(Old) Junta de Andalucía - Documento de Seguridad A 30-07-12

CONSEJERÍA DE GOBERNACIÓN Y JUSTICIA
DIRECCIÓN GENERAL DE INFRAESTRUCTURAS Y SISTEMAS
DOCUMENTO DE SEGURIDAD
Servicio de Informática
Documento de Seguridad
HOJA DE CONTROL
FECHA DE CREACIÓN
VERSIÓN 1.0 2 3 4 5 6 7 8 9
FECHA 30/03/2009
FECHA DE MODIFICACIÓN
VERSIÓN FECHA ELABORADO REVISADO APROBADO
1.0 30/03/2009
1.1 30/11/2009
1.2 10/12/2010
DISTRIBUCIÓN Responsabilidad de la Junta de Andalucía
ARCHIVO Responsabilidad de la Junta de Andalucía
ACTUALIZACIÓN Responsabilidad de la Junta de Andalucía
2
Índice de contenido
1. INTRODUCCIÓN................................................................................................................6
2. ORGANIZACIÓN DEL DOCUMENTO....................................................................................8
3. ÁMBITO DE APLICACIÓN DEL DOCUMENTO......................................................................8
3.1 FICHEROS.........................................................................................................................................9
3.2 RECURSOS PROTEGIDOS................................................................................................................10
3.2.1 CENTROS DE TRATAMIENTO Y LOCALES..................................................................................10
3.2.1.1 CPD.................................................................................................................................11
3.2.2. ENTORNO TECNOLÓGICO.......................................................................................................11
3.2.2.1 SERVICIOS.......................................................................................................................12
3.2.2.2. SERVIDORES Y SOFTWARE BASE....................................................................................14
3.2.2.3 RED DE COMUNICACIONES.............................................................................................15
4. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A
GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN EL DOCUMENTO.........................17
4.1 IDENTIFICACIÓN Y AUTENTICACIÓN................................................................................................17
4.1.1 GESTIÓN DE CONTRASEÑAS....................................................................................................17
4.2 CONTROL DE ACCESO....................................................................................................................18
4.2.1. CONTROL DE ACCESO FÍSICO................................................................................................20
4.2.1.1. NORMATIVA DE CONTROL DE ACCESO FÍSICO................................................................20
4.2.1.2. PROCEDIMIENTO DE CONTROL DE ACCESO FÍSICO........................................................21
4.2.1.3. MEDIDAS DE CONTROL DE ACCESO FÍSICO....................................................................21
4.2.2. REGISTRO DE ACCESOS.........................................................................................................21
4.3. GESTIÓN DE SOPORTES Y DOCUMENTOS......................................................................................22
4.3.1. REGISTRO DE ENTRADA Y SALIDA DE SOPORTES...................................................................23
4.3.1.1. PROCEDIMIENTO DE RECEPCIÓN DE SOPORTES............................................................24
4.3.1.2. PROCEDIMIENTO DE EMISIÓN DE SOPORTES.................................................................24
4.3.1.3. PROCEDIMIENTO DE TRASLADO DE SOPORTES DE RESPALDO A OTRO EDIFICIO...........25
4.3.2. GESTIÓN Y DISTRIBUCIÓN DE SOPORTES..............................................................................26
4.3.3. CRITERIOS DE ARCHIVO.........................................................................................................26
4.3.4. ALMACENAMIENTO DE LA INFORMACIÓN..............................................................................27
4.3.5. CUSTODIA DE SOPORTES......................................................................................................27
4.4 ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIONES.......................................................27
4.5. RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE LA UBICACIÓN DEL FICHERO........................28
4.6. TRASLADO DE DOCUMENTACIÓN..................................................................................................28
4.7. FICHEROS TEMPORALES................................................................................................................29
4.7.1. NORMATIVA PARA EL TRATAMIENTO DE FICHEROS TEMPORALES...........................................29
4.8. COPIA O REPRODUCCIÓN..............................................................................................................30
4.9. COPIAS DE SEGURIDAD.................................................................................................................30
3
4.9.1. PROCEDIMIENTO DE REALIZACIÓN DE COPIAS DE RESPALDO................................................30

4.9.1.1. OBTENER COPIAS DE RESPALDO....................................................................................30
4.9.1.2. REGISTRO DE SOPORTES...............................................................................................30
4.9.1.3. ALMACENAR COPIAS DE RESPALDO...............................................................................31
4.9.2. PROCEDIMIENTO DE RECUPERACIÓN DE DATOS...................................................................31
4.9.2.1. COMUNICAR NECESIDAD DE RECUPERACIÓN DE DATOS................................................31
4.9.2.2. ANALIZAR NECESIDAD DE RECUPERACIÓN DE DATOS....................................................31
4.9.2.3. AUTORIZAR RECUPERACIÓN DE DATOS..........................................................................31
4.9.2.4. RECUPERAR DATOS........................................................................................................31
4.9.2.5. CERRAR INCIDENCIA DE RECUPERACIÓN DE DATOS......................................................32
4.9.3. PROYECTO FÉNIX: RESPALDO Y CONTINUIDAD INFORMÁTICA PARA LA JUNTA DE ANDALUCÍA
........................................................................................................................................................32
4.10. RESPONSABLE DE SEGURIDAD....................................................................................................33
5. PROCEDIMIENTO GENERAL DE INFORMACIÓN AL PERSONAL........................................34
6. FUNCIONES Y OBLIGACIONES DEL PERSONAL...............................................................34
6.1. CONFIDENCIALIDAD DE LA INFORMACIÓN.....................................................................................35
6.2. RESPONSABILIDADES DE LOS USUARIOS......................................................................................35
6.2.1. ACCESO A LOS SS.II. Y A LOS DATOS......................................................................................35
6.2.2. SEGURIDAD DE LOS DCPS.....................................................................................................36
6.2.3 RESPONSABILIDADES DEL PERSONAL DE SS.II.......................................................................36
6.2.4. SALIDAS DE INFORMACIÓN....................................................................................................37
6.2.5. INCIDENCIAS.........................................................................................................................37
6.2.6. USO APROPIADO DE LOS RECURSOS ....................................................................................37
6.2.7. SOFTWARE.............................................................................................................................38
6.2.8. HARDWARE............................................................................................................................38
6.2.9. CONECTIVIDAD A INTERNET..................................................................................................39
6.2.10. CORREO ELECTRÓNICO.......................................................................................................39
6.3. ORGANIZACIÓN DE LA SEGURIDAD................................................................................................39
6.3.1. RESPONSABLE DEL FICHERO.................................................................................................39
6.3.2. ENCARGADO DEL TRATAMIENTO............................................................................................41
6.3.3. RESPONSABLE DE SEGURIDAD..............................................................................................41
6.3.4. ADMINISTRADORES DE SISTEMAS, APLICACIONES, REDES, Y SEGURIDAD............................43
7. PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS...44
8. PROCEDIMIENTOS DE REVISIÓN.....................................................................................46
8.1. REVISIÓN DEL DOCUMENTO DE SEGURIDAD..................................................................................46
8.2 AUDITORÍA......................................................................................................................................48
8.3 INFORME MENSUAL SOBRE EL REGISTRO DE ACCESOS.................................................................48
9. ANEXO I. DESCRIPCIÓN DE FICHEROS............................................................................49
9.1 TARJETAS CRIPTOGRÁFICAS............................................................................................................49
9.2. CURSOS RECIBIDOS PERSONAL JUSTICIA......................................................................................51
9.3. INCIDENCIAS INFORMÁTICAS.........................................................................................................52
4
9.4 ENVÍO TELEMÁTICO DOCUMENTACIÓN...........................................................................................54

9.5. USUARIOS.....................................................................................................................................56
9.6. HISTORIALES CLÍNICA FORENSE IML.............................................................................................58
9.7. GESTIÓN DE EXPEDIENTES EQUIPOS TÉCNICOS DE FISCALÍA MENORES.......................................59
9.8. AGENDA DE CITACIONES DE LOS INSTITUTOS DE MEDICINA LEGAL..............................................61
9.9. PERMISOS Y LICENCIAS.................................................................................................................63
9.10. FISCALÍAS. ASUNTOS PENALES....................................................................................................64
10. ANEXO II. AUTORIZACIONES..........................................................................................68
10.1 DELEGACIÓN DE AUTORIZACIONES...............................................................................................68
10.2. PERSONAL AUTORIZADO PARA CONCEDER, ALTERAR O ANULAR EL ACCESO AUTORIZADO SOBRE
EL FICHERO..........................................................................................................................................70
10.3. PERSONAL AUTORIZADO PARA ACCEDER A LOS LUGARES DONDE SE HALLEN INSTALADOS LOS
EQUIPOS FÍSICOS QUE DEN SOPORTE A LOS SISTEMAS DE INFORMACIÓN..........................................72
10.4. PERSONAL AUTORIZADO PARA ACCEDER A LOS LUGARES DONDE SE HALLEN ALMACENADOS LOS
SOPORTES............................................................................................................................................73
5
1. INTRODUCCIÓN
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD), especifica que
se puede disponer de un solo documento que incluya todos los ficheros y tratamientos con datos personales
de los que una persona física o jurídica sea responsable, un documento por cada fichero o tratamiento, o los
que determine el responsable atendiendo a los criterios organizativos que haya establecido. Cualquiera de las
opciones puede ser válida. En este caso se ha optado por el primer tipo, organizando el “documento de
seguridad” en dos partes: en la primera se recogen las medidas que afectan a todos los sistemas de
información de forma común con independencia del sistema de tratamiento sobre el que se organizan:
informatizado, manual o mixto, y en la segunda se incluye un anexo por cada fichero o tratamiento, con las
medidas que le afecten de forma concreta. Además, se ha especificado aquellas medidas que afectan sólo a
ficheros automatizados y las que afectan a los no automatizados de forma exclusiva.
Los acrónimos utilizados en este documento han sido los siguientes:
● AEPD: Agencia Española de Protección de Datos
● CPD: Centro de Proceso de Datos
● DCPs: Datos de Carácter Personal
● LOPD: Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
● REDIUS: Red Informática Judicial de la Junta de Andalucía
● RLOPD o Reglamento: Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el

Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos
de carácter personal.
● R.G.P.D.: Registro General de Protección de Datos.
● SS.II.: Sistemas de Información
● RCJA: Red corporativa de la Junta de Andalucía
● DGIS: Dirección General de Infraestructuras y Sistemas
El Servicio de Informática, responsable directo del mantenimiento y explotación de REDIUS, tiene la siguiente
estructura organizativa:
● Jefatura de Servicio:
○ Jefe de Servicio.
6
○ Adjunto Jefe de Servicio.
○ Secretaría.
○ Asesor de seguridad
● Departamento de Sistemas.
● Departamento de Desarrollo.
● Departamento de Explotación.
● Departamento de Planificación.
● Centro de Servicios al Usuario.
Cada provincia cuenta con una Unidad Informática Provincial responsable de la asistencia informática in situ
de las diversas Sedes Judiciales.
En el ámbito de las Sedes Judiciales, la coordinación funcional superior de estas unidades es ejercida por la
Jefatura del Servicio de Informática de DGIS.
7
2. ORGANIZACIÓN DEL DOCUMENTO

Dentro del documento se utilizarán los siguientes símbolos convencionales:
NIVEL MEDIO: con esta marca se señalarán las medidas que sólo son obligatorias en los ficheros que
tengan que adoptar un nivel de seguridad medio.
NIVEL ALTO: Con esta marca se señalarán las medidas que sólo son obligatorias en los ficheros que tengan
que adoptar un nivel de seguridad alto.
AUTOMATIZADOS: Con esta marca se señalarán las medidas específicas para aplicar exclusivamente a
ficheros informatizados o automatizados.
MANUALES: Con esta marca se señalarán las medidas específicas para aplicar exclusivamente a ficheros
manuales o no automatizados.
Las medidas que no van precedidas de ninguna de estas marcas deben aplicarse con carácter general, tanto
a ficheros o tratamientos automatizados como no automatizados y con independencia del nivel de seguridad
correspondiente.
3. ÁMBITO DE APLICACIÓN DEL DOCUMENTO

El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el RLOPD recogen las
medidas de índole técnica y organizativas necesarias para garantizar la protección, confidencialidad, integridad
y disponibilidad de los recursos afectados por lo dispuesto en el citado Reglamento y en la LOPD.
El presente documento será de aplicación a los ficheros que contienen datos de carácter personal que se
hallan bajo la responsabilidad de la DIRECCIÓN GENERAL DE INFRAESTRUCTURAS Y SISTEMAS,
incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de
carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que
intervienen en el tratamiento y los locales en los que se ubican.
Las medidas de seguridad se clasifican en tres niveles acumulativos (básico, medio y alto) atendiendo a la
naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la
confidencialidad y la integridad de la información.
Nivel básico: Se aplicarán a cualquier fichero que contenga datos de carácter personal. También aquellos
ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida
sexual, cuando:
● los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las
que los afectados sean asociados o miembros;
8
● se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de

datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero; y
● en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado
o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de
deberes públicos.
Nivel medio: Se aplicarán a los ficheros o tratamientos de datos:
● relativos a la comisión de infracciones administrativas o penales;
● que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito);
● de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias;
● de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros;
● de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de
sus competencias;
● de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;
● que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la

misma o del comportamiento de las personas; y
● de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización1.
Nivel alto: Se aplicarán a los ficheros o tratamientos de datos:
● de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los
que no se prevea la posibilidad de adoptar el nivel básico;
● recabados con fines policiales sin consentimiento de las personas afectadas; y
● derivados de actos de violencia de género.
3.1 FICHEROS
En concreto, los ficheros sujetos a las medidas de seguridad establecidas en este documento, con indicación
del nivel de seguridad correspondiente, son los siguientes:
1Para esta categoría de ficheros además deberá disponerse de un registro de accesos.
9
FICHERO NIVEL TIPO DE Nº RGPD DE LA

