Estás viendo una versión antigua de esta página. Ve a la versión actual.

Comparar con el actual Ver el historial de la página

« Anterior Versión 2 Siguiente »

Marco legal aplicable

En esta página se incluyen las leyes y normas de aplicación, tanto a la Seguridad de la Información como a la Protección de Datos Personales, agrupadas en cuatro apartados, así como las principales Guías y Buenas Prácticas en ambas materias.

Leyes y normas de aplicación




Regulación Europea
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión
REGLAMENTO (UE) 2019/881 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n. o 526/2013 («Reglamento sobre la Ciberseguridad»)
Regulación Nacional
Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas.
Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Seguridad del Operador y de los Planes de Protección Específicos
Resolución de 15 de noviembre de 2011, de la Secretaría de Estado de Seguridad, por la que se establecen los contenidos mínimos de los planes de seguridad del operador y planes de protección específicos conforme a lo dispuesto en el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de infraestructuras críticas.
Regulación Autonómica
Resolución de 22 de octubre de 2020, de la Secretaría General para la Administración Pública, por la que se aprueba el Código de Conducta en el uso de las Tecnologías de la Información y la Comunicación para profesionales públicos de la Administración de la Junta de Andalucía.
DECRETO 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
Decreto 70/2017, de 6 de junio, por el que se modifica el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
Orden de 9 de junio de 2016, por la que se efectúa el desarrollo de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
Resolución de 13 de julio de 2018, de la Dirección General de Telecomunicaciones y Sociedad de la Información, por la que se establecen normas sobre gestión de incidentes de seguridad TIC.
Resolución de 26 de enero de 2018, de la Dirección General de Telecomunicaciones y Sociedad de la Información, por la que se establecen normas sobre integración en el Centro de Seguridad TIC Andalucía-CERT.
Regulación Corporativa 
Resolución de 8 de abril de 2021, de la Dirección Gerencia del Servicio Andaluz de Salud, por la que se aprueba la Política de Seguridad de las Tecnologías de la información y la comunicación del Servicio Andaluz de Salud.
Resolución de 26 de marzo de 2021, de la Dirección Gerencia del Servicio Andaluz de Salud, por la que se crea el Comité de Seguridad Interior y Seguridad de las Tecnologías de la Información y Comunicaciones del Servicio Andaluz de Salud y se determinan su composición, funciones y bases de su funcionamientoResolucion 26_03_2021 Creacion CSISTIC SAS.pdf
Resolución SA 0087/18 de 13 de julio de 2018 Instrucciones para la tramitación administrativa de protocolos generales y de convenios en el ámbito del Servicio Andaluz de SaludResolucion87-2018_InstruccionesTramitacionProtocolosGeneralesYconveniosSAS-1.pdf

Guías y Buenas Prácticas




Guías CCN-CERT
Guía de Seguridad de las TIC CCN-STIC 201 ORGANIZACIÓN Y GESTIÓN PARA LA SEGURIDAD DE LAS TIC
GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-205) ACTIVIDADES DE SEGURIDAD EN EL CICLO DE VIDA DE LOS SISTEMAS TIC
GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-403) GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICOS
GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-412) REQUISITOS DE SEGURIDAD DE ENTORNOS Y APLICACIONES WEB
GUÍA/NORMA DE SEGURIDAD DE LAS TIC (CCN-STIC-422) DESARROLLO SEGURO DE APLICACIONES WEB
Guía de Seguridad de las TIC CCN-STIC 801 ESQUEMA NACIONAL DE SEGURIDAD RESPONSABILIDADES Y FUNCIONES MARZO
Guía de Seguridad de las TIC CCN-STIC 803 Mayo 2020 ENS. Valoración de los sistemas
Guía de Seguridad de las TIC CCN-STIC 804. ENS. Guía de implantación
Guía de Seguridad de las TIC CCN-STIC 806. Plan de Adecuación al ENS
GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-812) SEGURIDAD EN ENTORNOS Y APLICACIONES WEB
Guía de Seguridad de las TIC CCN-STIC 817 Esquema Nacional de Seguridad. Gestión de ciberincidentes
Guía de Seguridad de las TIC CCN-STIC 821 ESQUEMA NACIONAL DE SEGURIDAD NORMAS DE SEGURIDAD
GUÍA DE SEGURIDAD (CCN-STIC-822) ESQUEMA NACIONAL DE SEGURIDAD PROCEDIMIENTOS DE SEGURIDAD
Guía de Seguridad de las TIC CCN-STIC 857. Requisitos de seguridad para aplicaciones de Cibersalud en el contexto del ENS
Obligaciones de los prestadores de servicios a las entidades públicas
Buenas Prácticas CCN-CERT

