Marco Normativo de Seguridad TIC y Protección de Datos
IMPORTANTE
En este espacio de la Unidad de Seguridad TIC (USTIC) del Servicio Andaluz de Salud se recoge la normativa de Seguridad TIC y de Protección de Datos Personales que aplica a la organización, incluidas las principales Guías y Buenas Prácticas en estas materias, así como las plantillas y los formularios para la evaluación y análisis que definimos y actualizamos periódicamente.
Los proveedores del SAS se comprometerán a prestar los productos y servicios contratados de acuerdo con este compendio normativo.
Puesto que los sistemas de información del SAS se encuentran bajo el alcance del Esquema Nacional de Seguridad (ENS), las soluciones tecnológicas o la prestación de servicios por parte de los proveedores deben ser conformes con lo dispuesto en el ENS y las correspondientes Declaraciones o Certificaciones de Conformidad, según lo señalado en el artículo 2.3 del ENS y en la Instrucción Técnica de Seguridad. En su defecto, el SAS podrá valorar el plan de adecuación al ENS presentado por el proveedor.
Los productos y servicios de seguridad TIC que licite el SAS estarán incluidos en el CPSTIC, Catálogo de Productos y Servicios de Seguridad TIC del Centro Criptológico Nacional. Este catálogo está destinado a facilitar a los organismos de la Administración pública o entidades privadas que den servicio a estos la adquisición de productos y servicios de seguridad confiables para su despliegue en sistemas TIC bajo el ENS o sistemas que manejen información clasificada. Si el producto o servicio no está incluido en el CPSTIC y dispone de una certificación funcional de seguridad (Common Criteria o LINCE) que cubre los requisitos fundamentales de seguridad (RFS), el SAS podrá aceptar la solución si es compatible con los requisitos técnicos y funcionales del objeto de contratación.
En el caso en el que en el Pliego de Prescripciones Técnicas (PPT) se manifiesten especificaciones de seguridad TIC que difieran de las expuestas en estos marcos normativos, se atenderá a lo indicado por la USTIC, salvo mención explícita contraria en el PPT. De cualquier modo, todas las peticiones de instalación, puesta en marcha o incorporación de nuevos dispositivos, aplicaciones sanitarias o sistemas de información en el ámbito de la seguridad TIC necesitarán de la evaluación de su idoneidad por parte de la USTIC, así como la categoría de seguridad y declaración de aplicabilidad correspondiente.