SISTEMA AEPD
TARJETAS CRIPTOGRÁFICAS BÁSICO AUTOMATIZADO 2033080296
CURSOS RECIBIDOS PERSONAL JUSTICIA BÁSICO MIXTO 2033080291
INCIDENCIAS INFORMÁTICAS BÁSICO AUTOMATIZADO 2033080292
ENVÍO TELEMÁTICO DOCUMENTACIÓN BÁSICO AUTOMATIZADO 2033080293
USUARIOS BÁSICO AUTOMATIZADO 2033080295
HISTORIALES CLÍNICA FORENSE IML ALTO AUTOMATIZADO 2040290061
GESTIÓN EXPTES. E.T. FISCALÍA MENORES ALTO AUTOMATIZADO 2040290075
AGENDA CITACIONES IML BÁSICO AUTOMATIZADO 2040290062
PERMISOS Y LICENCIAS BÁSICO AUTOMATIZADO 2040290063
FISCALÍAS. ASUNTOS PENALES. ALTO AUTOMATIZADO
En el Anexo I se describen detalladamente cada uno de los ficheros o tratamientos, junto con los aspectos que
les afecten de manera particular.
3.2 RECURSOS PROTEGIDOS
La protección de los datos del Fichero frente a accesos no autorizados se realiza mediante el control de todos
los recursos que, bien por medio directo o indirecto nos permita acceder al Fichero. Estos recursos protegidos
son:
● Los Centros de tratamiento y los locales donde residen los SS.II.
● Las aplicaciones que acceden a los datos de carácter personal.
● El entorno tecnológico que le da soporte.
3.2.1 CENTROS DE TRATAMIENTO Y LOCALES
Los ficheros que contienen DCPs y los servidores que realizan los tratamientos se encuentran ubicados en el
CPD del edificio situado en la calle Muñoz Torrero, 1, Sevilla.
10
En el Anexo II se relacionan las personas con acceso a los lugares donde se hallan instalados los equipos
físicos que dan soporte a los sistemas de información.
3.2.1.1 CPD
En el CPD se encuentran ubicados los servidores de aplicaciones, los de bases de datos y los servidores de
ficheros. Estos son los equipos donde se realizan los tratamientos y donde se almacenan los ficheros con
DCPs.
El CPD es una dependencia del edificio habilitada especialmente para esta función y en la que se han
dispuesto las siguientes medidas de disponibilidad y seguridad:
● Aire acondicionado
● Sistema de detección y extinción de incendios
● Falso suelo
● Falso techo
● Desagües especialmente diseñados
● SAIs replicados (Sistemas de Alimentación Ininterrumpida)
● Armario ignífugo para almacenar las cintas que contienen las copias de respaldo de los SS.II.
3.2.2. ENTORNO TECNOLÓGICO
El Servicio de Informática actúa como nodo central de un sistema distribuido. Existe conexión con todas las
sedes judiciales, para tareas administrativas, a través de la red corporativa de la Junta de Andalucía.
La antigua Consejería de Justicia y Administración Pública culminó a finales de 2001 la ejecución del
denominado “Plan Adriano”, de informatización integral de los Órganos Judiciales de la Comunidad Autónoma
de Andalucía. Este proyecto se centró en dos grandes objetivos:
● Automatización de la gestión interna de los órganos judiciales.
● Creación de la Red Informática Judicial de Andalucía, REDIUS.
El mantenimiento y explotación de REDIUS exigió la creación del Centro de Gestión y Explotación de la Red
Judicial de Andalucía, CEIURIS, una unidad de gestión centralizada ubicada en Sevilla.
En la actualidad REDIUS consta de 160 Sedes Judiciales dispersas por toda Andalucía, con un número
cercano a los 11.200 puestos de usuario.
REDIUS consta de tres tipos de Sedes:
11
● Sedes Judiciales (160). En ellas se ubican los usuarios y prestan sus servicios las distintas unidades
judiciales.
Podemos distinguir los siguientes tipos de Sedes Judiciales según el tamaño:
○ 148 Sedes pequeñas y medias, con menos de 200 usuarios.
○ 11 Sedes grandes, con un número de usuarios comprendido entre 200 y 700.
○ 1 Ciudad de la Justicia, con un número de usuarios en torno a 1.200.
● Nodos Provinciales (8). Existe uno por provincia, ubicado en la Delegación Provincial de la Consejería.
Punto de intercambio de información entre las Sedes Judiciales de su provincia, presta además
diversos servicios informáticos de carácter provincial.
● Nodo Central (1). En él se ubica el Centro de Explotación de REDIUS, y desde él se prestan los
servicios informáticos de carácter centralizado para toda la Red Judicial. Se encuentra en Sevilla, y
corresponde a la Sede del Servicio de Informática de la Dirección General de Infraestructuras y
Sistemas, en adelante DGIS.
3.2.2.1 SERVICIOS
Bajo el nombre ADRIANO se identifica el grupo de aplicativos dedicados a la gestión procesal (uno por cada
jurisdicción). Su arquitectura es cliente-servidor y se encuentran desarrollados en Visual Basic.
Las bases de datos procesales se encuentran distribuidas, es decir, cada Sede Judicial alberga una.
El intercambio de asuntos judiciales (itineraciones, recursos, etc.) se realiza a través de los Nodos Provinciales
a través de la herramienta Nautius.
Existen diversos servicios, de carácter centralizado, entre los que cabe destacar:
● Soporte a la actividad procesal
○ Sistema de Gestión Procesal
○ Sistema de apoyo a la labor de los Institutos de Medicina Legal.
○ Sistema de información para Fiscalías.
○ Sistema de archivos judiciales.
○ Portales web.
○ Agendas de señalamientos.
12
○ SAVA
○ Equipo técnico de menores
○ Web Mercantil
○ Protocolo de adicciones
○ Notificaciones telemáticas a los procuradores (Lexnet)
● Servicios de soporte
○ Notario Electrónico.
Proporciona un servicio de sellado de tiempo (TSA) para otras aplicaciones. Éstas envían al
Notario un hash md5 al que se asigna un sello de tiempo. No se guarda el documento pero sí el
sello de tiempo. Emite, además, acuses de recibo.
Este servicio es prestado no solo a REDIUS, sino a toda la Junta de Andalucía y a diversos
organismos externos.
○ Sistema de Permisos, Licencias y Control de Presencia del personal de la Administración de

Justicia, en Andalucía. (HERMES)
○ Centro de Servicios al Usuario
○ Gestión de inventarios
○ Desarrollo de aplicaciones y soluciones TIC
Principales servicios de red prestados en las Sedes Judiciales:
● Ficheros e impresoras compartidas.
● Servicios de red: DNS, DHCP, Login, antivirus, etc.
● Correo.
● Videoconferencia, Grabación de Vistas.
● Acceso a Internet
13
3.2.2.2. SERVIDORES Y SOFTWARE BASE
El SGBD más extendido es Oracle 10g, actualmente se está ejecutando un proceso de migración a la versión
10.2 de dicho SGBD. También es utilizado el producto Microsoft SQL Server, pero solamente para bases de
datos de gestión en el Nodo Central.
Son utilizadas tres tipos de plataformas:
● Servidores HP Integrity (IT2) con HPUX v11 y software de cluster ServiceGuard. Presentes solamente
en el Nodo Central, asumen la función de servidores de base de datos de producción.
● Servidores Intel Xeon con Suse Linux ES10. Presentes solamente en el Nodo Central, proporcionan
diversos servicios de red (proxy-caché, etc.) y de aplicación basado en Java (Tomcat, Jboss e IBM
Websphere), para los entornos de Producción, Preproducción, Desarrollo y Formación.
● Servidor IBM P-SERIES 570 con Suse Linux ES10. Presente solamente en el Nodo Central, es un
servidor de virtualización AIX/Linux que contiene diversos servidores que suministran servicios de red
(DNS, LDAP, etc.) y de aplicación basado en Java (Tomcat, Jboss e IBM Websphere), para los
entornos de Producción, Preproducción, Desarrollo y Formación.
● Servidores Intel Xeon con Microsoft Windows 2003. Se encuentran presentes en todas las Sedes de
REDIUS. En el ámbito de las Sedes Judiciales asumen dos papeles principales: servidores de base de
datos y de ficheros. En el Nodo Central sus papeles son diversos, predominando el servicio de
aplicación (Microsoft Internet Aplication Server).
● Servidores Intel Xeon con VMWare para la virtualización de diversos servidores Windows 2003 y Linux
ES10, además de entornos de formación con PC's virtuales Windows XP.
La monitorización de los servicios se fundamenta en los siguientes productos:
● BMC Patrol.
● Nagios.
La monitorización hardware de los servidores se fundamenta los siguientes productos:
● HP Insight Manager.
● IBM Director.
Respecto a la copia de seguridad:
● En las Sedes Judiciales y Nodos Provinciales se utiliza el producto Veritas Backup Exec 10.
● En el Nodo Central se utiliza el producto Legato Networker.
14
El servicio de correo electrónico se basa en el producto Microsoft Exchange Server 2003.
La gestión de incidencias se basa en el producto BMC Remedy. Existen interfaces de integración con Patrol y
con diversos inventarios: de Sedes, de servidores, de líneas, etc.
3.2.2.3 RED DE COMUNICACIONES
El objeto de los elementos y arquitectura que a continuación se describen de forma esquemática es la

constitución sobre la infraestructura de la red corporativa de la Junta de Andalucía, de una red privada virtual
segura conocida como REDIUS, que permite el intercambio seguro de información entre órganos judiciales,
siendo CEIURIS el nodo central de la topología en estrella de la red judicial.
Las sedes de REDIUS se encuentran conectadas entre sí a través del servicio de transporte IP proporcionado
por la Red Corporativa de la Junta de Andalucía, RCJA. Los encaminadores son administrados por RCJA.
No existe una conexión directa de REDIUS con el exterior. Las comunicaciones con el exterior se fundamentan
en los servicios proporcionados por el nodo de interconexión, seguridad y acceso, NIX, nodo de acceso
perteneciente a la RCJA.
El ancho de banda WAN mínimo, aplicable a las sedes pequeñas, es actualmente de 2 Mbps de bajada
asegurados, y 640 Kbps de subida (tecnologías ADSL). También existen sedes con conexión LMDS de 1Mbps
full-duplex.
La Red Corporativa de la Junta de Andalucía la administra la Sociedad Andaluza para el Desarrollo de la

Sociedad de la Información (SADESI), empresa pública perteneciente a la Junta de Andalucía que presta los
servicios de Gestión de la Red de Telecomunicaciones y Servicios Telemáticos de la Junta de Andalucía, así
como Servicios de Valor Añadido.
La Red Corporativa está compuesta por una red troncal principal, y mediante nodos en cabeceras de
provincias proporciona la interconexión de las distintas Redes de Área Local (LANs) de las Delegaciones
Provinciales con la Red de Área Local (LAN) que alberga los Servicios Centrales, en Sevilla, de la Consejería.
La infraestructura de red de la Consejería de Gobernación y Justicia, donde está encuadrada CEIURIS, es

proporcionada por la Red Corporativa de la Junta de Andalucía, empresa que da los servicios de red, tanto
líneas como equipos, y mantenimiento y soporte, a todos los órganos judiciales y oficinas de la Consejería.
La implantación de las medidas de seguridad en los accesos a la red desde Internet son responsabilidad de la
Red Corporativa que mantiene la configuración de los equipos y da soporte.
Aún así y debido a la complejidad de la Red Judicial, se ha instalado una Red Privada Virtual (VPN) que
engloba a todos los Órganos Judiciales y edificios de la Consejería (se incluye CEIURIS) que imposibilita la
conexión a los Servidores de Justicia desde cualquier otro organismo de la Red Corporativa y también
imposibilita las conexiones externas a la Red Corporativa.
15
Toda la red Judicial se puede considerar red interna, los servidores considerados públicos (servidor web,
pasarela de correo web) están fuera de ella. El firewall se encuentra en el NIX de la Red Corporativa donde es
gestionado y la salida a Internet así como el correo web va vía NIX a través de dicho firewall.
Para acrecentar la seguridad de la red interna se ha instalado en CEIURIS un firewall que permite implantar
una zona desmilitarizada, DMZ, donde se han colocado los servidores de acceso externo (Servidor de
Notarización, servidor intranet, etc.). Además, se ha creado otra zona desmilitarizada apartada tanto de la Red
Interna como de la DMZ para los servicios que se suministran para los usuarios que se encuentren en
Internet (fuera de RCJA).
Dos cortafuegos en alta disponibilidad, Nokia IP 530 y 350 con software Check Point FireWall-1, protegen las
diversas VLAN que conforman el Nodo Central.
En las Sedes Judiciales y Nodos Provinciales la función cortafuegos es asumida por los equipos Lucent FW
Brick 150.
En el Nodo Central existe un sistema de detección de intrusiones basado en la plataforma Nokia IP 330 con
software Real Secure de ISS.
El acceso a Internet se realiza a través de “Proxy-caché” basados en el producto Open Source Squid, sobre
plataforma Linux.
El tráfico de acceso a la WWW, así como los mensajes de correo que entran y salen de REDIUS, son filtrados
por tres appliances de seguridad perimetral Panda Gate Defender Performa.
Las comunicaciones entre las diversas sedes de REDIUS son cifradas mediante su encapsulamiento en
túneles IPSec. La VPN así definida se fundamenta en los equipos Brick 150 y Brick 350 de Lucent
Technologies.
A nivel de red, las sedes son monitorizadas mediante los productos IBM Tivoli Netview y 3com Network
Supervisor.
16
4. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES

ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS
EN EL DOCUMENTO
AUTOMATIZADOS
4.1 IDENTIFICACIÓN Y AUTENTICACIÓN
Esta normativa recoge las reglas a aplicar en la gestión de usuarios con acceso a los SS.II., con objeto de
establecer mecanismos que eviten el acceso incontrolado a los recursos de información presentes en los
sistemas.
Los sistemas de información (y software de base) dispondrán de mecanismos de identificación y autenticación

que prevengan los accesos no autorizados basados en la existencia de un identificador unívoco y
personalizado de usuario y contraseña, o mediante la utilización de certificado digital o algún otro mecanismo
de protección suficientemente probado, dado el estado de la tecnología en cada momento y las características
de la información a proteger:
1. Todos los usuarios con acceso a un sistema de información, dispondrán de una autorización de
acceso compuesta de identificador de usuario y contraseña.
2. No se permitirá, con carácter general, el acceso a los sistemas a través de usuarios genéricos.
3. No se permite el acceso a los sistemas de información con un identificador que no sea el propio, así
como comunicarlo y /o cederlo a cualquier otra persona.
4. Los sistemas permitirán asociar períodos de validez a los identificadores de usuario de forma que
fuera de ese rango de fechas el sistema prevenga la autenticación a través de dicho identificador.
5. Cada 90 días se desactivan las cuentas que tienen un periodo de inactividad superior a 60 días.
6. Los usuarios con privilegios de administración considerarán mecanismos adicionales de seguridad y

protección, en relación a su contraseña, para prevenir accesos no autorizados a través de sus
identificadores.
4.1.1 GESTIÓN DE CONTRASEÑAS
1. La asignación de contraseña inicial será aleatoria y comunicadas a los usuarios de forma que se
garantice la confidencialidad e integridad de las mismas.
2. El sistema almacenará las contraseñas cifradas, con el objeto de garantizar la confidencialidad e

integridad de las mismas.
3. Las contraseñas deberán tener al menos 8 caracteres y estar compuestas por letras (mayúsculas y/o
17
minúsculas), números y/o caracteres especiales.
• Longitud mínima de la contraseña: 8 caracteres
• Vigencia máxima de la contraseña: 120 días
• Vigencia mínima de la contraseña: 7 días
• Umbral de bloqueos de la cuenta: 13 intentos de inicio de sesión no válidos
• Restablecimiento de la cuenta de bloqueos: luego de 30 minutos
• Forzar el historial de contraseñas: 5 contraseñas recordadas
• y los requisitos de seguridad en cada contraseña, que figuran a continuación:
• No contener el nombre de cuenta del usuario o partes del nombre completo del
usuario en más de dos caracteres consecutivos
• Incluir caracteres de tres de las siguientes categorías:
• Mayúsculas (de la A a la Z)
• Minúsculas (de la a a la z)
• Dígitos (del 0 al 9)
• Símbolos - Caracteres no alfanuméricos (por ejemplo: !, $, #, %)
4. El sistema obligará al cambio de las contraseñas iniciales al autenticarse por primera vez en el
sistema.
5.
AUTOMATIZADOS
NIVEL MEDIO
El sistema inhabilitará, aquel puesto que intente conectarse de forma consecutiva mediante identificadores
y/o contraseñas incorrectas. El número máximo de intentos permitidos será de 5.
4.2 CONTROL DE ACCESO
El personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones. El
18
responsable del fichero establecerá los siguientes mecanismos para evitar que un usuario pueda acceder a
recursos con derechos distintos de los autorizados:
1. Segmentación de los accesos para cada uno de los SS.II. mediante la definición de perfiles de
usuarios, donde se especificarán el tipo de acceso autorizado (consulta, actualización, administración,
etc.).
2. Cada uno de los usuarios estará asignado a un perfil por cada sistema al que tenga acceso, de
manera que exclusivamente tenga acceso autorizado a los recursos que precisa para desempeñar su
función.
3. Cada acceso autorizado a los SS.II. deberá estar identificado unívocamente con el usuario
correspondiente.
4. La generación de altas y bajas de usuario, así como la modificación de derechos de acceso de los
usuarios, se tramitarán exclusivamente a través del medio establecido y siguiendo el procedimiento de
gestión de usuarios.
Deberá existir un registro actualizado de los usuarios con acceso autorizado para cada sistema de
información.
5. El registro de usuarios de cada sistema deberá contemplar al menos la siguiente información:
● Nombre de usuario.
● Puesto de trabajo.
● Identificador de usuario.
● Perfil de usuario
El procedimiento definido a continuación es de obligado cumplimiento para todas aquellas unidades técnicas
implicadas en la gestión de las credenciales de acceso a la red:
➢ Trimestralmente, a finales de los meses de marzo, junio, septiembre y diciembre; el Departamento de

Sistemas identificará y desactivará las credenciales de usuario de acceso a la red que no hayan sido utilizadas
durante un periodo superior a 60 días.
➢ El Departamento de Sistemas elaborará cada vez una lista de usuarios de red desactivados que será
proporcionada a las diversas unidades técnicas interesadas. Se pretende con ello que también las restantes
credenciales de acceso del usuario puedan ser desactivadas.
➢Las cuentas desactivadas podrán ser vueltas a activar siguiendo el correspondiente Procedimiento de
Gestión de Credenciales. Mientras este procedimiento no se encuentre definido, se actuará de forma análoga
a las altas.
19
➢También trimestralmente, en las mismas fechas definidas anteriormente, el Departamento de Sistemas

eliminará las credenciales de acceso a la red que lleven 1 año desactivadas, sin importar la causa de esta
desactivación.
➢El Departamento de Sistemas elaborará una lista de usuarios dados de baja que será proporcionada a las
diversas unidades técnicas interesadas. Se pretende con ello que también las restantes credenciales de
acceso del usuario puedan ser dadas de baja o desactivadas permanentemente.
➢En las bajas definitivas, el contenido de las carpetas de red del usuario será puesto a disposición del
responsable de la unidad a la que pertenece el usuario.
➢Tanto las bajas temporales (desactivaciones) como las permanentes pueden ser solicitadas de forma
explícita por los responsables de usuarios a través de CAU. En realidad debe fomentarse este hecho.
➢El alta de un usuario podría ser definida como temporal, es decir, tener asignado una fecha de caducidad
para su desactivación / baja automática.
Exclusivamente el personal relacionado en el punto 10.2 del Anexo II está autorizado para conceder, alterar o
anular el acceso autorizado sobre los datos y los recursos, conforme a los criterios establecidos por el
responsable del fichero.
De existir personal ajeno al responsable del fichero con acceso a los recursos deberá estar sometido a las
mismas condiciones y obligaciones de seguridad que el personal propio.
AUTOMATIZADOS
NIVEL MEDIO
4.2.1. CONTROL DE ACCESO FÍSICO
Exclusivamente el personal relacionado en el punto 10.3. del Anexo II, podrá tener acceso a los locales donde
se encuentren ubicados los sistemas de información correspondientes al Servicio de Informática de la
Secretaría General para la Justicia.
4.2.1.1. NORMATIVA DE CONTROL DE ACCESO FÍSICO
1. Sólo al personal autorizado le está permitido acceder y permanecer de forma continua en las
dependencias donde se ubican ficheros con DCPs.
2. La concesión de autorización de acceso al CPD corresponde exclusivamente a las siguientes

personas: Responsable del Departamento de Sistemas.
3. Las autorizaciones tendrán carácter individual y se concederán a aquellas personas que por razón de
su trabajo necesiten acceder al CPD, bien sea de forma permanente o durante un periodo de tiempo
20
determinado. Habrá dos tipos de autorización:
○ Permanente: sin límite en el tiempo.
○ Temporal: con fecha de caducidad.
1. Las visitas de corta duración tienen carácter excepcional y no requieren autorización formal (por
escrito). Sin embargo, habrán de comunicarse y justificarse previamente al responsable de conceder
autorizaciones o persona en quien delegue.
2. Las personas a quien corresponde autorizar los accesos mantendrán actualizado el correspondiente
registro de personas autorizadas.
4.2.1.2. PROCEDIMIENTO DE CONTROL DE ACCESO FÍSICO
Véase documento "Procedimiento de control de acceso físico".

4.2.1.3. MEDIDAS DE CONTROL DE ACCESO FÍSICO
El acceso al CPD está estrictamente restringido al personal autorizado y dispone de los siguientes
mecanismos de control de acceso:
● Puertas de acceso restringidas y permanentemente cerradas
● Puertas de acceso blindadas y resistentes al fuego
● Botonera con tarjeta magnética
● Registro de acceso
AUTOMATIZADOS
NIVEL ALTO
4.2.2. REGISTRO DE ACCESOS
En los accesos a los datos de los ficheros de nivel alto, se registrará por cada acceso la identificación del
usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o
denegado. Si el acceso fue autorizado, se almacenará también la información que permita identificar el
registro accedido.
Los datos del registro de accesos se conservarán durante 2 años. Los datos podrán almacenarse en copias de
respaldo.
El responsable de seguridad revisará al menos una vez al mes la información de control registrada y elaborará
21
un informe según se detalla en el Capítulo VI de este documento.
No será necesario el registro de accesos cuando concurran las siguientes circunstancias y se hagan constar
expresamente en el documento de seguridad:
● el responsable del fichero es una persona física,
● el responsable del fichero garantice que sólo él tiene acceso y trata los datos personales.
4.3. GESTIÓN DE SOPORTES Y DOCUMENTOS
Los soportes que contengan datos de carácter personal deberán permitir identificar el tipo de información que
contienen, ser inventariados y serán almacenados en el CPD, lugar de acceso restringido al que solo tendrán
acceso las personas con autorización que se relacionan en el punto 10.4 del Anexo II.
Los soportes se almacenarán de acuerdo a las siguientes normas:
Etiquetado de soportes con DCPs
Cualquier soporte magnético que sea susceptible de contener DCPs y que vaya a ser utilizado deberá ser
debidamente etiquetado.
En la etiqueta de cada soporte generado deberá aparecer el Código Identificativo del mismo, compuesto por:
• Un número que identifica al juego de soportes utilizado.
• Número de orden del soporte dentro del juego.
Inventario de soportes con DCP
Los soportes que contengan DCPs serán inventariados y almacenados en un lugar con acceso restringido al
personal autorizado.
En el CPD existirá un inventario de soportes, que facilite su control, almacenamiento y localización. En este
inventario se registrarán los siguientes datos:
● Código identificativo del soporte.
● Información del contenido:
• Para copias de respaldo:

○ Tipo de respaldo (diario, semanal, etc.).
○ Tipo de soportes (cinta, cartucho, etc.).
○ Lugar donde se almacena el juego (dependencia, armario, estante, etc.).
22
Reutilización de Soportes
Cuando un soporte se prepare para ser reutilizado, la información que contiene será eliminada. Además:
• Para soportes propios inventariados, se eliminarán del inventario.
• Para soportes recibidos e inventariados (porque se han guardado para su tratamiento posterior), se
eliminarán del Inventario y se actualizará el Registro de entrada de Soportes marcándolos con el indicador
de “borrado”.
Desechado de soportes
Cuando un soporte vaya a ser desechado, se borrará la información contenida y se destruirá físicamente de
forma que no sea posible el acceso a la información contenida en ellos o su recuperación posterior. Además:
• Para soportes propios inventariados, se eliminarán éstos del inventario.
• Para soportes recibidos e inventariados (porque se han guardado para su tratamiento posterior), se
eliminarán del inventario y se actualizará el Registro de entrada de Soportes marcándolos con el
indicador de “desechado”.
Salida de soportes
La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos en
correos electrónicos, fuera de los locales bajo el control del responsable del tratamiento, deberá ser autorizada
por el responsable del fichero o aquel en que se hubiera delegado.
En el traslado de la documentación se adoptarán las medidas necesarias para evitar la sustracción, pérdida o
acceso indebido a la información. Se utilizará el mecanismo de embalaje precintado adecuado, y se precisará
la constante supervisión del proceso de traslado por parte del personal técnico autorizado.
En el Anexo IV se incluirán los documentos de autorización relativos a la salida de soportes que contengan
datos personales.
AUTOMATIZADOS
NIVEL MEDIO
4.3.1. REGISTRO DE ENTRADA Y SALIDA DE SOPORTES
Las salidas y entradas de soportes correspondientes a los ficheros tratados por el Servicio de Informática
deberán ser registradas de acuerdo al siguiente procedimiento:
23
4.3.1.1. PROCEDIMIENTO DE RECEPCIÓN DE SOPORTES
Recepcionar soportes
1. La persona autorizada recepciona los soportes y analiza el origen y contenido. No obstante, si se

reciben soportes no previstos, acude al responsable de su unidad, a quien corresponde la
responsabilidad de aceptar o rechazar los soportes recibidos.
Registrar entrada de los soportes
2. La persona autorizada para gestionar los soportes asigna un código al juego de soportes recibido y
anota la recepción en el Registro de Entrada de soportes.
Inventariar y almacenar los soportes
3. Si el juego de soportes recibido ha de guardarse para ser procesado posteriormente, se procede a su

inventariado y almacenamiento según lo dispuesto en la normativa de Identificación de Soportes.
Procesar y sanitizar o devolver los soportes
4. Si el soporte lo requiere, la persona autorizada procesa la información almacenada en los soportes.
5. Finalizado el procesado de la información, si su contenido ha dejado de tener utilidad, se procede a la

sanitización (preparación para su reutilización o desechado), salvo que se deban devolver los soportes
a la entidad/unidad emisora o sea preciso otro uso posterior de la información, en éste último caso el
soporte se volverá a almacenar.
6. La situación de los soportes (preparado para reutilizar, desechado, devuelto) se actualiza en el