A continuación, se muestra el listado de Buenas Prácticas que CCN-CERT ha publicado y que deben tenerse en cuenta. En la columna de al lado, pueden consultarse cada uno de ellos:

  • Medidas de seguridad para acceso remoto         
  • CCN-CERT BP/01. Principios y recomendaciones básicas en Ciberseguridad BP/01. INFORME DE BUENAS PRÁCTICAS 
  • CCN-CERT BP/02 Correo electrónico. INFORME DE BUENAS PRÁCTICAS 
  • CCN-CERT BP/03 . Dispositivos móviles.  INFORME DE BUENAS PRÁCTICAS          
  • CCN-CERT BP/05. Internet de las Cosas. INFORME DE BUENAS PRÁCTICAS           
  • CCN-CERT BP/06. Seguridad y riesgos de los navegadores web INFORME DE BUENAS PRÁCTICAS        
  • CCN-CERT BP/08 Buenas Prácticas en Redes Sociales.  INFORME DE BUENAS PRÁCTICAS              
  • CCN-CERT BP/09. Recomendaciones de protección DoS en cortafuegos. INFORME DE BUENAS PRÁCTICAS       
  • CCN-CERT BP/10. Recomendaciones de seguridad para CDN. INFORME DE BUENAS PRÁCTICAS        
  • CCN-CERT BP/11. Recomendaciones de seguridad en redes Wi- Fi corporativas INFORME DE BUENAS PRÁCTICAS       
  • CCN-CERT BP/12. Buenas Prácticas en Cryptojacking. INFORME DE BUENAS PRÁCTICAS 
  • CCN-CERT BP/13. Desinformación en el Ciberespacio. INFORME DE BUENAS PRÁCTICAS
  • CCN-CERT BP/14. Declaración de Aplicabilidad en el ENS (Perfil de Cumplimiento). INFORME DE BUENAS PRÁCTICAS 
  • CCN-CERT BP/15, AGOSTO 2021. Buenas Prácticas en Virtualización. INFORME DE BUENAS PRÁCTICAS        
  • CCN-CERT BP/16. Marzo 2022. RECOMENDACIONES DE SEGURIDAD DE ADOBE ACROBAT READER DC       
  • CCN-CERT BP/17. Mayo 2020. RECOMENDACIONES DE SEGURIDAD DE MOZILLA FIREFOX              
  • CCN-CERT BP/18. Mayo 2020. Recomendaciones de seguridad para situaciones de teletrabajo y refuerzo en vigilancia        
  • CCN-CERT BP/19. Recomendaciones de seguridad en Google Chrome. INFORME DE BUENAS PRÁCTICAS        
  • CCN-CERT BP/20. GESTIÓN DE CIBERCRISIS BUENAS PRÁCTICAS EN LA GESTIÓN DE CRISIS DE CIBERSEGURIDAD           
  • CCN-CERT BP/21. Gestión de incidentes de ransomware. INFORME DE BUENAS PRÁCTICAS




Consulta Documentos Buenas Prácticas CCN-CERT









































Buenas Prácticas Análisis de Riesgos
MAGERIT – versión 3.0. Metodología de Análisis y Gestión. de Riesgos de los Sistemas de Información. Libro I - Método
MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro II - Catálogo de Elementos
MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro III - Guía de Técnicas









  • Sin etiquetas