjudicados por incidentes de seguridad, Prodevelop implementa las medidas de seguridad establecidas por el ENS, así como cualquier otro control adicional, que haya identificado como necesario, a través de una evaluación de amenazas y riesgos. Estos controles, así como los roles y responsabilidades de seguridad de todo el personal, están claramente definidos y documentados. 

Cuando se produce una desviación significativa de los parámetros que se hayan preestablecido como normales, se establecerán los mecanismos de detección, análisis y reporte necesarios para que lleguen a los responsables regularmente. 

Para garantizar la disponibilidad de los servicios Prodevelop dispone de los medios y técnicas necesarias que permiten garantizar la recuperación de los servicios más críticos. 

Existencia de líneas de defensa (artículo 9) y prevención ante otros sistemas interconectados (artículo 23) 

Prodevelop ha implementado una estrategia de protección basada en múltiples capas, constituidas por medidas organizativas, físicas y lógicas, de tal forma que cuando una de las capas falle, el sistema implementado permita: 

• Ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse. 

• Reducir la probabilidad de que el sistema sea comprometido en su conjunto. 

• Minimizar el impacto final sobre el mismo. 

Esta estrategia de protección ha de proteger el perímetro, en particular, si se conecta a redes públicas. En todo caso se analizarán los riesgos derivados de la interconexión del sistema, a través de redes, con otros sistemas, y se controlará su punto de unión. 

Diferenciación de responsabilidades (artículo 11) y organización e implantación del proceso de seguridad (artículo 13) 

Prodevelop ha organizado su seguridad comprometiendo a todos los miembros de la corporación mediante la designación de diferentes roles de seguridad con responsabilidades claramente diferenciadas, tal y como se recoge en el apartado 5 “ORGANIZACIÓN DE LA SEGURIDAD” del presente documento. 

Autorización y control de los accesos (artículo 17) 

Prodevelop ha implementado mecanismos de control de acceso al sistema de información, limitándolos a los estrictamente necesarios y debidamente autorizados. 

Protección de las instalaciones (artículo 18) 

Prodevelop ha implementado mecanismos de control de acceso físico, previniendo los accesos físicos no autorizados, así como los daños a la información y a los recursos, mediante perímetros de seguridad, controles físicos y protecciones generales en áreas. 

Adquisición de productos de seguridad y contratación de servicios de seguridad (artículo 19) 

Para la adquisición de productos Prodevelop tendrá en cuenta que dichos productos tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen, a juicio del responsable de Seguridad. 

Para la contratación de servicios de seguridad se estará a lo señalado en los apartados anteriores y a lo dispuesto en Autorización y control de los accesos (artículo 17). 

Protección de la información almacenada y en tránsito (artículo 22) y continuidad de la actividad (artículo 26) 

Prodevelop ha implementado mecanismos para proteger la información almacenada o en tránsito, especialmente cuando esta se encuentra en entornos inseguros (portátiles, tablets, soportes de información, redes abiertas, etc.).  

Los sistemas dispondrán de copias de seguridad y establecerán los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de pérdida de los medios habituales de trabajo. 

Registros de actividad y detección de código dañino (artículo 24) 

Prodevelop ha habilitado registros de la actividad de los usuarios reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa. Todo ello con la finalidad exclusiva de lograr el cumplimiento del objeto del presente real decreto, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales. 

1. Datos de carácter personal  

Prodevelop realiza tratamientos en los que hace uso de datos de carácter personal sometidos a lo dispuesto por el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016.  

Las políticas de seguridad aplicables a estos tratamientos se rigen por el Registro de Tratamiento de Datos Personales de Prodevelop, en él se relacionan los tratamientos de datos afectados por el Reglamento. 

Todos los sistemas de información de Prodevelop se ajustarán a la seguridad requerida por la naturaleza y finalidad de los datos de carácter personal recogidos en el mencionado Registro de Tratamiento de Datos.  

Prodevelop ha llevado a cabo un análisis de riesgos de los tratamientos de datos personales de acuerdo con la legislación vigente en la materia. Así mismo, en la apreciación de riesgos que se realiza anualmente se analizan las amenazas a las que están expuestos los datos que se manejan en la entidad. 

8. Directrices para la estructuración de la documentación, su gestión y acceso 

Todos los documentos que forman el sistema de gestión tendrán una reseña con quién ha revisado el documento y quién lo ha aprobado. Preferentemente, el documento tendrá que ser revisado por el Responsable de Seguridad y aprobado por Dirección.  

Toda la documentación del sistema de gestión estará ubicada en una unidad compartida del sistema colaborativo de Prodevelop. Esta unidad será de edición para los miembros del Comité de Seguridad. El resto del personal tendrá acceso de lectura a los documentos, ubicados en esta unidad, que deban conocer o que el Comité de Seguridad estime oportuno. 