Registro de Entrada.
7. En el caso de devolver o sanitizar el soporte, y si éstos habían sido previamente inventariados y

almacenados, se dan de baja en el inventario de soportes.
4.3.1.2. PROCEDIMIENTO DE EMISIÓN DE SOPORTES
Emitir los soportes
1. La persona, debidamente autorizada, ejecuta el proceso para obtener los soportes con DCPs que van
a salir de la unidad.
El resto de las actividades del procedimiento puede realizarlas esta persona o bien cualquier otra de
la misma unidad autorizada a gestionar soportes con DCPs.
24
Habilitar medio de transporte
2. Dependiendo del contenido de los soportes a entregar y de la ubicación del destino de los mismos,
se elige y se habilita el medio de transporte adecuado (recursos de la unidad, servicios generales,
mensajería, etc.), que ofrezca garantía de mantener la seguridad requerida hasta su destino.
Registrar salida de los soportes
3. Al hacer entrega de los soportes a la persona encargada de su transporte se anota la salida de los
mismos en el Registro de Salida de soportes con DCPs.
Confirmar entrega
4. La persona que registró la salida de los soportes se pone posteriormente en contacto con la entidad /
unidad destinataria para confirmar que la entrega se ha realizado satisfactoriamente.
5. Confirmada la entrega se anota este hecho en el Registro de Salida. En caso contrario se

cumplimenta el dato de Incidencias en dicho registro, y se comunican las mismas a la persona
autorizada que emitió los soportes.
4.3.1.3. PROCEDIMIENTO DE TRASLADO DE SOPORTES DE RESPALDO A OTRO EDIFICIO
Registrar salidas de soportes del CPD
1. De acuerdo con lo establecido en el Procedimiento Copias de Respaldo y Recuperación, el personal

responsable de la operativa de la realización de las Procedimiento Copias de Respaldo y
Recuperación prepara los juegos de soportes a transportar al otro edificio, habilita los medios de
transporte, y anota esos juegos en el Registro de Salida de soportes.
Transportar los soportes
2. Se selecciona el persnal adecuado para realizar el transporte y, una vez en el edificio de destino, se
almacenan y se retiran los soportes que corresponden según lo establecido en la planificación de
copias de respaldo.
Registrar entradas de soportes en el CPD
3. Una vez de vuelta, se procede a anotar en el Registro de Entrada de soportes, aquellos juegos de
soportes de respaldo que han sido traídos del edificio donde estaban almacenados temporalmente
25
Actualizar inventario de soportes
4. Finalmente se actualiza en el Inventario de soportes con DCP la nueva ubicación de los juegos de
soportes de respaldo: juegos que fueron llevados al otro edificio y juegos que han sido traídos.
5. Si los juegos traídos del otro edificio ya no van a ser almacenados, se procede a su eliminación y a su
baja en el Inventario.
El registro de entrada y salida de soportes se gestionará mediante fichero ofimático y en el que deberán
constar en el caso de las entradas, el tipo de documento o soporte, la fecha y hora, el emisor, el número de
documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la
persona autorizada responsable de la recepción; y en el caso de las salidas, el tipo de documento o soporte,
la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de
información que contienen, la forma de envío y la persona autorizada responsable de la entrega.
AUTOMATIZADO
NIVEL ALTO
4.3.2. GESTIÓN Y DISTRIBUCIÓN DE SOPORTES
Los soportes relacionados con Historiales clínica forense IML, Gestión de expedientes equipos técnicos para
menores y Fiscalías asuntos penales, serán identificados mediante un sistema de etiquetado que resulte
comprensible y con significado para los usuarios con acceso autorizados, permitiéndoles identificar su
contenido y dificultando la identificación para el resto de personas.
La distribución y salida de soportes que contengan datos de carácter personal de los ficheros anteriormente
mencionados se realizará cifrando los datos mediante un mecanismo que garantice que dicha información no
sea inteligible ni manipulada durante su transporte. Actualmente se utiliza la herramienta Oubliette para el
proceso de cifrado. Igualmente se cifrarán los datos que contengan los dispositivos portátiles cuando se
encuentren fuera de las instalaciones que están bajo control del responsable.
MANUALES
4.3.3. CRITERIOS DE ARCHIVO
El archivo de los soportes o documentos del fichero CURSOS RECIBIDOS PERSONAL JUSTICIA se realiza de
acuerdo con los criterios de año en el que se realizó el curso, provincia y municipio. Dentro del nivel de capital
de provincia, se subdivide en los distintos órdenes jurisdiccionales, ya sea Civil, Penal, Contencioso, Mercantil,
Fiscalia, etc... Esta división también podrá establecerse para algunos grandes municipios que no son capital
de provincia.
26
MANUALES
4.3.4. ALMACENAMIENTO DE LA INFORMACIÓN
Los documentos del fichero CURSOS RECIBIDOS PERSONAL JUSTICIA se guardan bajo llave dentro de un
armario situado en la sala B10, también cerrada con llave, que se encuentra en la planta baja.
El tipo de tratamiento de los ficheros de nivel alto en el Servicio de Informática es exclusivamente

automatizado.
Los siguientes dispositivos serán utilizados para guardar los documentos con datos personales:
•Armarios protegidos con cerradura y llave. La llave deberá ser custodiada por el personal de vigilancia del
edificio correspondiente.
MANUALES
4.3.5. CUSTODIA DE SOPORTES
En tanto los documentos con datos personales no se encuentre archivada en los dispositivos de
almacenamientos indicados en el punto anterior, por estar en proceso de tramitación, las personas que se
encuentren al cargo de los mismos deberán custodiarlos e impedir en todo momento que pueda ser accedida
por personas no autorizadas.
4.4 ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIONES
Se considera que un acceso a través de una red de comunicaciones se da cuando la información atraviesa un
medio que no se encuentra controlado en su totalidad por la Administración de Justicia, como por ejemplo
Internet o Intranets compartidas con otros organismos.
En este sentido, no se permite el acceso a datos a través de redes de comunicaciones que no se encuentren
descritas de forma explícita en el presente Documento de Seguridad.
Cualquier acceso a través de red de comunicaciones deberá garantizar que se cumplen las medidas de
seguridad establecidas por el nivel de los datos accedidos según el presente Documento de Seguridad.
La red en la que se ubiquen sistemas y a las que accedan los usuarios de los sistemas de información al
servicio de la Administración de Justicia estará protegida de accesos no autorizados.
El acceso a otras redes estará protegido a través de cortafuegos (firewalls) u otro tipo de mecanismos que
aseguren en las comunicaciones a través de las redes locales un nivel de protección suficiente frente a las
amenazas de terceros.
También incluye la existencia y actualización periódica de mecanismos de protección frente a virus u otros
27
códigos maliciosos. Los dispositivos de red (como encaminadores –routers -) también estarán adecuadamente
securizados y protegidos.
La conectividad remota (“teletrabajo”) a través de redes públicas de datos estará adecuadamente protegida,
en línea con las soluciones tecnológicas de seguridad existentes en cada momento.
Igualmente, la conectividad a través de redes inalámbricas requerirá la configuración (con los mecanismos
actualmente disponibles o los que puedan existir en el futuro) segura de la misma.
La administración de forma remota de los equipos y servidores en caso de ser necesaria se realizará mediante
canales seguros.
Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a través de redes de
comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente
a los accesos en modo local.
NIVEL ALTO
Los datos personales correspondientes a los ficheros de nivel alto que se transmitan a través de redes
públicas o inalámbricas de comunicaciones electrónicas se realizará cifrando previamente estos datos.
4.5. RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE LA UBICACIÓN DEL

FICHERO
Se pueden llevar a cabo los siguientes tratamientos de datos personales fuera de los locales del Servicio de
Informática:
•Salvaguarda de la base de datos de producción en el Centro de Respaldo de la Junta de Andalucía. La base

de datos de producción incluye todos los ficheros relacionados en el Anexo I. Descripción de ficheros,
exceptuados los ficheros "TARJETAS CRIPTOGRÁFICAS" y "CURSOS ADRIANO". Consultar documentos
“Informe replicación Fenix.” y “Autorización LOPD respaldo Fenix”.
Consultar el documento anexo “Medidas de seguridad del Centro de Respaldo” para conocer los
procedimientos y normas adoptadas por el Centro de Respaldo para garantizar la seguridad de la información.
MANUALES
4.6. TRASLADO DE DOCUMENTACIÓN
Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse las
medidas necesarias orientadas a impedir el acceso o manipulación de la información objeto de traslado, cajas
precintadas y custodiadas por personal técnico cualificado, control de entradas y salidas con identificación del
personal encargado del traslado...
28
4.7. FICHEROS TEMPORALES
Los ficheros temporales o copias de documentos creados exclusivamente para trabajos temporales o
auxiliares, deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios expresados en
el Reglamento de medidas de seguridad, y serán borrados o destruidos una vez que hayan dejado de ser
necesarios para los fines que motivaron su creación.
4.7.1. NORMATIVA PARA EL TRATAMIENTO DE FICHEROS TEMPORALES
1. Sólo se permitirá la creación de ficheros temporales que contengan datos de carácter personal en dos
situaciones:
○ Ficheros temporales creados por usuarios autorizados.
○ Ficheros temporales generados automáticamente en procesos internos de los SS.II..
1. Los Usuarios únicamente podrán generar ficheros temporales cuando éstos sean para su uso
exclusivo en procesos específicos y relacionados con el trabajo de la unidad.
○ Estos ficheros nunca deben ser ubicados en unidades locales de PCs, siendo los servidores de
ficheros el lugar para ubicar temporalmente este tipo de ficheros.
○ No se permitirá la salida de estos ficheros fuera de la Unidad Usuaria. Por tanto los ficheros
temporales no podrán ser copiados en soportes informáticos. Tampoco podrán ser copiados en
soportes para ser almacenados.
○ Una vez estos Ficheros hayan dejado de ser útiles para la finalidad con la que se crearon, serán
borrados por el usuario que lo creó.
1. Ficheros temporales creados automáticamente en procesos internos de los SS.II.
○ Estos Ficheros son generados automáticamente en procesos internos de las aplicaciones, cuya
ejecución puede estar programada periódicamente o realizarse con carácter esporádico. Tanto en
un caso como en otro, los procesos deben estar diseñados para que los Ficheros temporales
creados durante su ejecución se eliminen a la finalización del mismo.
○ Si por causas accidentales, el proceso falla durante su ejecución, los ficheros temporales
permanecerán creados hasta que se analice y conozca la causa que motivó el fallo.
Posteriormente se procederá al borrado de los Ficheros temporales existentes.
MANUALES
NIVEL ALTO
29
4.8. COPIA O REPRODUCCIÓN
La realización de copias o reproducción de los documentos con datos personales sólo se podrán realizar bajo
el control de personal autorizado.
Las copias desechadas deberán ser destruidas imposibilitando el posterior acceso a la información contenida
en las mismas utilizando los medios adecuados, herramientas destructoras de papel ...
AUTOMATIZADOS
4.9. COPIAS DE SEGURIDAD
Se realizarán copias de respaldo, salvo que no se hubiese producido ninguna actualización de los datos
diariamente.
Los procedimientos establecidos para las copias de respaldo y para su recuperación garantizarán su
reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
El responsable del fichero verificará semestralmente los procedimientos de copias de respaldo y recuperación
de los datos.
Las pruebas anteriores a la implantación o modificación de sistemas de información se realizarán con datos
personales previa copia de seguridad, y garantizando el nivel correspondiente al tratamiento realizado.
4.9.1. PROCEDIMIENTO DE REALIZACIÓN DE COPIAS DE RESPALDO
El procedimiento para la obtención de copias de respaldo se basa en la ejecución de los planes establecidos
para cada entorno de explotación. Actualmente los entornos de explotación existentes son: desarrollo,
preproducción, producción y formación
4.9.1.1. OBTENER COPIAS DE RESPALDO
1. Finalizada la jornada laboral y cuando los SS.II. no están operativos, se ejecutan los procesos de
copias de respaldo los cuales están previamente programados según una planificación establecida.
2. Se ejecutan los procedimentos de planificación de copias de respaldo detallados en los documentos

anexos: “Procedimientos copias de seguridad SSCC” “Procedimientos copias de seguridad órganos
judiciales” y “Procedimientos copias de seguridad servidores de salas de vistas”.
4.9.1.2. REGISTRO DE SOPORTES
1. Una vez obtenidas las copias de respaldo, se actualizará el registro de soportes aplicando la
normativa habilitada de Identificación de Soportes.
30
4.9.1.3. ALMACENAR COPIAS DE RESPALDO
1. Finalmente el personal de autorizado al efecto almacena los soportes que contienen las copias de
respaldo. Consultar el documento “Almacén y custodia de soportes”.
4.9.2. PROCEDIMIENTO DE RECUPERACIÓN DE DATOS
Este procedimiento contempla la recuperación de ficheros con DCPs desde copias de respaldo ante una
incidencia cuya resolución requiere dicha recuperación.
4.9.2.1. COMUNICAR NECESIDAD DE RECUPERACIÓN DE DATOS
Responsable de Unidad Usuaria
1. Ante una necesidad de recuperación de datos, el usuario la comunica al Responsable del Fichero.
2. La recuperación de datos se reporta como incidencia según lo establecido en el Procedimiento de

