Conselleria dHisenda i Administraci Pblica Consellera de Hacienda y Administracin Pblica

ORDE 19/2013, de 3 de desembre, de la Conselleria dHi-

senda i Administraci Pblica, per la qual sestablixen les
normes sobre ls segur de mitjans tecnolgics en lAdmi-
nistraci de la Generalitat. [2013/11767]
ORDEN 19/2013, de 3 de diciembre, de la Consellera de
Hacienda y Administracin Pblica, por la que se estable-
ce las normas sobre el uso seguro de medios tecnolgicos
en la Administracin de la Generalitat. [2013/11767]
PREMBUL
La informaci constitux un actiu de primer orde per a la Generali-
tat des del moment que resulta essencial per a la prestaci de gran part
dels seus servicis. Daltra banda, les tecnologies de la informaci i les
comunicacions shan fet cada vegada ms imprescindibles per a les
administracions pbliques. No obstant aix, les indiscutibles millores
que aporten al tractament de la informaci van acompanyades de nous
riscos i, per tant, s necessari introduir mesures especfiques per a pro-
tegir tant la informaci com els servicis que en depenguen.
La seguretat de la informaci t com a objectiu protegir la informa-
ci tractada i els servicis que es presten, reduint els riscos a qu estan
sotmesos fins a un nivell que resulte acceptable. Dins de cada organitza-
ci noms els seus mxims directius tenen les competncies necessries
per a fixar este nivell, ordenar les actuacions i habilitar els mitjans per
a dur-les a terme.
En aplicaci del Reial Decret 3/2010, pel qual es regula lEsquema
Nacional de Seguretat en lmbit de lAdministraci electrnica, lAd-
ministraci de la Generalitat i de les seues entitats autnomes han de
protegir la informaci i els servicis utilitzats en mitjans electrnics que
gestionen en lexercici de les seues competncies. Per a aix han das-
segurar la integritat, la disponibilitat, lautenticitat, la confidencialitat, la
traabilitat i la conservaci de les dades, les informacions i els servicis
utilitzats en els mitjans tecnolgics que gestionen en lexercici de les
seues competncies.
El Decret 66/2012, de 27 dabril, del Consell, pel qual sestablix
la poltica de seguretat de la informaci de la Generalitat en lmbit de
lAdministraci de la Generalitat i de les seues entitats autnomes, indi-
ca que la poltica es desenrotllar en un conjunt de documents lobjectiu
dels quals s facilitar que el tractament dinformaci es realitze dacord
amb els objectius i principis que shi exposen, i que estos sagruparan en
tres colleccions: normes, procediments i guies de bones prctiques. Les
normes proporcionaran un primer nivell de concreci; cada una estar
dirigida a un tipus dactivitat determinat. Els procediments descriuran
la seqncia concreta de passos per a completar una tasca. Les guies de
bones prctiques oferiran recomanacions sobre com actuar en situacions
especfiques. Les normes i els procediments tindran carcter obligatori.
Lobjecte desta disposici s regular la norma ds segur dels mit-
jans tecnolgics que formen part dels sistemes dinformaci de lAd-
ministraci de la Generalitat, a fi de minimitzar la probabilitat de la
materialitzaci de les amenaces que posen en risc la seguretat dels sis-
temes dinformaci.
El Decret 130/2012, de 24 dagost, del Consell, pel qual sestablix
lorganitzaci de la seguretat de la informaci de la Generalitat, assigna
el repartiment de funcions i responsabilitats en matria de seguretat de
la informaci aplicable a les conselleries de la Generalitat, aix com a
les seues entitats autnomes dependents.
LOrde 9/2012, de 10 de juliol, de la Conselleria de Sanitat, per la
qual sestablix lorganitzaci de la seguretat de la informaci, fa un
repartiment efectiu de tasques i responsabilitats per al manteniment i
la millora de la seguretat de la informaci en la Conselleria de Sanitat.
Per aix, i en virtut de les facultats que em conferix larticle 28 de
la Llei 5/1983, de 30 de desembre, del Consell, i la disposici final pri-
mera del Decret 66/2012, de 27 dabril, del Consell, pel qual sestablix
la poltica de seguretat de la informaci de la Generalitat,
ORDENE
CAPTOL I
Disposicions preliminars
Article 1. Objecte
Esta orde t per objecte regular la norma ds segur dels mitjans
tecnolgics que formen part dels sistemes dinformaci de lAdminis-
PREMBULO
La informacin constituye un activo de primer orden para la Genera-
litat desde el momento en que resulta esencial para la prestacin de gran
parte de sus servicios. Por otro lado las tecnologas de la informacin y
las comunicaciones se han hecho cada vez ms imprescindibles para las
administraciones pblicas. Sin embargo, las indiscutibles mejoras que
aportan al tratamiento de la informacin vienen acompaadas de nuevos
riesgos, y por lo tanto es necesario introducir medidas especficas para
proteger tanto la informacin como los servicios que dependan de ella.
La seguridad de la informacin tiene como objetivo proteger
la informacin tratada y los servicios que se prestan, reduciendo los
riesgos a los que estn sometidos hasta un nivel que resulte aceptable.
Dentro de cada organizacin solo sus mximos directivos tienen las
competencias necesarias para fijar dicho nivel, ordenar las actuaciones
y habilitar los medios para llevarlas a cabo.
En aplicacin del Real Decreto 3/2010, por el que se regula el
Esquema Nacional de Seguridad en el mbito de la Administracin
Electrnica, la Administracin de la Generalitat y de sus entidades
autnomas deben proteger la informacin y los servicios utilizados en
medios electrnicos que gestionen en el ejercicio de sus competencias.
Para ello deben asegurar la integridad, disponibilidad, autenticidad, con-
fidencialidad, trazabilidad y conservacin de los datos, informaciones
y servicios utilizados en los medios tecnolgicos que gestionen en el
ejercicio de sus competencias.
