B
BOPA·CHAT
Decret 550/2023, del 6-12-2023, d’aprovació de la política de seguretat de la informació del Govern d’Andorra i de creació del Comitè Tècnic de Seguretat de la informació.
42 versiones

Decret 550/2023, del 6-12-2023, d’aprovació de la política de seguretat de la informació del Govern d’Andorra i de creació del Comitè Tècnic de Seguretat de la informació.

Evolución de este artículo a través de todas las versiones de la ley.

v1OriginalBOPA 03515012 dic 2023

Gestió de riscos

Decret 550/2023, del 6-12-2023, d’aprovació de la política de seguretat de la informació del Govern d’Andorra i de creació del Comitè Tècnic de Seguretat de la informació.

  1. La gestió de riscos és el procés integral que implica la identificació, l’avaluació i la mitigació de les amenaces cibernètiques.
  2. El delegat de la seguretat de la informació és l’encarregat d’assegurar que s’efectui l’anàlisi de riscos, així com d’identificar mancances i debilitats i de posar-les en coneixement del Comitè Tècnic de Seguretat de la Informació.
  3. El procés de gestió de riscos ha de complir els requeriments establerts en l’ENS-AD i les indicacions de l’ANC-AD (Agència Nacional de Ciberseguretat d’Andorra).
  4. En l’anàlisi de riscos s’ha d’utilitzar una metodologia estàndard i reconeguda en l’àmbit internacional alineada amb el que exigeix l’ENS-AD.
  5. L’anàlisi i gestió de riscos és una part essencial del procés de seguretat, per assegurar el manteniment d’un entorn controlat, minimitzant els riscos fins a nivells considerats acceptables per l’organització.
  6. La reducció del nivell de risc es fa desplegant mesures de seguretat i privacitat que es modulen en funció de la naturalesa de les dades i els tractaments de la informació, així com de l’impacte i la probabilitat dels riscos als quals estiguin exposats, buscant un compromís entre cost i aficacia.
v2ModificaciónCambiado21 may 2024

Gestió de riscos

Deroga art. tota la norma

  1. La gestió de riscos és el procés integral que implica la identificació, l’avaluació i la mitigació de les amenaces cibernètiques.
  2. El delegat de la seguretat de la informació és l’encarregat d’assegurar que s’efectui l’anàlisi de riscos, així com d’identificar mancances i debilitats i de posar-les en coneixement del Comitè Tècnic de Seguretat de la Informació.
  3. El procés de gestió de riscos ha de complir els requeriments establerts en l’ENS-AD i les indicacions de l’ANC-AD (Agència Nacional de Ciberseguretat d’Andorra).
  4. En l’anàlisi de riscos s’ha d’utilitzar una metodologia estàndard i reconeguda en l’àmbit internacional alineada amb el que exigeix l’ENS-AD.
  5. L’anàlisi i gestió de riscos és una part essencial del procés de seguretat, per assegurar el manteniment d’un entorn controlat, minimitzant els riscos fins a nivells considerats acceptables per l’organització.
  6. La reducció del nivell de risc es fa desplegant mesures de seguretat i privacitat que es modulen en funció de la naturalesa de les dades i els tractaments de la informació, així com de l’impacte i la probabilitat dels riscos als quals estiguin exposats, buscant un compromís entre cost i aficacia.