Notificación y Gestión de Incidencias.
3. También el Encargado del Tratamiento puede detectar necesidad de recuperar datos, como resultado
de incidencias de otro tipo reportadas por los usuarios o detectadas por ellos mismos.
4.9.2.2. ANALIZAR NECESIDAD DE RECUPERACIÓN DE DATOS
1. Responsable del Fichero y los usuarios afectados, analizan la necesidad de recuperación y deciden, si
es preciso, qué Ficheros y datos se recuperan, en qué momento, a partir de qué copias de respaldo y
si es necesario grabar datos manualmente, para garantizar la reconstrucción del estado de los
sistemas al momento en el que se produjo la incidencia que ocasionó la pérdida o inconsistencia de
los datos.
4.9.2.3. AUTORIZAR RECUPERACIÓN DE DATOS
Responsables de Ficheros
1. En su caso, los Responsables de Ficheros o personas en quien delegue autorizan formalmente (por
escrito u otro medio en el que quede constancia de la autorización) la ejecución de los procesos de
recuperación de ficheros.
4.9.2.4. RECUPERAR DATOS
Encargado del tratamiento
1. El personal Encargado del Tratamiento recupera físicamente los Ficheros requeridos, utilizando para
ello los mecanismos que <Indicar> tenga habilitados para estos casos.
31
4.9.2.5. CERRAR INCIDENCIA DE RECUPERACIÓN DE DATOS
Responsable del Fichero
1. Una vez recuperados los datos correspondientes, el Responsable de Fichero registra las acciones
asociadas a la incidencia de seguridad (acciones de recuperación y los datos que han sido
recuperados) y posteriormente cierra la incidencia.
NIVEL ALTO: En los ficheros Historiales clínica forense IML, Gestión de expedientes equipos técnicos para
menores y Fiscalías asuntos penales se conservará una copia de respaldo y de los procedimientos de
recuperación de los datos en el Centro de respaldo de la Junta de Andalucía, esta cumple las medidas de
seguridad, y utiliza elementos que garantizan la integridad y recuperación de la información.
4.9.3. PROYECTO FÉNIX: RESPALDO Y CONTINUIDAD INFORMÁTICA PARA LA JUNTA

DE ANDALUCÍA
El Centro de Respaldo y Hospedaje de la Junta de Andalucía surge como una solución de carácter general y
como servicio de aplicación horizontal en el ámbito de la infraestructura, aplicaciones y servicios propios o
relacionados con las Tecnologías de la Información y las Comunicaciones de la Junta de Andalucía.
Dentro de este marco global, los objetivos específicos que delimitan la funcionalidad de este centro son:
•Coordinación de las políticas de seguridad,
•Custodia o almacenamiento de datos,
•Respaldo telemático remoto,
•Alta disponibilidad y continuidad informática de servicios críticos,
•Hospedaje.
El papel crucial que la seguridad desempeña en el campo de las Tecnologías de la Información exige una
labor estratégica de coordinación de las políticas de seguridad que permita incorporar y adaptar los estándares
internacionales, europeos y nacionales a las necesidades de los sistemas y servicios de información de la
Junta de Andalucía.
La realización de copias de respaldo y su almacenamiento en un centro remoto distinto al centro de

producción y explotación es una exigencia importante en el ámbito de las tecnologías de la información.
Para aplicaciones y servicios críticos es necesario establecer estrategias de copias remotas en disco a
intervalos preestablecidos (frecuencia diaria, horaria, etc.). Además, para aplicaciones altamente críticas se
abordarán soluciones de recuperación ante desastres, lo que implica fundamentalmente el diseño e
implantación de estrategias de alta disponibilidad y continuidad informática.
32
Estado actual de ficheros de nivel alto con respecto a su custodia en el Centro de Respaldo:
FICHERO ESTADO
ENVÍO TELEMÁTICO DOCUMENTACIÓN RESPALDADO
HISTORIALES CLÍNICA FORENSE IML RESPALDADO
GESTIÓN EXPTES. E.T. FISCALÍA MENORES RESPALDADO
FISCALÍAS. ASUNTOS PENALES. RESPALDADO
NIVEL MEDIO
4.10. RESPONSABLE DE SEGURIDAD
Se designa como responsable de seguridad a el/la Jefe/a de Servicio y Responsable del Departamento de
Sistemas, que con carácter general se encargará de coordinar y controlar las medidas definidas en este
documento de seguridad.
En ningún caso, la designación supone una exoneración de la responsabilidad que corresponde a el/la titular
de la Secretaría General para la Justicia como responsable del fichero de acuerdo con el Reglamento de
desarrollo de la LOPD.
El responsable de seguridad desempeñará las funciones encomendadas durante el periodo de ocupación del
cargo.
En el Anexo III se encuentran las plantillas de los nombramientos de responsables de seguridad.
33
5. PROCEDIMIENTO GENERAL DE INFORMACIÓN AL PERSONAL

Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los
sistemas de información están definidas de forma general en el Capítulo siguiente y de forma específica para
cada fichero en la parte del Anexo I correspondiente.
Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de sus
funciones, así como las consecuencias del incumplimiento de las mismas, serán informadas de las normas
que debe cumplir y de las consecuencias de no hacerlo.
Se remitirá periódicamente información sobre seguridad: circulares, recordatorios, nuevas normas.
6. FUNCIONES Y OBLIGACIONES DEL PERSONAL

La Junta de Andalucía, aprobó la Resolución de 27 de septiembre de 2004, de la Consejería de Gobernación
y Justicia, publicada en BOJA nº 200, de 13/10/2004, mediante el que se establece el Manual de
comportamiento de los empleados públicos en el uso de los sistemas informáticos y redes de comunicaciones
de la Administración de la Junta de Andalucía. Entre otros objetivos, el Manual pretende asegurar la
protección de los derechos de los ciudadanos en sus relaciones con la Administración, de las personas que
tienen acceso a los recursos informáticos y de la propia Junta de Andalucía; y prevenir a los sistemas de
información y a los datos a ellos incorporados de los riesgos o daños que puedan deberse a la acción
humana, referente a conductas incorrectas o inadecuadas.
Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas,
normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla.
Constituye una obligación del personal notificar al Responsable de seguridad las incidencias de seguridad de
las que tengan conocimiento respecto a los recursos protegidos, según los procedimientos establecidos en
este Documento.
Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que
conozcan en el desarrollo de su trabajo.
La definición y cumplimiento de las funciones y obligaciones de obligado cumplimiento para el personal con
acceso a los DCPs y a los SS.II. tienen como objeto:
● Proteger los SS.II. y Redes de Comunicaciones propiedad de la Secretaría General para la Justicia o
bajo su supervisión, contra acceso o uso no autorizado, alteración indebida de operaciones,
destrucción, mal uso o robo.
● Proteger la información confidencial contra revelaciones no autorizadas o accidentales, modificación,

destrucción o mal uso.
34
6.1. CONFIDENCIALIDAD DE LA INFORMACIÓN
Las siguientes normas afectan a todas aquellas personas que tienen acceso autorizado a los SS.II.:
● Se debe proteger la información confidencial evitando su envío no autorizado al exterior mediante

soportes materiales, o a través de cualquier medio de comunicación, incluyendo la simple
visualización o acceso.
● Se deberá guardar, por tiempo indefinido, la máxima reserva en cuanto a los datos, documentos,
metodologías, claves, análisis, programas y demás información a la que se tenga acceso.
● En el caso de entrar en posesión de información confidencial, en cualquier tipo de soporte, deberá

entenderse que dicha posesión es estrictamente temporal, con obligación de secreto y sin que ello le
confiera derecho alguno de posesión, titularidad o copia sobre dicha información. Asimismo, se
deberán devolver el o los soportes mencionados, inmediatamente después de la finalización de las
tareas que han originado el uso de los mismos.
6.2. RESPONSABILIDADES DE LOS USUARIOS
La seguridad de los datos es una tarea de equipo en la que todo el personal, como usuario de SS.II., juega un
papel fundamental. Por ello, los usuarios son responsables de asegurar que las aplicaciones, recursos
informáticos y los datos propios o bajo su supervisión, sean usados únicamente para el desarrollo de la
operativa propia para la que fueron creados e implantados.
Los usuarios de los SS.II., están sujetos a las siguientes normas de actuación:
6.2.1. ACCESO A LOS SS.II. Y A LOS DATOS
● Los usuarios precisan disponer de un único acceso autorizado (identificador de usuario y contraseña)
y son responsables de toda actividad relacionada con el uso de su acceso autorizado.
● Los usuarios no deben revelar bajo ningún concepto su identificador y/o contraseña a otra persona,
ni mantenerla por escrito a la vista o al alcance de terceros.
● Los usuarios no deben utilizar ningún acceso autorizado de otro usuario, aunque dispongan de la
autorización del propietario.
● Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y contraseña)

está siendo utilizado por otra persona, debe proceder al cambio de su contraseña y comunicar la
correspondiente incidencia de seguridad.
● Los usuarios deben conocer y cumplir las normas definidas en la Política de contraseñas. Ésta se
recoge en la normativa de identificación y autenticación de usuarios del presente Documento.
35
● Los usuarios sólo accederán a aquellos datos y recursos que precisen para el desarrollo de sus
funciones.
6.2.2. SEGURIDAD DE LOS DCPS
● Proteger, en la medida de sus posibilidades, los DCPs a los que tienen acceso, contra revelaciones no
autorizadas o accidentales, modificación, destrucción o mal uso, cualquiera que sea el soporte en
que se encuentren contenidos los datos.
● Utilizar el menor número de informes en formato papel que contengan DCPs y mantener los mismos
en lugar seguro y fuera del alcance de terceros.
● Los usuarios autorizados a manejar soportes que contengan DCPs deben guardar los mismos en un
lugar seguro cuando éstos no sean usados, especialmente fuera de la jornada laboral.
● Los usuarios autorizados a manejar soportes que contengan DCPs deben inventariar aquellos que
tengan guardados y mantener siempre actualizado este inventario.
● En las agendas de contactos de las herramientas ofimáticas (por ejemplo en Outlook) los usuarios
únicamente introducirán datos identificativos y direcciones o teléfonos de personas. En ningún caso
introducirán datos o valoraciones de personas físicas relativos a ideología, religión, creencias, origen
racial, salud o vida sexual. En caso de incumplimiento de esta norma, las posibles responsabilidades
recaerán en el usuario que introdujo los datos.
Estas normas son de aplicación a todo el personal con acceso a los SS.II..
6.2.3 RESPONSABILIDADES DEL PERSONAL DE SS.II.
Todo el personal perteneciente a las áreas de diseño, desarrollo, operación o administración de sistemas y
redes, además de lo establecido en el punto anterior, es responsable de:
● Procurar que la integridad, autenticación, control de acceso, auditoría y registro se contemplen e

incorporen en el diseño, implantación y operación de los SS.II. y Redes de Comunicaciones.
● Procurar la confidencialidad de la información almacenada, en el ámbito de los sistemas corporativos,