El Decreto 66/2012, de 27 de abril, del Consell, por el que se esta-
blece la poltica de seguridad de la informacin de la Generalitat, en el
mbito de la Administracin de la Generalitat y de sus entidades aut-
nomas, indica que la poltica se desarrollar en un conjunto de docu-
mentos cuyo objetivo es facilitar que el tratamiento de informacin se
realice de acuerdo con los objetivos y principios expuestos en la misma;
y que estos se agruparn en tres colecciones: normas, procedimientos y
guas de buenas prcticas. Las normas proporcionarn un primer nivel
de concrecin; cada una de ellas estar dirigida a un tipo de actividad
determinado. Los procedimientos describirn la secuencia concreta de
pasos para completar una tarea. Las guas de buenas prcticas ofrecern
recomendaciones sobre cmo actuar en situaciones especficas. Las
normas y procedimientos tendrn carcter obligatorio.
El objeto de la presente disposicin es regular la norma de uso segu-
ro de los medios tecnolgicos que forman parte de los sistemas de infor-
macin de la Administracin de la Generalitat, con el fin de minimizar
la probabilidad de la materializacin de las amenazas que ponen en
riesgo la seguridad de los sistemas de informacin.
El Decreto 130/2012, de 24 de agosto, del Consell, por el que se
establece la organizacin de la seguridad de la informacin de la Gene-
ralitat, asigna el reparto de funciones y responsabilidades en materia de
seguridad de la informacin, aplicable a las conselleras de la Generali-
tat, as como a sus entidades autnomas dependientes.
La Orden 9/2012, de 10 de julio, de la Consellera de Sanidad, por
la que establece la organizacin de la seguridad de la informacin, hace
un reparto efectivo de tareas y responsabilidades para el mantenimiento
y mejora de la seguridad de la informacin en la Consellera de Sanidad.
Por ello, y en virtud de las facultades que me confiere el artculo 28
de la Ley 5/1983, de 30 de diciembre, del Consell y la Disposicin Final
Primera del Decreto 66/2012, de 27 de abril, del Consell, por el que se
establece la poltica de seguridad de la informacin de la Generalitat,
ORDENO
CAPTULO I
Disposiciones preliminares
Artculo 1. Objeto
La presente orden tiene por objeto regular la norma de uso seguro
de los medios tecnolgicos que forman parte de los sistemas de infor-
Num. 7169 / 10.12.2013 35063
macin de la Administracin de la Generalitat, con el fin de minimizar
la probabilidad de la materializacin de las amenazas que ponen en
riesgo la seguridad de los sistemas de informacin.
Artculo 2. mbito de aplicacin
1. En el mbito de la presente normativa, se entiende por usuario a
cualquier persona que utilice o posea acceso a los medios tecnolgicos
puestos a su disposicin por la Administracin de la Generalitat.
2. Las normas enunciadas en la presente orden sern de obligado
cumplimiento para todos los usuarios definidos en el punto anterior.
3. Sus contenidos desarrollan las directrices de carcter general defi-
nidas en la poltica de seguridad de la informacin, teniendo en cuenta
que se podrn definir normas restrictivas en ciertos mbitos especficos
que lo precisen.
Artculo 3. Principio general de actuacin
La seguridad de la informacin depende de todas las personas que
participan en su tratamiento y compromete a todas las que integran la
organizacin. Todos los usuarios se comprometen a hacer un uso correc-
to de todos los activos que requieran para el desarrollo de sus funciones,
a respetar las medidas de seguridad que se establezcan y a notificar lo
antes posible a los responsables que corresponda de los eventos y pun-
tos dbiles de la seguridad de la informacin que detecten, de manera
que puedan emprenderse las acciones oportunas.
Artculo 4. Definiciones
A los efectos previstos en esta orden, las definiciones, palabras,
expresiones, y trminos han de ser entendidos en el sentido indicado en
la normativa de proteccin de datos de carcter personal, en el esquema
nacional de seguridad y en el glosario incluido en el Anexo.
CAPTULO II
Normas generales
Artculo 5. Tratamiento de la informacin
1. La Administracin de la Generalitat ser responsable del trata-
miento de la informacin en cualquier medio tecnolgico que forme
parte de sus sistemas de informacin y redes de comunicaciones, y
adoptar las medidas de ndole tcnica y organizativas necesarias que
garanticen la seguridad de los datos.
2. Quienes por razn del ejercicio de sus funciones accedan a infor-
macin que no sea de acceso pblico, debern observar la necesaria
reserva, confidencialidad y sigilo, incluso despus de haber cesado en
sus funciones o finalizado la relacin contractual o laboral.
3. Quienes traten informacin que no haya sido clasificada de acce-
so pblico, debern estar debidamente identificados y tener los privi-
legios de acceso a la informacin estrictamente imprescindibles para
desempear su cometido.
4. Queda prohibido, asimismo, transmitir o alojar informacin pro-
pia de la Administracin de la Generalitat en sistemas de informacin
externos, salvo autorizacin expresa del organismo responsable del tra-
tamiento de la informacin, que comprobar la inexistencia de trabas
legales para ello y verificar la suscripcin de un contrato expreso entre
la Administracin de la Generalitat y la empresa responsable de la pres-
tacin del servicio, incluyendo los acuerdos de nivel de servicio que
procedan, el correspondiente acuerdo de confidencialidad, y siempre
previo anlisis de los riesgos asociados a tal externalizacin.
Artculo 6. Propiedad y uso de los medios tecnolgicos
1. Todos los medios tecnolgicos puestos a disposicin de los usua-
rios: ordenadores personales y porttiles, aplicaciones, programas, sis-
temas de impresin y escaneo de documentos, dispositivos mviles, el
acceso a la red corporativa y a internet, son propiedad de la Adminis-
tracin de la Generalitat.
2. La Administracin de la Generalitat le proporcionar a cada usua-
rio un puesto de trabajo con los medios tecnolgicos necesarios para el
desempeo de las funciones encomendadas.
3. Dichos medios no estn destinados al uso personal, y no podrn
utilizarse para actividades ilcitas o irregulares, o que afecten negativa-
mente al funcionamiento de la Administracin de la Generalitat o sean
contrarias a los intereses de esta.
traci de la Generalitat, a fi de minimitzar la probabilitat de la materi-
alitzaci de les amenaces que posen en risc la seguretat dels sistemes
dinformaci.
