Sede electrónica del Ayuntamiento de Madrid

El Ayuntamiento de Madrid utiliza los medios que en cada momento ponen a su disposición las Tecnologías de la Información y de las Comunicaciones (TIC) para alcanzar sus objetivos.

Los sistemas TIC deben estar protegidos contra amenazas accidentales o deliberadas con potencial para incidir en la confidencialidad, integridad, disponibilidad, autenticidad o trazabilidad de la información y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestación continua de los servicios.

Esto implica que los órganos superiores y directivos responsables de la información, los sistemas y los servicios electrónicos deben aplicar las medidas mínimas de seguridad exigidas por el Real Decreto 3/2010, de 8 de enero, que regula el Esquema Nacional de Seguridad (en adelante, ENS) en el ámbito de la Administración Electrónica, modificado mediante Real Decreto 951/2015, de 23 de octubre, así como realizar un seguimiento continuo de los niveles de prestación de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes órganos superiores y directivos responsables deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación. Los requisitos de seguridad y su financiación, deben ser identificados e incluidos en la planificación, en la solicitud de ofertas, y en pliegos de licitación para proyectos de TIC.

Según el artículo 7 del Real Decreto regulador del ENS, la seguridad de la información debe contemplar los aspectos de prevención, detección, reacción, corrección y recuperación, para conseguir que las amenazas sobre la misma no se materialicen y no afecten a los servicios que se prestan.

El Ayuntamiento de Madrid, con objeto de impulsar la máxima coordinación de actuaciones en esta materia y para garantizar los adecuados niveles de seguridad de la información en su ámbito y el establecimiento de criterios comunes, ha creado, mediante el Decreto de la Alcaldesa de 8 de junio de 2016, el Comité Municipal de Seguridad de la Información, como órgano colegiado competente para elaborar las propuestas de modificación y actualización de la Política de Seguridad de la Información del Ayuntamiento de Madrid y sus Organismos Públicos, en adelante, la Política de Seguridad de la Información, evaluando su idoneidad con una periodicidad mínima anual y proponiendo a la Junta de Gobierno del Ayuntamiento de Madrid su aprobación y revisión cuando proceda.

El Comité Municipal de Seguridad de la Información, de carácter interdepartamental, está adscrito a la Gerencia de la Ciudad, órgano competente en materia de tecnologías de la información y comunicaciones municipales.

La Política de Seguridad de la Información, que se aprueba mediante el presente Acuerdo, contiene los principios y directrices para la gestión de la seguridad de la información y el modelo organizativo para la gestión de dicha Política.

En la misma, se incluyen los siguientes aspectos:

a) El objetivo y alcance de la Política de Seguridad de la Información.

b) El marco normativo aplicable en el ámbito de la Seguridad de la Información.

c) Los niveles aplicables en esta materia.

d) El modelo organizativo para la gestión de la Política de Seguridad de la Información.

e) Los roles, responsabilidades y funciones de los órganos municipales relacionados con la seguridad de la información.

De conformidad con lo dispuesto en el artículo 17.1 b) de la Ley 22/2006, de 4 de julio, de Capitalidad y de Régimen Especial de Madrid, la competencia para la adopción del presente Acuerdo corresponde a la Junta de Gobierno de la Ciudad de Madrid.

En su virtud, a propuesta del titular de la Gerencia de la Ciudad que eleva la Secretaria de la Junta de Gobierno, previa deliberación, la Junta de Gobierno de la Ciudad de Madrid, en su reunión de 24 de mayo de 2017,

ACUERDA

PRIMERO.- Aprobar la Política de Seguridad de la Información del Ayuntamiento de Madrid y sus Organismos Públicos en los términos del Anexo que se incorpora al presente Acuerdo.

SEGUNDO.- Los criterios e instrucciones contenidas en el documento que se aprueba mediante el presente Acuerdo constituyen directrices vinculantes para todos los órganos superiores y directivos del Ayuntamiento de Madrid y de sus Organismos Públicos, así como para terceras partes a las que el Ayuntamiento de Madrid y sus Organismos Públicos presten servicios, cedan información, o de las que utilicen servicios o manejen información.

El Ayuntamiento mantendrá en la sede electrónica la versión actualizada del documento de Política de Seguridad de la Información.

TERCERO.- Facultar a la Gerencia de la Ciudad, órgano competente en materia de tecnologías de la información y comunicaciones municipales, para resolver las dudas que pudieran surgir en la interpretación y aplicación del presente Acuerdo.

CUARTO.- Quedan sin efecto todas las directrices o instrucciones que se opongan o contradigan lo establecido en el presente Acuerdo, y en particular, el Acuerdo de 18 de diciembre de 2014 de la Junta de Gobierno de la Ciudad de Madrid por el que se aprueba la Política de Seguridad de la Información del Ayuntamiento de Madrid y sus Organismos Autónomos.

QUINTO.- El presente Acuerdo surtirá efectos a partir de su adopción, sin perjuicio de su publicación en el Boletín Oficial del Ayuntamiento de Madrid".

ANEXO

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL AYUNTAMIENTO DE MADRID Y SUS ORGANISMOS PÚBLICOS.

1. Objetivo.

1.1. La Política de Seguridad de la Información del Ayuntamiento de Madrid y sus Organismos Públicos (en adelante, la Política de Seguridad de la Información), identifica responsabilidades y establece principios y directrices para una protección apropiada y consistente de los servicios y activos de información gestionados por medio de las Tecnologías de la Información y de las Comunicaciones (TIC).