tanto en formato electrónico como no electrónico.
● Procurar que la información almacenada y tratada por los SS.II. sea salvaguardada mediante copias
de seguridad de una forma periódica.
El personal de SS.II. está sujeto a las siguientes normas de actuación:
● No acceder a los datos aprovechando sus privilegios de administración sin autorización del
Responsable del Fichero.
36
● Custodiar con especial cuidado los identificadores y contraseñas que dan acceso a los sistemas con
privilegio de administrador.
● Notificar, mediante el procedimiento definido, las incidencias oportunas ante cualquier violación de las
normas de seguridad o vulnerabilidades detectadas en los sistemas.
● No revelar a terceros ninguna posible debilidad en materia de seguridad de los sistemas, sin previa
autorización del Responsable de Seguridad y con el propósito de su corrección.
6.2.4. SALIDAS DE INFORMACIÓN
Toda salida de información de DCPs (en soportes informáticos o por correo electrónico) deberá ser realizada
exclusivamente por personal autorizado, para ello será necesaria la autorización formal del Responsable del
Fichero del que provienen los datos.
En el caso de producirse salidas periódicas de DCPs, el Responsable del Fichero expedirá la autorización una
sola vez para todas ellas.
La salida de DCPs en un PC portátil, deberá ser autorizada por el Responsable del Fichero y se le dará el
mismo tratamiento que a una salida de soporte informático con DCPs, a efectos de registro de salida.
6.2.5. INCIDENCIAS
Es obligación de todo el personal con acceso a los SS.II. comunicar cualquier incidencia que se produzca y
esté relacionada con los SS.II. o con cualquier otro recurso informático.
Las actuaciones que se siguen en la comunicación y resolución de las incidencias, tanto por parte de los
usuarios como por parte de las unidades resolutorias, están recogidas en el Procedimiento de Notificación,
Gestión y respuesta ante las Incidencias del Documento de Seguridad.
6.2.6. USO APROPIADO DE LOS RECURSOS
Los Recursos Informáticos, Datos, Software, Red y Sistemas de Comunicación están disponibles
exclusivamente para cumplir las obligaciones laborales y propósito de la operativa para la que fueron
diseñados e implantados.
Queda terminantemente prohibido:
● El uso de equipos o aplicaciones que no estén directamente especificados como parte del software,
hardware o de los estándares de los recursos informáticos propios aceptados por los responsables de
los ficheros y de seguridad.
● Introducir en los SS.II. o la Red contenidos obscenos, amenazadores, inmorales u ofensivos y en
37
general, carentes de utilidad para los objetivos planificados.
● Introducir voluntariamente programas, virus, macros, o cualquier otro dispositivo lógico o secuencia
de caracteres que causen o sean susceptibles de causar cualquier tipo de alteración en los Recursos
Informáticos.
● Desactivar o inutilizar los programas antivirus y sus actualizaciones instaladas por el Servicio de
Informática.
● Intentar destruir, alterar, inutilizar o cualquier otra forma de dañar los Datos, Programas o
Documentos Electrónicos propios o que les sean confiados.
● Ubicar ficheros con DCPs en las unidades locales de disco de los puestos PC de usuario.
● Conectarse a la Red a través de otros medios que no sean los definidos y administrados por el
Responsable de seguridad.
● Intentar distorsionar o falsear los registros “log” de los SS.II..
● Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad
que intervenga en los procesos telemáticos sin consentimiento del Responsable de seguridad.
6.2.7. SOFTWARE
● Los Usuarios deben utilizar únicamente las versiones de software facilitadas por el Responsable de
seguridad y seguir sus normas de utilización.
● Los Usuarios no deben instalar ni borrar ningún tipo de programa informático en su PC.
6.2.8. HARDWARE
● Los usuarios, en su actividad laboral, deben hacer uso únicamente del hardware proporicionado por
la Junta de Andalucía o cualquier Organismo autorizado.
● El usuario en ningún caso accederá físicamente al interior del PC que tiene asignado para su trabajo.
En caso necesario se comunicará la incidencia, según el procedimiento habilitado, y únicamente el
personal autorizado por el Responsable del Fichero podrá acceder al interior del PC para labores de
reparación, instalación o mantenimiento.
● Los usuarios no manipularán los mecanismos de seguridad implementados por el Responsable de

seguridad en los PC´s de su parque informático.
38
6.2.9. CONECTIVIDAD A INTERNET
● El acceso a Internet se realiza exclusivamente a través de la Red establecida y los medios facilitados
por el Servicio de Informática.
● El uso de Internet es un servicio corporativo que pone a disposición de su personal para uso
estrictamente profesional.
● La transferencia de datos a/desde Internet se realizará exclusivamente cuando las actividades propias
del trabajo desempeñado lo exija.
● El responsable de seguridad se reserva el derecho de controlar, monitorizar o limitar el uso de

Internet, por motivos de seguridad o rendimiento de la red.
6.2.10. CORREO ELECTRÓNICO
● El servicio de Correo electrónico es un servicio corporativo que se pone a disposición de su personal

para uso estrictamente profesional.
● Queda terminantemente prohibido intentar leer, borrar, copiar o modificar los mensajes de correo
electrónico de otros usuarios
● Los usuarios no deben enviar mensajes de correo electrónico de forma masiva o de tipo piramidal con
fines comerciales o publicitarios.
6.3. ORGANIZACIÓN DE LA SEGURIDAD
El personal que realice trabajos que no impliquen el tratamiento de datos personales tendrán limitado el
acceso a estos datos, a los soportes que los contengan, o a los recursos del sistema de información.
Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la

prohibición de acceder a los datos personales y la obligación de secreto respecto de aquellos datos que
hubiera podido conocer durante la prestación del servicio.
6.3.1. RESPONSABLE DEL FICHERO
El responsable del Fichero es la persona física o jurídica encargada de decidir sobre la finalidad, contenido y
usos del Fichero. Adoptará e implantará las medidas necesarias que garanticen la seguridad de los DCP en los
términos establecidos en el Reglamento y que se describen en este documento.
Las obligaciones del responsable del fichero son las siguientes:
● Autorizar la ejecución de tratamiento de datos de carácter personal fuera de los locales de la
39
ubicación del fichero.
● Coordinar la elaboración del presente Documento de Seguridad que recoge las medidas, normas,
procedimientos y mecanismos de seguridad establecidos por CEIURIS para la protección de los DCP
del Fichero.
● Implantar las medidas de seguridad establecidas en este documento.
● Garantizar la difusión de este documento a usuarios y técnicos con acceso a este Sistema de
Información, para que conozcan las normas que afecten al desarrollo de sus funciones.
● Mantener este documento actualizado siempre que se produzcan cambios relevantes en el sistema de
información o en la organización del mismo.
● Adecuar en todo momento el contenido del documento a las disposiciones vigentes en materia de
seguridad de datos.
● Establecer mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos
distintos a los autorizados.
● Autorizar la entrada y salida de datos del Fichero que se efectúen mediante correo electrónico y
transferencia de ficheros por red.
● Autorizar la conexión a Internet y la descarga de datos del Fichero a las estaciones de trabajo en
situaciones excepcionales.
● Autorizar la salida de soportes informáticos que contengan datos de carácter personal fuera de los
locales en los que está ubicado el fichero.
● Verificar la definición y correcta aplicación de las copias de respaldo y recuperación de los datos.
● Designar uno o varios Responsables de seguridad
● Garantizar la realización de una auditoria, al menos cada dos años, externa o interna, que dictamine
el correcto cumplimiento y la adecuación de las medidas del presente Documento de Seguridad a las
exigencias del Reglamento de seguridad.
● Adoptar las medidas correctoras propuestas, como resultado de las auditorias bianuales, cuyo
objetivo es verificar el correcto cumplimiento de lo expuesto en este Documento y la adecuación a la
normativa de seguridad vigente.
● Establecer mecanismos que permitan la identificación de forma inequívoca y personalizada de todo

aquel usuario que intente acceder al sistema de información y verificación de que está autorizado.
● Autorizar por escrito, la ejecución de los procedimientos de recuperación de datos del Fichero.
40
● Guardar en lugar protegido los soportes de forma que ninguna persona no autorizada tenga acceso a
los mismos.
● Adoptar las medidas necesarias para que la distribución de los soportes que contengan datos
personales se realice cifrando dichos datos. (medida a implantar en estudio).
● Adoptar las medidas necesarias que impidan la recuperación posterior de la información almacenada
en soportes, cuando vaya a ser desechado o y previamente a su baja en el inventario.
● Adoptar las medidas necesarias que impidan la recuperación indebida de la información almacenada
en soportes, cuando estos vayan a salir fuera de los locales en que se encuentren ubicados los
ficheros como consecuencia de operaciones de mantenimiento.
● Controlar que los mecanismos que permiten el registro de accesos al Fichero están activados, sin que
se deba permitir en ningún caso la desactivación de los mismos.
● Adoptar las medidas necesarias para que la transmisión de datos personales de nivel alto a través de
las redes telemáticas, se realice cifrando dichos datos.
6.3.2. ENCARGADO DEL TRATAMIENTO
El Encargado del Tratamiento da soporte a la operativa de los SS.II.. Las principales funciones que tiene
encomendadas son:
● Provisión de recursos informáticos.
● Administración, desarrollo y mantenimiento de los SS.II..
● Administración de usuarios con acceso a los SS.II..
● Gestión del respaldo de los datos, aplicaciones y equipos informáticos.
● Gestión de la seguridad informática.
● Elaboración de normas, procedimientos y estándares informáticos.
NIVEL MEDIO
6.3.3. RESPONSABLE DE SEGURIDAD
La/s persona/s Responsable de Seguridad tiene atribuidas las siguientes funciones:
Gestión de la Seguridad de los Sistemas de Información:
41
● Estar informada de los cambios que puedan producirse en las disposiciones legales sobre el
tratamiento de DCPs, y proponer medidas de adecuación a dichos cambios.
● Supervisar que las unidades de administración de usuarios mantengan actualizados los registros de
usuarios con acceso autorizados a los SS.II..
● Gestionar y analizar las incidencias de seguridad registradas de acuerdo al Procedimiento de

Notificación y Gestión de Incidencias.
● Elaborar un informe explicativo de aquellas incidencias que afecten de manera grave a los SS.II.
establecidos dentro del ámbito de la Secretaría General.
● Dictaminar medidas cuya aplicación aminoren y/o eliminen las incidencias acaecidas.
● Revisar periódicamente la información de control registrada sobre los accesos de los usuarios a los
SS.II. y elaborar periódicamente (al menos una vez al mes) un informe de las revisiones realizadas y
los problemas detectados, para aquellos ficheros declarados de nivel alto.
● Asesorar, en la definición de requisitos, sobre las medidas de seguridad que se deben adoptar y
validar la implantación de los requisitos de seguridad necesarios en el diseño e implantación de
aplicaciones informáticas.
● Mantener actualizados los Ficheros y los DCPs de los SS.II..
● Verificar la ejecución de los controles establecidos para verificar lo dispuesto en el Documento de

Seguridad.
● Comprobar la coherencia de la información contenida en el Inventario de Ficheros con DCPs con la

existente en el Documento de Seguridad.
● Controlar que la Auditoría de Seguridad LOPD se realice al menos, cada dos años.
● Analizar los informes de Auditoría y si lo considera necesario, elevar las medidas correctoras a
implantar al Responsable del fichero para su aprobación.
● Confirmar la existencia, en el informe de auditoría, de una valoración sobre el nivel de adecuación de

las medidas y controles al Reglamento de Medidas de Seguridad de la LOPD, identificando sus
deficiencias y proponiendo las medidas correctoras o complementarias necesarias e incluyendo los
hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones
propuestas.
42
6.3.4. ADMINISTRADORES DE SISTEMAS, APLICACIONES, REDES, Y SEGURIDAD
Los Administradores de las áreas de Sistemas, Aplicaciones centrales y locales y Comunicaciones, son los
encargados de administrar o mantener el entorno operativo del Fichero.
Sus obligaciones en cuanto a la seguridad de los SS.II. son las siguientes:
● Implantar las medidas técnicas necesarias para proteger el acceso no autorizado a los datos.
● Implantar medidas técnicas para el cifrado de las contraseñas de aplicación almacenadas en el

sistema.
● Controlar los intentos de acceso fraudulento al Fichero, limitando el número máximo de intentos
fallidos, y, cuando sea técnicamente posible, guardando en un fichero auxiliar la fecha, hora, código y
clave erróneas que se han introducido, así como otros datos relevantes que ayuden a descubrir la
autoría de esos intentos de acceso fraudulentos (obligatorio en los ficheros con nivel de seguridad
alto).
● Mantener actualizado el antivirus en los sistemas.
● Verificar el funcionamiento de los sistemas de protección frente incendios, grupos electrógenos y aire
acondicionado, SAI’s.
● Guardar en lugar protegido las copias de respaldo del Fichero de forma que ninguna persona no
autorizada tenga acceso a las mismas.
● Configurar los servidores de acuerdo a las recomendaciones de seguridad del sistema

correspondiente e instalar los parches de seguridad necesarios.
● Establecer y ejecutar los mecanismos que permitan obtener periódicamente una copia de seguridad
del Fichero, a efectos de respaldo y posible recuperación en caso de fallo.
● Verificar la correcta obtención de las copias de seguridad.
● Ejecutar los procedimientos de recuperación de datos cuando ésta es solicitada.
● Establecer los perfiles de acceso a los SS.II.
● Suministrar al responsable de seguridad los listados actualizados de los usuarios dados de alta en los
SS.II. y sus correspondientes permisos de acceso, para su revisión semestral como mínimo.
● Comunicar al responsable de seguridad cualquier cambio que se produzca en los datos técnicos de
los anexos, como por ejemplo cambios en el software o hardware, sistema de comunicaciones, bases
de datos o aplicaciones de acceso al Fichero.
43
● Ocuparse del tratamiento y resolución de las incidencias de seguridad que se produzcan en sus
áreas.
● Asegurarse de que los datos protegidos que pudieran encontrarse en ficheros temporales y ficheros
de log utilizados por la aplicación o cualquier otro medio en el que pudiesen ser grabados copias de
esos datos, no son accesibles posteriormente por personal no autorizado.
El personal que realice trabajos que no impliquen el tratamiento de datos personales tendrán limitado el
acceso a estos datos, a los soportes que los contengan, o a los recursos del sistema de información.
Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la

prohibición de acceder a los datos personales y la obligación de secreto respecto de aquellos datos que
hubiera podido conocer durante la prestación del servicio.
7. PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS

INCIDENCIAS
Se considerarán como “incidencias de seguridad”, entre otras, cualquier incumplimiento de la normativa
desarrollada en este Documento de Seguridad, así como a cualquier anomalía que afecte o pueda afectar a la
seguridad de los datos de carácter personal del responsable del fichero.
Este procedimiento describe el tratamiento de los sucesos que tienen la consideración de incidencias de
seguridad respecto a los DCPs almacenados en los SS.II.. Entre otros, tienen la consideración de incidencia
de seguridad los siguientes sucesos:
● Sospechas de uso indebido de contraseña: utilización de la contraseña por otra persona distinta del
usuario titular de la misma.
● Pérdida de soportes informáticos con DCPs.
● Accesos de personas no autorizadas a dependencias que contienen SS.II. con DCPs.
● Ataques a la red e Infección de los SS.II. por virus.
● Recuperación de DCPs.
La persona que detecta la incidencia está obligada a comunicarla al Responsable del Fichero.
El Responsable del Fichero es el encargado de atender en primera instancia las incidencias de seguridad que
le son comunicadas y mantener el Registro de Incidencias de Seguridad.
Las incidencias de seguridad se dividen en dos grupos, en función de si implican o no acciones resolutorias
técnicas:
44
● Las incidencias que no implican una acción resolutoria técnica, pero que sí se deben reflejar en el
Registro de Incidencias de Seguridad para analizar posteriormente la necesidad de adoptar alguna
acción, son:
○ Sospechas de uso indebido de contraseña: utilización de la contraseña por otra persona distinta
del usuario titular de la misma.
○ Pérdida de soportes informáticos con DCP.
○ Accesos de personas no autorizadas a dependencias que contienen sistemas de información con

DCP.
● Las incidencias de seguridad que han de ser asignadas a técnicos, son:
○ Ataques a la red.
○ Recuperación de DCPs.
○ Infección de los SS.II. por virus.
A la vista de la gravedad de determinadas incidencias de seguridad, el Responsable del Fichero podrá iniciar
las acciones extraordinarias que considere oportunas.
Descripción del Procedimiento
A continuación se recoge la descripción del procedimiento de Notificación y Gestión de Incidencias.
Comunicar incidencia
Usuario
Detectada la incidencia por el usuario, éste procede a su comunicación al Responsable del Fichero.
Resolver incidencia
Unidades autorizadas para resolver
El Encargado del Tratamiento podrá efectuar la resolución de las incidencias que le competen. Tras resolver la
incidencia se registran las acciones resolutorias realizadas.
Cerrar incidencia
El Responsable del Fichero, una vez registrada la resolución de la incidencia y las acciones realizadas para
ello, confirma con el usuario la resolución de la incidencia. Si el usuario corrobora la resolución, se procede a
45
cerrar la incidencia.
En el caso de incidencias que no conllevan acciones resolutoras, el Responsable del Fichero únicamente
cierra la incidencia para que quede constancia de la misma en el Registro de Incidencias de Seguridad.
Cuando la incidencia conlleva recuperación de DCPs, el Responsable del Fichero registra las acciones
realizadas, los datos recuperados y cierra la incidencia.
El registro de incidencias se gestionará mediante una herramienta de gestión de incidencias, el Servicio de

Informática utiliza la herramienta Remedy para su registro y control, quedando reflejado el tipo de incidencia,
el momento en que se ha producido o en su caso detectado, la persona que realiza la notificación, a quién se
comunica y los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
NIVEL MEDIO: En el registro de incidencias se consignarán también los procedimientos de recuperación de

datos que afecten a los ficheros de nivel medio y alto, del modo que se indica en el procedimiento de
recuperación de datos.
Para ejecutar los procedimientos de recuperación de datos en los ficheros mencionados en el párrafo anterior,
será necesaria la autorización por escrito del responsable del fichero.
8. PROCEDIMIENTOS DE REVISIÓN
8.1. REVISIÓN DEL DOCUMENTO DE SEGURIDAD
El objeto de este procedimiento es establecer un modo de operación en la actualización y difusión del

Documento de Seguridad.
El control y verificación de la correcta aplicación de este procedimiento recae en el Responsable del Fichero.
El Documento de Seguridad LOPD establece la organización, normativas y procedimientos de seguridad de

obligado cumplimiento para el personal con acceso a los sistemas de información y DCPs. Dicho documento
debe mantenerse en todo momento actualizado y debe ser revisado obligatoriamente siempre que se
produzcan cambios relevantes en la organización de seguridad, en los SS.II. o cuando sea necesario
adecuarse a las disposiciones vigentes que en materia de seguridad de DCPs establezcan las autoridades
competentes.
La actualización del Documento de Seguridad viene motivada por las siguientes causas:
● Creación, supresión o modificación de ficheros que contienen DCPs.
● Otras necesidades de actualización consecuencia de:
46
○ Cambios en la Organización de Seguridad.
○ Cambios en las normativas o procedimientos.
○ Cambios en los Sistemas de Información.
○ Cambios en las disposiciones legales.
Las actualizaciones al Documento de Seguridad motivadas por la creación modificación o supresión de

ficheros que contienen DCPs se realiza tras la recepción de la notificación por parte de la Agencia Española
de Protección de Datos de su inscripción.
ELABORAR PROPUESTA DE MODIFICACIÓN
1. Ante los siguientes supuestos:
● Cambios en la Organización de Seguridad
● Cambios en las normativas o procedimientos del Documento de Seguridad
● Cambios importantes en los Sistemas de Información o en la organización de los mismos
● Cambios efectuados para adecuarse a las disposiciones legales en materia de seguridad de Datos de
Carácter Personal.
MODIFICAR EL DOCUMENTO DE SEGURIDAD
1. Una vez aprobada la propuesta de modificación del Documento de Seguridad, el Responsable del
Fichero realiza las modificaciones oportunas en el Documento.
2. Las actualizaciones de alta, baja o modificación de ficheros que contengan DCPs las realiza
igualmente el Responsable del Fichero.
DIFUNDIR EL DOCUMENTO DE SEGURIDAD
3. El Responsable del Fichero se encarga de la emisión y difusión de la nueva versión del documento.
NIVEL MEDIO
47
8.2 AUDITORÍA
Se ejecutarán auditorias internas o externas al menos cada dos años para verificar el cumplimiento del Título
VIII del RLOPD, referente a las medidas de seguridad, según lo indicado en sus artículos 96 y 110 respecto de
ficheros automatizados y no automatizados respectivamente. Las auditorias internas se realizarán con
recursos propios del Servicio de Informática, y las externas a través de servicios contratados al efecto.
AUTOMATIZADOS
Con carácter extraordinario deberá realizarse cuando se lleven a cabo modificaciones sustanciales en el
sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas,
con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoria inicia el cómputo
de dos años señalado.
El informe analizará la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario,

identificará las deficiencias y propondrá las medidas correctoras o complementarias necesarias.
Los informes de auditoria han de ser analizados por el responsable de seguridad competente, que elevará las
conclusiones al responsable del fichero para que adopte las medidas correctoras y quedará a disposición de la
Agencia Española de Protección de Datos, o en su caso de las autoridades de control de la Comunidad
autónoma.
NIVEL ALTO
8.3 INFORME MENSUAL SOBRE EL REGISTRO DE ACCESOS
Se realizará un informe mensual sobre el registro de accesos a los datos de nivel alto regulado por el artículo
24 del RLOPD.
48
9. ANEXO I. DESCRIPCIÓN DE FICHEROS
9.1 TARJETAS CRIPTOGRÁFICAS2
● Nombre del fichero o tratamiento: TARJETAS CRIPTOGRÁFICAS
● Unidad/es con acceso al fichero o tratamiento: DEPARTAMENTO DE SISTEMAS
● Identificador y nombre del fichero en el Registro General de Protección de Datos de la Agencia

Española de Protección de Datos:
○ Identificador: 2033080296
○ Nombre: TARJETAS CRIPTOGRÁFICAS
○ Descripción: GESTIÓN INFORMACIÓN PERSONAL Y TÉCNICA, PARA

FUNCIONAMIENTO SERVICIOS FIRMA ELECTRÓNICA AVANZADA Y ENCRIPTACIÓN
DATOS.
○ Disposición: ORDEN DE 1 DE SEPTIEMBRE DE 2003, POR LA QUE SE AMPLIA LA DE

24 DE SEPTIEMBRE DE 2002, PARA REGULAR LOS FICHEROS AUTOMATIZADOS
CON DATOS DE CARÁCTER PERSONAL GESTIONADOS POR LA CONSEJERÍA. BOJA
Nº 196, DE 10 DE OCTUBRE DE 2003.
● Nivel de medidas de seguridad a adoptar: BÁSICO
● Administrador: Jefe Dpto de sistemas y grupo de seguridad y redes (GTSR)
● Leyes o regulaciones aplicables que afectan al fichero o tratamiento Ley 59/2003 de 19 de dic sobre
firma electrónica.
● Estructura del fichero principal: NOMBRE, APELLIDOS, DIRECCIÓN ELECTRÓNICA,

TELÉFONO, CATEGORÍA, GRADO, PUESTO DE TRABAJO, FIRMA ELECTRÓNICA, CLAVES
PÚBLICAS DE FIRMA Y CIFRADO Y CLAVE PRIVADA DE CIFRADO.
● Información sobre el fichero o tratamiento
○ Finalidad y usos previstos: GESTIÓN DE LA INFORMACIÓN PERSONAL Y TÉCNICA

ASOCIADA, PRECISA PARA EL FUNCIONAMIENTO DE LOS SERVICIOS DE FIRMA
ELECTRÓNICA AVANZADA Y ENCRIPTACIÓN BASADOS EN TECNOLOGÍA DE
2 PROPUESTA DE MODIFICACIÓN DE NOMBRE
49
CIFRADO ASIMÉTRICO, EMPLEADOS EN LA RED INFORMÁTICA JUDICIAL, REDIUS,

DE LOS ÓRGANOS JUDICIALES Y DEL MINISTERIO FISCAL CON SEDE EN
ANDALUCÍA.
○ Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar
los datos personales: MAGISTRADOS, JUECES, SECRETARIOS JUDICIALES, FISCALES,
FORENSES, PERSONAL TÉCNICO QUE TRABAJA PARA ADMINISTRACIÓN DE
JUSTICIA EN ANDALUCÍA
○ Cesiones previstas: NO
○ Transferencias Internacionales: NO
○ Procedencia de los datos: EL PROPIO INTERESADO
○ Procedimiento de recogida: FORMULARIOS PAPEL
○ Sistema de tratamiento: AUTOMATIZADO
● Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y
oposición: SERVICIO DE INFORMÁTICA
● Aplicaciones que hacen uso del fichero:
Aplicación Descripción
Forma parte de la solución para Infraestructuras de Clave Pública

KEYONE CA (PKI) de Safelayer y aporta las funciones de Autoridad de
Certificación (CA).
ACCESSLAYER Autoridad de Registro (RA) de la PKI.
● Información sobre conexión con otros sistemas: Sistema de información Lexnet.
● Relación actualizada de usuarios con acceso autorizado:

APELLIDOS Y NOMBRE DEL
DEPARTAMENTO PUESTO DE TRABAJO
USUARIO
GRUPO DE TRABAJO DE SEGURIDAD Y REDES
RAFAEL JESÚS GUIJARRO ÁLVAREZ SISTEMAS
(GTSR)
GRUPO DE TRABAJO DE SEGURIDAD Y REDES
ALEJANDRO PINZÓN ESTRADA SISTEMAS
(GTSR)
● Terceros que acceden a los datos para la prestación de un servicio: La empresa Steria presta
50
servicios en el área de sistemas desde el 30 de diciembre del 2009, se ha renovado el contrato hasta
el 30 de diciembre del 2011.
9.2. CURSOS RECIBIDOS PERSONAL JUSTICIA
● Nombre del fichero o tratamiento: CURSOS RECIBIDOS PERSONAL JUSTICIA
● Unidad/es con acceso al fichero o tratamiento: DEPARTAMENTO DE SISTEMAS,

DEPARTAMENTO EXPLOTACIÓN, SERVICIO DE IMPLANTACIÓN Y FORMACIÓN.

○ Nombre: CURSOS RECIBIDOS PERSONAL JUSTICIA
○ Descripción: GESTIÓN DE LA FORMACIÓN IMPARTIDA AL PERSONAL DE LA

ADMINISTRACIÓN DE JUSTICIA EN ANDALUCÍA.