Article 2. mbit daplicaci
1. En lmbit desta normativa, sentn per usuari qualsevol persona
que utilitze o possesca accs als mitjans tecnolgics posats a la seua
disposici per lAdministraci de la Generalitat.
2. Les normes enunciades en esta orde seran de compliment obliga-
tori per a tots els usuaris definits en el punt anterior.
3. Els seus continguts desenrotllen les directrius de carcter general
definides en la poltica de seguretat de la informaci, tenint en compte
que es podran definir normes restrictives en certs mbits especfics que
ho requerisquen.
Article 3. Principi general dactuaci
La seguretat de la informaci depn de totes les persones que parti-
cipen en el seu tractament i compromet a totes les que integren lorga-
nitzaci. Tots els usuaris es comprometen a fer un s correcte de tots els
actius que requerisquen per al desenrotllament de les seues funcions, a
respectar les mesures de seguretat que sestablisquen i a notificar com
ms prompte millor als responsables que corresponga els esdeveniments
i punts dbils de la seguretat de la informaci que detecten, de manera
que puguen emprendres les accions oportunes.
Article 4. Definicions
Als efectes previstos en esta orde, les definicions, paraules, expres-
sions i termes han de ser entesos en el sentit indicat en la normativa
de protecci de dades de carcter personal, en lesquema nacional de
seguretat i en el glossari incls en lannex.
CAPTOL II
Normes generals
Article 5. Tractament de la informaci
1. LAdministraci de la Generalitat ser responsable del tractament
de la informaci en qualsevol mitj tecnolgic que forme part dels seus
sistemes dinformaci i xarxes de comunicacions, i adoptar les mesu-
res dndole tcnica i organitzatives necessries que garantisquen la
seguretat de les dades.
2. Els qui per ra de lexercici de les seues funcions accedisquen
a informaci que no siga daccs pblic hauran dobservar la necess-
ria reserva, confidencialitat i sigil, incls desprs dhaver cessat en les
seues funcions o finalitzat la relaci contractual o laboral.
3. Els qui tracten informaci que no haja sigut classificada dac-
cs pblic hauran destar degudament identificats i tindre els privilegis
daccs a la informaci estrictament imprescindibles per a exercir la
seua comesa.
4. Queda prohibit, aix mateix, transmetre o allotjar informaci
prpia de lAdministraci de la Generalitat en sistemes dinformaci
externs, excepte autoritzaci expressa de lorganisme responsable del
tractament de la informaci, que comprovar la inexistncia de traves
legals per a aix i verificar la subscripci dun contracte exprs entre
lAdministraci de la Generalitat i lempresa responsable de la prestaci
del servici, incloent-hi els acords de nivell de servici que siguen proce-
dents, lacord de confidencialitat corresponent i sempre amb lanlisi
prvia dels riscos associats a tal externalitzaci.
Article 6. Propietat i s dels mitjans tecnolgics
1. Tots els mitjans tecnolgics posats a disposici dels usuaris: ordi-
nadors personals i porttils, aplicacions, programes, sistemes dimpres-
si i escaneig de documents, dispositius mbils, laccs a la xarxa cor-
porativa i a Internet sn propietat de lAdministraci de la Generalitat.
2. LAdministraci de la Generalitat proporcionar a cada usuari un
lloc de treball amb els mitjans tecnolgics necessaris per a lexercici de
les funcions encomanades.
3. Estos mitjans no estan destinats a ls personal, i no podran utilit-
zar-se per a activitats illcites o irregulars, o que afecten negativament
el funcionament de lAdministraci de la Generalitat o siguen contrries
als interessos desta.
Num. 7169 / 10.12.2013 35064
4. Est prohibido alterar, sin la debida autorizacin, cualquiera de
los componentes fsicos o lgicos de los medios tecnolgicos, salvo
autorizacin expresa del organismo con competencias en tecnologas de
la informacin. En todo caso, estas operaciones solo podrn realizarse
por el personal de soporte tcnico autorizado.
5. La instalacin, utilizacin o conexin a la red corporativa de
cualquier medio tecnolgico ajeno, requerir una autorizacin previa
por parte del rgano competente en materia de tecnologas de la infor-
macin que corresponda.
6. Est estrictamente prohibida la ejecucin de programas inform-
ticos en los medios tecnolgicos que forman parte de los sistemas de
informacin de la Administracin de la Generalitat sin la correspon-
diente licencia de uso y autorizacin correspondiente del organismo con
competencias en tecnologas de la informacin.
7. Est terminantemente prohibida toda transmisin, distribucin
o almacenamiento de cualquier material obsceno, difamatorio, amena-
zador o que constituya un atentado contra la dignidad de las personas.
Artculo 7. Identificacin de acceso
1. La identificacin de acceso a cualquier medio tecnolgico ser
personal e intransferible, permitiendo una identificacin individual.
2. Los usuarios deben custodiar convenientemente su identificacin
de acceso, son responsables de toda la actividad relacionada con el uso
de su acceso personal autorizado, y en ningn caso podr ser suminis-
trada a terceras personas.
3. Si un usuario tiene sospechas de que su identificacin de acceso
est siendo utilizada por otra persona, deber comunicar inmediatamen-
te al organismo con competencias en tecnologas de la informacin la
correspondiente incidencia de seguridad.
4. Los usuarios deben utilizar contraseas seguras de acuerdo con
la poltica de contraseas definida por el rgano con competencias en
materia de tecnologas de la informacin.
Artculo 8. Notificacin de incidencias
1. Una incidencia de seguridad en un sistema, la constituye cual-
quier situacin o eventualidad en la que pueda verse amenazada la
informacin, y pueda en consecuencia dar lugar a una prdida de: con-
fidencialidad, integridad, disponibilidad y autenticidad.
2. Todos los usuarios estn obligados a notificar cualquier inciden-
cia de seguridad a travs del procedimiento establecido a tal efecto.
Artculo 9. Implantacin de medidas tcnicas
El personal que realiza funciones en materia de tecnologas de la
informacin, adoptar las medidas tcnicas adecuadas al nivel de segu-
ridad establecido para cada tratamiento de la informacin y en la pres-
tacin de los servicios, por el responsable designado en la organizacin
de la seguridad.
Artculo 10. Borrado y destruccin de soportes de informacin
1. Se destruirn de forma segura los soportes de informacin que
vayan a ser desechados.