El sistema colaborativo donde se ubique toda la documentación de seguridad del sistema deberá permitir gestionar versionado de los documentos, así como la revisión de la actividad realizada en dicha documentación.  

1. Desarrollo de la Política de Seguridad  

Esta Política se desarrolla por medio de Normativa de Seguridad que afronte aspectos específicos. La Normativa de Seguridad estará a disposición de todos los miembros de la organización que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de información y comunicaciones.  

Otros documentos que complementan esta Política de Seguridad son: 

• Normativa de seguridad y política de seguridad del SGSI de Prodevelop.  

La normativa de seguridad estará disponible en la aplicación de gestión de documentación utilizada por Prodevelop. 

2. Obligaciones del personal  

Todos los miembros de Prodevelop tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad desarrollada a partir de ella, siendo responsabilidad del Comité de Seguridad disponer de los medios necesarios para que la información llegue a los afectados, teniendo en cuenta siempre las disponibilidades presupuestarias de Prodevelop.  

Todos los trabajadores de Prodevelop bajo el alcance del ENS atenderán a una acción de concienciación en materia de seguridad TIC, al menos, una vez cada dos años. Se establecerá un programa de acciones en concienciación continua para atender a todos los miembros de Prodevelop relacionados con desarrollos de aplicaciones relacionadas con la administración pública, en particular a los de nueva incorporación, teniendo en cuenta siempre las disponibilidades presupuestarias de Prodevelop. Se realizará una acción de concienciación durante los dos años siguientes a la aprobación de esta Política de Seguridad y de manera continuada para el personal de nueva incorporación. 

En su caso, si se requiere formación específica para el manejo seguro de los sistemas, las personas con responsabilidad en la operación o administración de sistemas TIC la recibirán en la medida en que la necesiten para realizar su trabajo.  

 3. Terceras partes  

Cuando Prodevelop preste servicios a otros organismos o maneje información de otros organismos, se les hará partícipe de esta Política de Seguridad de la Información. Para ello, se establecerán canales para informe y coordinación de los respectivos Comités de Seguridad del ENS y se establecerán procedimientos de actuación para la reacción ante incidentes de seguridad.  

Cuando Prodevelop utilice servicios de terceros o ceda información a terceros, se les hará partícipe de esta Política de Seguridad y de la Normativa de Seguridad que implique a dichos servicios o información. Dicha tercera parte quedará sujeta a las obligaciones establecidas en la mencionada normativa. Con ello, el proveedor deberá garantizar que su personal está adecuadamente formado en materia de seguridad de acuerdo con los requerimientos de Prodevelop. 

 4. Entrada en vigor  

La presente Política de Seguridad de la Información es efectiva desde el día siguiente al de su fecha de aprobación por la Dirección de Prodevelop y hasta que sea reemplazada por una nueva Política.  

Anexo A. Glosario de términos 

Análisis de riesgos 

Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos. 

Datos de carácter personal 

Cualquier información concerniente a personas físicas identificadas o identificables. en el Reglamento General de Protección de Datos Personales. 

Gestión de incidentes 

Plan de acción para atender a las incidencias que se den. Además de resolverlas debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas. ENS. 

Gestión de riesgos 

Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos. ENS. 

Incidente de seguridad 

Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información. ENS. 

Información 

Caso concreto de un cierto tipo de información. 

Política de seguridad 

Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que consideran críticos. ENS. 

Principios básicos de seguridad 

Fundamentos que deben regir toda acción orientada a asegurar la información y los servicios. ENS. 

Responsable de la información 

Persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad. 

Responsable de la seguridad 

El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. 

Responsable del servicio 

Persona que tiene la potestad de establecer los requisitos de un servicio en materia de seguridad. 

Responsable del sistema 

Persona que se encarga de la explotación del sistema de información. 

Servicio 

Función o prestación desempeñada por alguna entidad oficial destinada a cuidar intereses o satisfacer necesidades de los ciudadanos. 

Sistema de información 

Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir. 

 

Anexo B. Abreviaturas 

CCN  

Centro Criptológico Nacional 

CERT  

Computer Emergency Reaction Team 

ENS  

Esquema Nacional de Seguridad 

STIC  

Seguridad TIC 

TIC  

Tecnologías de la Información y las Comunicaciones 

 

Anexo C. Referencias 

CCN-STIC-402 

Organización y Gestión para la Seguridad de los Sistemas TIC. Diciembre 2006. 

CCN-STIC-801 

ENS – Responsables y Funciones. marzo 2019. 

 

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016  

Relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)  

 

RD 311/2022 

Real Decreto 311/2022, de 3 de mayo por el que se regula el Esquema Nacional de Seguridad.