2. Los soportes de informacin que vayan a ser reutilizados para
otra informacin o liberados a otra organizacin sern objeto de un
borrado seguro de su anterior contenido.
Artculo 11. Inspeccin de los medios tecnolgicos
El rgano competente en materia de tecnologas de la informacin
establecer por razones especficas de seguridad o de evaluacin del
desempeo, medidas de control y comprobar mediante los mecanis-
mos formales y tcnicos que estime oportunos, la correcta utilizacin
por parte de los usuarios de todos los medios tecnolgicos puestos a su
disposicin para el desempeo de sus funciones. Estos controles y revi-
siones se realizarn respetando los principios de necesidad, idoneidad y
proporcionalidad, preservando las garantas del derecho a la intimidad
del usuario y la seguridad de las comunicaciones.
Artculo 12. Cese de actividad
1. El cese de actividad de cualquier usuario debe ser comunicado
de forma inmediata al organismo con competencias en tecnologas de
la informacin.
4. Est prohibit alterar, sense la deguda autoritzaci, qualsevol dels
components fsics o lgics dels mitjans tecnolgics, excepte autorit-
zaci expressa de lorganisme amb competncies en tecnologies de la
informaci. En tot cas, estes operacions noms podran realitzar-se pel
personal de suport tcnic autoritzat.
5. La installaci, utilitzaci o connexi a la xarxa corporativa de
qualsevol mitj tecnolgic ali requerir una autoritzaci prvia per
part de lrgan competent en matria de tecnologies de la informaci
que corresponga.
6. Est estrictament prohibida lexecuci de programes informtics
en els mitjans tecnolgics que formen part dels sistemes dinformaci
de lAdministraci de la Generalitat sense la llicncia ds i autoritzaci
corresponents de lorganisme amb competncies en tecnologies de la
informaci.
7. Est terminantment prohibida tota transmissi, distribuci o
emmagatzematge de qualsevol material obsc, difamatori, amenaador
o que constitusca un atemptat contra la dignitat de les persones.
Article 7. Identificaci daccs
1. La identificaci daccs a qualsevol mitj tecnolgic ser perso-
nal i intransferible, i permetr una identificaci individual.
2. Els usuaris han de custodiar convenientment la seua identificaci
daccs, sn responsables de tota lactivitat relacionada amb ls del
seu accs personal autoritzat i en cap cas podr ser subministrada a
terceres persones.
3. Si un usuari t sospites que la seua identificaci daccs est sent
utilitzada per una altra persona, haur de comunicar immediatament a
lorganisme amb competncies en tecnologies de la informaci la inci-
dncia de seguretat corresponent.
4. Els usuaris han dutilitzar contrasenyes segures dacord amb
la poltica de contrasenyes definida per lrgan amb competncies en
matria de tecnologies de la informaci.
Article 8. Notificaci dincidncies
1. Constitux una incidncia de seguretat en un sistema qualsevol
situaci o eventualitat en qu puga veures amenaada la informaci
i puga, en conseqncia, donar lloc a una prdua de confidencialitat,
integritat, disponibilitat i autenticitat.
2. Tots els usuaris estan obligats a notificar qualsevol incidncia de
seguretat a travs del procediment establit a este efecte.
Article 9. Implantaci de mesures tcniques
El personal que realitza funcions en matria de tecnologies de la
informaci adoptar les mesures tcniques adequades al nivell de segu-
retat establit per a cada tractament de la informaci i en la prestaci
dels servicis, pel responsable designat en lorganitzaci de la seguretat.
Article 10. Esborrament i destrucci de suports dinformaci
1. Es destruiran de forma segura els suports dinformaci que hagen
de ser rebutjats.
2. Els suports dinformaci que hagen de ser reutilitzats per a una
altra informaci o lliurats a una altra organitzaci seran objecte dun
esborrament segur del seu contingut anterior.
Article 11. Inspecci dels mitjans tecnolgics
Lrgan competent en matria de tecnologies de la informaci esta-
blir, per raons especfiques de seguretat o davaluaci de lexercici,
mesures de control i comprovar, per mitj dels mecanismes formals i
tcnics que crega oportuns, la utilitzaci correcta per part dels usuaris de
tots els mitjans tecnolgics posats a la seua disposici per a lexercici de
les seues funcions. Estos controls i revisions es realitzaran respectant els
principis de necessitat, idonetat i proporcionalitat, preservant les garan-
ties del dret a la intimitat de lusuari i la seguretat de les comunicacions.
Article 12. Cessament dactivitat
1. El cessament dactivitat de qualsevol usuari ha de ser comunicat
de forma immediata a lorganisme amb competncies en tecnologies de
la informaci.
Num. 7169 / 10.12.2013 35065
2. Cuando se modifiquen las circunstancias profesionales que ori-
ginaron la entrega de un medio tecnolgico, el usuario lo devolver
al organismo con competencias en tecnologas de la informacin, al
objeto de proceder al borrado seguro de la informacin almacenada y
restaurar el equipo a su estado original para que pueda ser asignado a
un nuevo usuario.
Artculo 13. Copias de seguridad
La copia de seguridad peridica de los datos alojados en los servi-
dores corporativos es responsabilidad del rgano competente en materia
de tecnologas de la informacin. Cada usuario ser responsable de la
integridad y copia de seguridad de la informacin almacenada en el
medio tecnolgico que tenga asignado.
Artculo 14. Acceso desde el exterior
Slo est permitido acceder desde el exterior de la RCGVA (Red
Corporativa de la Generalitat Valenciana) a recursos internos cuando se
siga el procedimiento aprobado a tal efecto por el rgano con compe-
tencias en materia de tecnologas de la informacin.
Artculo 15. Incumplimientos
El incumplimiento de las normas de uso expresadas en esta orden
podr tener consecuencias disciplinarias, de acuerdo con el rgimen
sancionador aplicable en cada caso, sin perjuicio de otras responsabili-
dades en que se pudiera incurrir.
CAPTULO III
Medios tecnolgicos
Artculo 16. Ordenadores personales de sobremesa
1. No est permitido alterar la configuracin hardware de los equi-
pos ni conectar otros dispositivos a estos a iniciativa del usuario, as
como variar su ubicacin.
2. No est permitido alterar la configuracin software de los equi-
pos, desinstalar o instalar programas distintos a la configuracin esta-
blecida por el organismo con competencias en tecnologas de la infor-
macin.
3. Es obligatorio bloquear la sesin del usuario en el supuesto de
ausentarse temporalmente del puesto de trabajo, a fin de evitar accesos
de otras personas al equipo informtico. Asimismo, es obligatorio apa-
gar el equipo al terminar la jornada laboral.
4. El almacenamiento de ficheros generados en el desempeo de
las competencias profesionales del usuario, se efectuar en la carpe-
ta habilitada en la red informtica, a fin de facilitar la realizacin de
copias de seguridad o respaldo y proteger el acceso frente a personas
no autorizadas.
5. No est permitido almacenar informacin privada, de cualquier
naturaleza, en los recursos de almacenamiento compartidos.
6. No est permitido copiar, extraer o transmitir informacin con-
tenida en el sistema informtico para uso privado o para cualquier otro
distinto del servicio pblico al que est destinada.
7. Los ficheros temporales deben ser borrados una vez hayan dejado
de ser necesarios para los fines que motivaron su creacin y, mientras
estn vigentes, debern ser almacenados en la carpeta habilitada en la
red informtica.
Artculo 17. Equipos porttiles
1. Todas las responsabilidades aplicables a los ordenadores de
sobremesa son de aplicacin para los equipos porttiles.
2. Responsabilidades adicionales especficas de los equipos port-
tiles:
a) Con carcter general, no se almacenar informacin sensible o
confidencial en este tipo de equipos, y en caso de ser necesario, deber
ser protegida mediante herramientas de cifrado.
b) Este tipo de dispositivos estar bajo la custodia del usuario que
los utilice. No se dejar el equipo porttil desatendido o abandonado en
lugares donde pueda ser sustrado con facilidad.
c) Los usuarios de estos equipos se responsabilizarn de que no
sern usados por usuarios no autorizados.
2. Quan es modifiquen les circumstncies professionals que van
originar lentrega dun mitj tecnolgic, lusuari el tornar a lorganis-
me amb competncies en tecnologies de la informaci, a fi de proce-
dir a lesborrament segur de la informaci emmagatzemada i restaurar
lequip al seu estat original perqu puga ser assignat a un nou usuari.
Article 13. Cpies de seguretat
La cpia de seguretat peridica de les dades allotjades en els servi-
dors corporatius s responsabilitat de lrgan competent en matria de
tecnologies de la informaci. Cada usuari ser responsable de la inte-
gritat i cpia de seguretat de la informaci emmagatzemada en el mitj
tecnolgic que tinga assignat.
Article 14. Accs des de lexterior
noms est perms accedir des de lexterior de la XCGVA (Xarxa
Corporativa de la Generalitat Valenciana) a recursos interns quan se
seguisca el procediment aprovat a este efecte per lrgan amb compe-
tncies en matria de tecnologies de la informaci.
Article 15. Incompliments
Lincompliment de les normes ds expressades en esta orde podr
tindre conseqncies disciplinries dacord amb el rgim sancionador
aplicable en cada cas, sense perju daltres responsabilitats en qu es
puga incrrer.
CAPTOL III
Mitjans tecnolgics
Article 16. Ordinadors personals de sobretaula
1. No est perms alterar la configuraci del maquinari dels equips
ni connectar altres dispositius a estos a iniciativa de lusuari, aix com
variar la seua ubicaci.
2. No est perms alterar la configuraci del programari dels equips,
desinstallar o installar programes diferents de la configuraci establida
per lorganisme amb competncies en tecnologies de la informaci.
3. s obligatori bloquejar la sessi de lusuari en el supsit dab-
sentar-se temporalment del lloc de treball, a fi devitar accessos daltres
persones a lequip informtic. Aix mateix, s obligatori apagar lequip
en acabar la jornada laboral.
4. Lemmagatzematge de fitxers generats en lexercici de les com-
petncies professionals de lusuari sefectuar en la carpeta habilitada
en la xarxa informtica, a fi de facilitar la realitzaci de cpies de segu-
retat o suport i protegir laccs davant de persones no autoritzades.
5. No est perms emmagatzemar informaci privada, de qualsevol
naturalesa, en els recursos demmagatzematge compartits.
6. No est perms copiar, extraure o transmetre informaci con-
tinguda en el sistema informtic per a s privat o per a qualsevol altre
diferent del servici pblic a qu est destinada.
7. Els fitxers temporals han de ser esborrats una vegada que hagen
deixat de ser necessaris per als fins que van motivar la seua creaci i,
mentres estiguen vigents, hauran de ser emmagatzemats en la carpeta
habilitada en la xarxa informtica.
Article 17. Equips porttils
1. Totes les responsabilitats aplicables als ordinadors de sobretaula
sn aplicables als equips porttils.
2. Responsabilitats addicionals especfiques dels equips porttils:
a) Amb carcter general, no semmagatzemar informaci sensible
o confidencial en este tipus dequips i, en cas de ser necessari, haur de
ser protegida per mitj de ferramentes dencriptaci.
b) Este tipus de dispositius estar sota la custdia de lusuari que els
utilitze. No es deixar lequip porttil desats o abandonat en llocs on
puga ser sostret amb facilitat.
c) Els usuaris destos equips es responsabilitzaran que no seran
usats per usuaris no autoritzats.
Num. 7169 / 10.12.2013 35066
d) La prdida o robo de cualquier dispositivo o equipo porttil debe-
r notificarse de inmediato al organismo con competencias en tecnolo-
gas de la informacin.
e) No debern conectarse directamente a redes ajenas.
f) Deber estar desactivada la bsqueda de redes inalmbricas.
3. Los usuarios de equipos porttiles debern realizar conexiones
peridicas al menos mensuales a la red corporativa, segn las instruc-
ciones proporcionadas por el organismo con competencias en tecnolo-
gas de la informacin, para permitir la actualizacin de aplicaciones,
sistema operativo, firmas de antivirus y dems medidas de seguridad.
4. Sobre los ordenadores porttiles se adoptarn las medidas tcni-
cas adecuadas al nivel de seguridad establecido atendiendo al tratamien-
to de la informacin que vaya a efectuar.
Artculo 18. Impresoras, fotocopiadoras, escneres, faxes y equipos
multifuncin
1. Es obligatorio el uso de buzones de impresin con clave de acce-
so, en los dispositivos multifuncin compartidos que lo permitan.
2. Cuando se imprima documentacin, esta deber permanecer el
menor tiempo posible en las bandejas de salida de las impresoras, para
evitar que terceras personas puedan acceder a la misma.
3. Se debern recoger los originales de la fotocopiadora, impresora,
escner o equipos multifuncin una vez finalizado el proceso de copia
o digitalizacin.
Artculo 19. Dispositivos mviles
1. Todas las responsabilidades de uso especficas de los equipos
porttiles, tambin lo son para los dispositivos mviles.
2. Es obligatorio configurar el dispositivo mvil para que pasado un
tiempo de inactividad pase automticamente a modo de suspensin y se
active el bloqueo de la pantalla.
Artculo 20. Dispositivos de almacenamiento removibles autorizados
1. Los dispositivos de almacenamiento removibles autorizados
sern los proporcionados por la Administracin de la Generalitat, sern
conformes a las normas de seguridad de la organizacin, y sern desti-
nados a un uso exclusivamente profesional, como herramienta de trans-
porte de ficheros, y no como herramienta de almacenamiento.
2. En caso de ser necesario almacenar informacin sensible o confi-
dencial en este tipo de dispositivo, deber ser protegida mediante herra-
mientas de cifrado.
3. Este tipo de dispositivos estar bajo la custodia del usuario que
los utilice. No se dejar el dispositivo desatendido o abandonado en
lugares donde pueda ser sustrado con facilidad.
4. La prdida o robo de cualquier dispositivo de almacenamiento
removible deber notificarse de inmediato al organismo con competen-
cias en tecnologas de la informacin.
Artculo 21. Correo electrnico corporativo
1. Las cuentas creadas en los servidores de la Administracin de la
Generalitat tienen como objetivo el intercambio de mensajes propios del
desempeo profesional. Queda prohibido su uso con fines comerciales,
financieros o personales.
2. No estn permitidos los envos masivos, siendo rechazados los
mensajes si el nmero mximo de destinatarios es superior al lmite
establecido por el rgano con competencias en materia de tecnologas
de la informacin.
3. No se debe utilizar el correo para anunciar la aparicin de nuevos
virus, amenazas, etc.
4. Queda totalmente prohibido suplantar la identidad de una persona
a travs del correo electrnico.
5. No se permite el uso de cuentas de correo distintas a las propor-
cionadas por la Administracin de la Generalitat dentro de la RCGVA,
salvo autorizacin expresa del rgano con competencias en materia de
tecnologas de la Informacin.
6. Los usuarios no deben enviar mensajes con informacin sensible
tanto en el cuerpo del mensaje como en los archivos adjuntos. Este
envo nicamente podr realizarse si se adoptan los mecanismos nece-
sarios para evitar que la informacin sea inteligible o manipulada por
terceros (cifrado y firma electrnica).
d) La prdua o robatori de qualsevol dispositiu o equip porttil
haur de notificar-se immediatament a lorganisme amb competncies
en tecnologies de la informaci.
e) No hauran de connectar-se directament a xarxes alienes.
f) Haur destar desactivada la busca de xarxes sense fil.
3. Els usuaris dequips porttils hauran de realitzar connexions peri-
diques almenys mensuals a la xarxa corporativa, segons les instrucci-
ons proporcionades per lorganisme amb competncies en tecnologies
de la informaci, per a permetre lactualitzaci daplicacions, sistema
operatiu, firmes dantivirus i la resta de mesures de seguretat.
4. Sobre els ordinadors porttils sadoptaran les mesures tcniques
adequades al nivell de seguretat establit atenent el tractament de la
informaci que haja defectuar.
Article 18. Impressores, fotocopiadores, escners, faxos i equips
multifunci
1. s obligatori ls de bsties dimpressi amb clau daccs en els
dispositius multifunci compartits que ho permeten.
2. Quan simprimisca documentaci, esta haur de romandre el
menor temps possible en les safates deixida de les impressores, per a
evitar que terceres persones hi puguen accedir.
3. Shauran darreplegar els originals de la fotocopiadora, impres-
sora, escner o equips multifunci una vegada finalitzat el procs de
cpia o digitalitzaci.
Article 19. Dispositius mbils
1. Totes les responsabilitats ds especfiques dels equips porttils
tamb ho sn per als dispositius mbils.
2. s obligatori configurar el dispositiu mbil perqu passat un
temps dinactivitat passe automticament a manera de suspensi i sac-
tive el bloqueig de la pantalla.
Article 20. Dispositius demmagatzematge removibles autoritzats
1. Els dispositius demmagatzematge removibles autoritzats seran
els proporcionats per lAdministraci de la Generalitat, seran conformes
a les normes de seguretat de lorganitzaci i seran destinats a un s
exclusivament professional, com a ferramenta de transport de fitxers, i
no com a ferramenta demmagatzematge.
2. En cas de ser necessari emmagatzemar informaci sensible o con-
fidencial en este tipus de dispositiu, haur de ser protegida per mitj de
ferramentes dencriptaci.
3. Este tipus de dispositius estar sota la custdia de lusuari que els
utilitze. No es deixar el dispositiu desats o abandonat en llocs on puga
ser sostret amb facilitat.
4. La prdua o robatori de qualsevol dispositiu demmagatzematge
removible haur de notificar-se immediatament a lorganisme amb com-
petncies en tecnologies de la informaci.
Article 21. Correu electrnic corporatiu
1. Els comptes creats en els servidors de lAdministraci de la
Generalitat tenen com a objectiu lintercanvi de missatges propis de
lexercici professional. Queda prohibit el seu s amb fins comercials,
financers o personals.
2. No estan permesos els enviaments massius, i seran rebutjats els
missatges si el nombre mxim de destinataris s superior al lmit establit
per lrgan amb competncies en matria de tecnologies de la informa-
ci.
3. No sha dutilitzar el correu per a anunciar laparici de nous
virus, amenaces, etc.
4. Queda totalment prohibit suplantar la identitat duna persona a
travs del correu electrnic.
5. No es permet ls de comptes de correu diferents dels proporci-
onats per lAdministraci de la Generalitat dins de la XCGVA, excepte
autoritzaci expressa de lrgan amb competncies en matria de tec-
nologies de la informaci.
6. Els usuaris no han denviar missatges amb informaci sensible
tant en el cos del missatge com en els arxius adjunts. Este enviament
nicament podr realitzar-se si sadopten els mecanismes necessaris
per a evitar que la informaci siga intelligible o manipulada per tercers
(encriptaci i firma electrnica).
Num. 7169 / 10.12.2013 35067
7. El correo electrnico es una de las fuentes ms importantes de
difusin de virus, por lo que se recomienda no abrir mensajes recibidos
de remitentes desconocidos.
8. Para garantizar la identidad del remitente los correos se firmarn
digitalmente.
9. Debido al incremento y a la continua aparicin de nuevos virus,
son eliminados automticamente los mensajes con anexos susceptibles
de ejecucin.
10. Se limitar el tamao mximo de los ficheros adjuntos y se asig-
nar a los usuarios un tamao mximo de buzn, dentro de unos lmites
razonables.
Artculo 22. Acceso a Internet desde la RCGVA
1. Condiciones de acceso a Internet.
a) El acceso a internet se realizar nicamente a travs de la salida
a internet establecida por el rgano con competencias en materia de
tecnologas de la informacin utilizando los medios tecnolgicos que
se dispongan a tal fin.
b) El acceso a internet por otros medios, est expresamente prohi-
bido.
c) Los recursos de internet sern filtrados segn su contenido a tra-
vs de sistemas automatizados y cada usuario tendr asignado un perfil
de acceso en funcin de su puesto de trabajo, que determinar a qu tipo
de contenidos podr acceder y en qu horarios.
d) Los perfiles de acceso sern creados por el rgano con competen-
cias en materia de tecnologas de la informacin.
2. Responsabilidad del usuario final
a) La utilizacin de internet debe limitarse a la obtencin de infor-
macin relacionada con el trabajo que se desempea, debiendo por lo
tanto evitarse toda utilizacin que no tenga una mnima relacin con
las funciones encomendadas al usuario, o que pudiera conducir a una
mejora en la calidad del trabajo desarrollado.
b) No est permitido el acceso a pginas de contenido ofensivo,
inapropiado, pornogrfico, o discriminatorio por razones de gnero,
etnia, opcin sexual, discapacidad o cualquier otra circunstancia per-
sonal o social.
c) No se permite la descarga desde internet de cualquier clase de
programas, aplicaciones, documentos o archivos que no provengan de
pginas oficiales relacionadas con el trabajo, todo ello con la finalidad
de que la descarga no pueda poner en peligro los sistemas informticos
y la informacin que la Generalitat custodia.
DISPOSICIONES FINALES
Primera. Desarrollo
Se autoriza al centro superior o directivo con competencias en mate-
ria de tecnologas de la informacin a dictar las instrucciones y rdenes
de servicio, as como a adoptar las medidas que considere oportunas
para el desarrollo y aplicacin de la presente orden.
Segunda. Entrada en vigor
La presente orden entrar en vigor el da siguiente al de su publica-
cin en el Diari Oficial de la Comunitat Valenciana.
Valencia, 3 de diciembre de 2013
El conseller de Hacienda y Administracin Pblica,
JUAN CARLOS MORAGUES FERRER
7. El correu electrnic s una de les fonts ms importants de difusi
de virus, per la qual cosa es recomana no obrir missatges rebuts de
remitents desconeguts.
8. Per a garantir la identitat del remitent, els correus es firmaran
digitalment.
9. A causa de lincrement i la contnua aparici de nous virus, sn
eliminats automticament els missatges amb annexos susceptibles
dexecuci.
10. Es limitar la grandria mxima dels fitxers adjunts i sassignar
als usuaris una grandria mxima de bstia, dins duns lmits raonables.
Article 22. Accs a Internet des de la XCGVA
1. Condicions daccs a Internet.
a) Laccs a Internet es realitzar nicament a travs de leixida a
Internet establida per lrgan amb competncies en matria de tecnolo-
gies de la informaci utilitzant els mitjans tecnolgics que es disposen
amb este fi.
b) Laccs a Internet per altres mitjans est expressament prohibit.
c) Els recursos dInternet seran filtrats segons el seu contingut a
travs de sistemes automatitzats i cada usuari tindr assignat un perfil
daccs en funci del seu lloc de treball, que determinar a quin tipus
de continguts podr accedir i en quins horaris.
d) Els perfils daccs seran creats per lrgan amb competncies en
matria de tecnologies de la informaci.
2. Responsabilitat de lusuari final
a) La utilitzaci dInternet ha de limitar-se a lobtenci dinforma-
ci relacionada amb el treball que sexercix i, per tant, sha evitar-se
tota utilitzaci que no tinga una mnima relaci amb les funcions enco-
manades a lusuari o que puga conduir a una millora de la qualitat del
treball desenrotllat.
b) No est perms laccs a pgines de contingut ofensiu, inapropi-
at, pornogrfic o discriminatori per raons de gnere, tnia, opci sexual,
discapacitat o qualsevol altra circumstncia personal o social.
c) No es permet la descrrega des dInternet de qualsevol classe
de programes, aplicacions, documents o arxius que no provinguen de
pgines oficials relacionades amb el treball, tot aix amb la finalitat
que la descrrega no puga posar en perill els sistemes informtics i la
informaci que la Generalitat custodia.
DISPOSICIONS FINALS
Primera. Desplegament
Sautoritza el centre superior o directiu amb competncies en mat-
ria de tecnologies de la informaci a dictar les instruccions i ordes de
servici, aix com a adoptar les mesures que considere oportunes per al
desplegament i laplicaci desta orde.
Segona. Entrada en vigor
Esta orde entrar en vigor lendem de la seua publicaci en el
Diari Oficial de la Comunitat Valenciana.
Valncia, 3 de desembre de 2013
El conseller dHisenda i Administraci Pblica,
JUAN CARLOS MORAGUES FERRER
Num. 7169 / 10.12.2013 35068
ANEXO
Glosario de trminos
AMENAZA: eventos que pueden desencadenar un incidente en la
organizacin, produciendo daos materiales o prdidas inmateriales en
sus activos.
CONTRASEA O CLAVE DE ACCESO: informacin secreta, en
general compuesta por un grupo de caracteres, utilizada para la auten-
ticacin.
COPIA DE SEGURIDAD O RESPALDO: es una copia de los datos
originales que se realiza con el fin de disponer de un medio de recupe-
rarlos en caso de su prdida.
DISPOSITIVOS MVILES: un dispositivo mvil se puede defi-
nir como un equipo de un tamao pequeo, con algunas capacidades
de procesamiento, con conexin permanente o intermitente a una red,
con memoria limitada, que ha sido diseado especficamente para una
funcin, pero que pueden llevar a cabo otras funciones ms generales.
CIFRADO: transformacin criptogrfica de datos para producir un
criptograma o texto cifrado.
EQUIPO PORTTIL: es aquel ordenador personal que es capaz
de realizar la mayor parte de las tareas que realizan los ordenadores de
sobremesa, con similar capacidad, con la ventaja de su peso y tamao
reducidos, as como su movilidad.
IDENTIFICACIN DE ACCESO: proceso que limita y controla el
acceso a los recursos de un sistema de informacin.
INFORMACIN SENSIBLE: aquella, as definida por su propie-
tario, que debe ser especialmente protegida, pues su revelacin, altera-
cin, prdida o destruccin puede producir daos importantes a alguien
o a algo.
HARDWARE: se refiere a todas las partes tangibles de un sistema
informtico; sus componentes son: elctricos, electrnicos, electrome-
cnicos y mecnicos.
ORDENADORES PERSONALES: son los equipos informticos
bsicos de los puestos de trabajo, donde estarn instaladas las aplica-
ciones necesarias para el desempeo de las funciones y desde los que
acceder el usuario a la red corporativa y a los sistemas de informacin.
PERFIL DE ACCESO: limitacin del acceso a los recursos exclu-
sivamente a personas, entidades o procesos con la debida autorizacin
TELEFONA FIJA: es aquella que hace referencia a las lneas y
equipos que se encargan de la comunicacin entre terminales telefni-
cos no portables, y generalmente enlazados entre ellos o con la central
por medio de conductores metlicos.
RED CORPORATIVA DE LA GENERALITAT VALENCIANA
(RCGVA): es la infraestructura comn para la interconexin de las
sedes de todas las conselleras y organismos, tanto a nivel de los servi-
cios de datos como de voz, con distribucin geogrfica que abarca toda
la Comunitat Valenciana.
RED INFORMTICA: sistema de comunicacin que conecta orde-
nadores y otros equipos informticos entre s, con la finalidad de com-
partir informacin y recursos.
RED INALMBRICA: la conexin de equipos por medio de ondas
electromagnticas y sin necesidad de una conexin fsica mediante
cables. Las redes ms usuales suelen ser WIFI, Bluetooth, o infrarrojos.
ANNEX
Glossari de termes
AMENAA: esdeveniments que poden desencadenar un incident
en lorganitzaci produint danys materials o prdues immaterials en
els seus actius.
CONTRASENYA O CLAU DACCS: informaci secreta, en gene-
ral composta per un grup de carcters, utilitzada per a lautenticaci.
CPIA DE SEGURETAT O SUPORT: cpia de les dades originals
que es realitza a fi de disposar dun mitj de recuperar-les en cas de
prdua.
DISPOSITIUS MBILS: un dispositiu mbil es pot definir com un
equip de dimensions xicotetes, amb algunes capacitats de processament,
amb connexi permanent o intermitent a una xarxa, amb memria limi-
tada, que ha sigut dissenyat especficament per a una funci, per que
poden dur a terme altres funcions ms generals.
ENCRIPTACI: transformaci criptogrfica de dades per a produir
un criptograma o text encriptat.
EQUIP PORTTIL: s aquell ordinador personal que s capa de
realitzar la major part de les tasques que realitzen els ordinadors de
sobretaula, amb capacitat semblant, amb lavantatge del seu pes i gran-
dria reduts, aix com la seua mobilitat.
IDENTIFICACI DACCS: procs que limita i controla laccs
als recursos dun sistema dinformaci.
INFORMACI SENSIBLE: aquella, aix definida pel seu propi-
etari, que ha de ser especialment protegida perqu la seua revelaci,
alteraci, prdua o destrucci pot produir danys importants a alg o a
alguna cosa.
MAQUINARI: es referix a totes les parts tangibles dun sistema
informtic; els seus components sn elctrics, electrnics, electrome-
cnics i mecnics.
ORDINADORS PERSONALS: sn els equips informtics bsics
dels llocs de treball, on estaran installades les aplicacions necessries
per a lexercici de les funcions i des dels quals accedir lusuari a la
xarxa corporativa i als sistemes dinformaci.
PERFIL DACCS: limitaci de laccs als recursos exclusivament
a persones, entitats o processos amb la deguda autoritzaci.
TELEFONIA FIXA: s aquella que fa referncia a les lnies i equips
que sencarreguen de la comunicaci entre terminals telefnics no por-
tables, i generalment enllaats entre ells o amb la central per mitj de
conductors metllics.
XARXA CORPORATIVA DE LA GENERALITAT VALENCIANA
(XCGVA): s la infraestructura comuna per a la interconnexi de les
seus de totes les conselleries i organismes, tant en lmbit dels servicis
de dades com de veu, amb distribuci geogrfica que comprn tota la
Comunitat Valenciana.
XARXA INFORMTICA: sistema de comunicaci que connecta
ordinadors i altres equips informtics entre si, amb la finalitat de com-
partir informaci i recursos.
XARXA SENSE FIL: la connexi dequips per mitj dones elec-
tromagntiques i sense necessitat duna connexi fsica per mitj de
cables. Les xarxes ms usuals solen ser WI-FI, Bluetooth o infrarojos.
Num. 7169 / 10.12.2013 35069