● Administrador: Servicio de IMPLANTACIÓN, SOPORTE Y FORMACIÓN DE LOS SISTEMAS DIGITALES

DE INFORMACIÓN JUDICIAL contratado el 29 de septiembre del 2009 y renovado hasta el 29 de
septiembre del 2011.
● Estructura del fichero principal: NOMBRE, APELLIDOS, PUESTO DE TRABAJO.
○ Finalidad y usos previstos: GESTIÓN DE LA FORMACIÓN IMPARTIDA AL PERSONAL DE

LA ADMINISTRACIÓN DE JUSTICIA EN ANDALUCÍA.
los datos personales: PERSONAL AL SERVICIO DE LA ADMINISTRACIÓN DE JUSTICIA
51
EN ANDALUCÍA.
○ Sistema de tratamiento: MIXTO
CURSOS ADRIANO Gestión de la formación de la aplicación de tramitación procesal.
● Terceros que acceden a los datos para la prestación de un servicio: Servicio de IMPLANTACIÓN,
SOPORTE Y FORMACIÓN DE LOS SISTEMAS DIGITALES DE INFORMACIÓN JUDICIAL contratado el
29 de septiembre del 2009 y renovado hasta el 29 de septiembre del 2011.
9.3. INCIDENCIAS INFORMÁTICAS
● Nombre del fichero o tratamiento: INCIDENCIAS INFORMÁTICAS
● Unidad/es con acceso al fichero o tratamiento: Servicio de Informática - Servicios Centrales

(DEPARTAMENTO DE SISTEMAS, PLANIFICACIÓN, DESARROLLO, PROCESAL, CSU),
Unidades de Informática – Delegaciones Provinciales.

52
○ Nombre: INCIDENCIAS INFORMÁTICAS
○ Descripción: GESTIÓN DE LAS INCIDENCIAS INFORMÁTICAS QUE SE PRODUCEN EN

LOS ÓRGANOS JUDICIALES.

● Administrador: FERNANDO TOURIÑO ESPINA
● Estructura del fichero principal: NOMBRE, APELLIDOS, DIRECCIÓN, TELÉFONO, CUERPO,

CATEGORÍA, CARGO, PUESTO DE TRABAJO.
○ Finalidad y usos previstos: GESTIÓN DE LAS INCIDENCIAS INFORMÁTICAS (AVERÍAS,

CONSULTAS, PETICIONES DE CONSUMIBLES) QUE SE PRODUCEN EN LOS
ÓRGANOS JUDICIALES.
los datos personales: PERSONAL AL SERVICIO DE LA ADMINISTRACIÓN DE JUSTICIA
EN ANDALUCÍA.
53
Aplicación de gestión de incidencias del Centro de Atención a

REMEDY
Usuarios (CAU).
Aplicación de gestión de incidencias utilizadas por las Delegaciones

REMEDY WEB Provinciales y por los usuarios de los Órganos Judiciales, éstos
últimos con funcionalidades más limitadas.
● Terceros que acceden a los datos para la prestación de un servicio: Área de sistemas: Steria, área
procesal: Sadiel, área planificación: Steria, área de CSU: Addendia, área Adriano: Indra, área servicio
técnico Delegaciones Provinciales: Sadiel.
● La relación de usuarios actualizada de la aplicación se puede obtener a través de un informe emitido

desde la propia herramienta.
9.4 ENVÍO TELEMÁTICO DOCUMENTACIÓN
● Nombre del fichero o tratamiento: ENVÍO TELEMÁTICO DOCUMENTACIÓN

DEPARTAMENTO EXPLOTACIÓN.

○ Nombre: ENVÍO TELEMÁTICO DOCUMENTACIÓN
○ Descripción: PRESENTACIÓN TELEMÁTICA DE ESCRITOS JUDICIALES EN EL

SERVICIO COMÚN DE REGISTRO DE LOS ÓRGANOS JUDICIALES.

● Administrador: Dpto. Desarrollo.
54
● Leyes o regulaciones aplicables que afectan al fichero o tratamiento: CONVENIO DE

COOPERACIÓN TECNOLÓGICA PARA LA IMPLANTACIÓN Y EJECUCIÓN DE LA
PRESENTACIÓN DE ESCRITOS Y NOTIFICACIONES CERTIFICADOS POR VÍA
TELEMÁTICA EN LA COMUNIDAD AUTÓNOMA ANDALUZA ENTRE EL CONSEJO
GENERAL DEL PODER JUDICIAL, LA ADMINISTRACIÓN DE LA JUNTA DE ANDALUCÍA Y
EL CONSEJO ANDALUZ DEL COLEGIO DE PROCURADORES.
● Estructura del fichero principal: D.N.I., NOMBRE, APELLIDOS, DIRECCIÓN ELECTRÓNICA,

TELÉFONO, CUERPO, NÚMERO DE REGISTRO PERSONAL, FIRMA ELECTRÓNICA,
NÚMERO DE IDENTIFICACIÓN DEL PROCEDIMIENTO PENAL EN CURSO, PERTENENCIA
A COLEGIO PROFESIONAL.
○ Finalidad y usos previstos: PRESENTACIÓN TELEMÁTICA DE ESCRITOS JUDICIALES EN

EL SERVICIO COMÚN DE REGISTRO DE LOS ÓRGANOS JUDICIALES PARA SU
POSTERIOR INCORPORACIÓN AL PROCEDIMIENTO JUDICIAL CORRESPONDIENTE.
los datos personales: PROCURADORES Y ABOGADOS DE LOS COLEGIOS
PROFESIONALES DE ANDALUCÍA.
○ Procedimiento de recogida: TRANSMISIÓN ELECTRÓNICA
PRESENTACIÓN DE ESCRITOS
● Información sobre conexión con otros sistemas:
55
○ Sistema de Gestión Procesal ADRIANO
● La relación de usuarios actualizada de la aplicación se puede obtener a través de un informe emitido

desde el propio sistema de información.
● Terceros que acceden a los datos para la prestación de un servicio: Área de sistemas: Steria.
9.5. USUARIOS
● Nombre del fichero o tratamiento: USUARIOS

DEPARTAMENTO EXPLOTACIÓN, CSU.

○ Nombre: USUARIOS
○ Descripción: USUARIOS DE LOS SISTEMAS DE INFORMACION DE LA RED JUDICIAL DE

ANDALUCIA.
○ Disposición: ORDEN DE 5 DE OCTUBRE DE 2005, POR LA QUE SE MODIFICAN

FICHEROS AUTOMATIZADOS CON DATOS DE CARÁCTER PERSONAL CONTENIDOS
EN LAS ÓRDENES DE 1 DE SEPTIEMBRE DE 2003 Y 9 DE DICIEMBRE DE 2003.
BOJA Nº 217, DE 7 DE NOVIEMBRE DE 2005.
● Administrador: FERNANDO TOURIÑO ESPINA
● Estructura del fichero principal: NOMBRE Y APELLIDOS, CUERPO, CATEGORÍA, PUESTO DE

TRABAJO, ORGANISMO, NOMBRE DE USUARIO, DNI, DIRECCIÓN DE CORREO
ELECTRÓNICO.
○ Finalidad y usos previstos: PROPORCIONAR LOS SERVICIOS DE ACCESO A

APLICACIONES Y SISTEMAS INFORMATICOS DE LA RED JUDICIAL DE ANDALUCIA
los datos personales: PERSONAL DE LA ADMINISTRACION DE JUSTICIA DESTINADO
56
EN ORGANISMOS CON SEDE EN EL TERRITORIO DE LA COMUNIDAD AUTONOMA DE

ANDALUCIA Y PERSONAS O COLECTIVOS RELACIONADOS CON LA
ADMINISTRACION DE JUSTICIA.
MANTENIMIENTO ARTEMIS
ESCRITORIO JUDICIAL
AGENDAS SEÑALAMIENTOS, IML, AUDIENCIAS
GESTIÓN INVENTARIO
REMEDY
HERMES
GESTIÓN DE CONSUMIBLES
● Relación actualizada de usuarios con acceso autorizado: La relación de usuarios actualizada de la

aplicación se puede obtener a través de un informe emitido desde los propios sistemas de
información.
● Terceros que acceden a los datos para la prestación de un servicio: Área de sistemas y planificación:
Steria.
57
9.6. HISTORIALES CLÍNICA FORENSE IML
● Nombre del fichero o tratamiento: HISTORIALES CLÍNICA FORENSE IML


○ Nombre: HISTORIALES CLÍNICA FORENSE IML
○ Descripción: ARCHIVO Y GESTIÓN DE HISTORIALES CLÍNICOS DE LOS INSTITUTOS DE

MEDICINA LEGAL.
○ Disposición: ORDEN DE 9 DE DICIEMBRE DE 2003, POR LA QUE SE AMPLIA LA DE 24

DE SEPTIEMBRE DE 2002, PARA REGULAR LOS FICHEROS AUTOMATIZADOS CON
DATOS DE CARÁCTER PERSONAL GESTIONADOS POR LA CONSEJERÍA. BOJA Nº 8,
DE 14 DE ENERO DE 2004.
● Nivel de medidas de seguridad a adoptar: ALTO
● Administrador: JUAN CARLOS ALBARRÁN MURILLO
● Estructura del fichero principal: PARA CADA HISTORIAL, D.N.I., NOMBRE, APELLIDOS,
DIRECCIÓN, TELÉFONO, FECHA DE NACIMIENTO, PROFESIÓN. PARA CADA EPISODIO
MÉDICO-FORENSE, REFERENCIA DEL ASUNTO JUDICIAL Y LOS DATOS MÉDICOS
ESPECÍFICOS APROBADOS EN LOS PROTOCOLOS MÉDICO-FORENSES DE ACUERDO AL
TIPO DE EPISODIO, ANTECEDENTES PROPIOS Y FAMILIARES, DATOS DEL HECHO EN
SU CASO, EXPLORACIONES MÉDICAS, DÍAS DE CURACIÓN, INCAPACIDAD Y
HOSPITALIZACIÓN Y SECUELAS. EN LOS EPISODIOS DE PATOLOGÍA FORENSE, DATOS
PROCEDENTES DE LAS AUTOPSIAS O RECONOCIMIENTOS SIN AUTOPSIA,
IGUALMENTE DE ACUERDO A LOS PROTOCOLOS ESPECÍFICOS VIGENTES PARA ESTE
TIPO DE EPISODIOS.
○ Finalidad y usos previstos: ARCHIVO Y GESTIÓN DE HISTORIALES CLÍNICOS DE LOS

INSTITUTOS DE MEDICINA LEGAL, CON DETALLE DE EPISODIOS DE CLÍNICA
MEDICO-FORENSE Y PATOLOGÍA FORENSE. LIBROS DE REGISTRO, ESTADÍSTICAS E
INFORMES A LOS ÓRGANOS JUDICIALES.
58
los datos personales: INTERVINIENTES EN CAUSAS JUDICIALES, DETENIDOS,
CADÁVERES PARA PERITACIÓN MÉDICA A PETICIÓN DE LOS CORRESPONDIENTES
ÓRGANOS JUDICIALES.
○ Procedimiento de recogida: RECONOCIMIENTO MÉDICO
GESTIÓN HISTORIALES IML
ADMINISTRACIÓN IML
VERIS

aplicación se puede obtener a través de un informe emitido desde el propio sistema de información.
9.7. GESTIÓN DE EXPEDIENTES EQUIPOS TÉCNICOS DE FISCALÍA MENORES
● Nombre del fichero o tratamiento: GESTIÓN EXPTES E.T. FISCALÍA MENORES


59
○ Nombre: GESTIÓN EXPTES E.T. FISCALÍA MENORES
○ Descripción: GESTIÓN DE EXPEDIENTES PARA LOS EQUIPOS TÉCNICOS DE LAS

FISCALÍAS DE MENORES.

● Leyes o regulaciones aplicables que afectan al fichero o tratamiento LA LEY ORGÁNICA 5 /2000,
REGULADORA DE LA RESPONSABILIDAD PENAL DE LOS MENORES.
● Estructura del fichero principal: PARA LA FICHA DEL MENOR, D.N.I., NOMBRE, APELLIDOS,
ALIAS, DIRECCIÓN, TELÉFONO, FECHA DE NACIMIENTO, PROFESIÓN. LOS MISMOS
DATOS PARA SUS PADRES O TUTORES. PARA CADA EXPEDIENTE EN EL QUE ESTÉ
IMPUTADO, DATOS CORRESPONDIENTES A LA TRAMITACIÓN DE DICHO EXPEDIENTE,
CITACIONES, EXPLORACIONES, MEDIDAS CAUTELARES, MEDIDAS PROPUESTAS,
MEDIDAS APLICADAS JUDICIALES Y EXTRAJUDICIALES Y SEGUIMIENTO DE ESTAS
MEDIDAS HASTA SU FINALIZACIÓN.
○ Finalidad y usos previstos: ARCHIVO Y GESTIÓN DE EXPEDIENTES DE MENORES EN EL

MARCO DE LA INFORMATIZACIÓN DE LAS TAREAS DE LOS EQUIPOS TÉCNICOS QUE
ASESORAN A LAS FISCALÍAS DE MENORES. INFORMES Y ESTADÍSTICAS.
los datos personales: MENORES PARA LOS QUE LAS FISCALÍAS DE MENORES
SOLICITEN LA INTERVENCIÓN FACULTATIVA DE LOS EQUIPOS TÉCNICOS DE
MENORES.
○ Procedimiento de recogida: ENCUESTAS O ENTREVISTAS
60
GESTIÓN DE MENORES

9.8. AGENDA DE CITACIONES DE LOS INSTITUTOS DE MEDICINA LEGAL
● Nombre del fichero o tratamiento: AGENDA CITACIONES IML


○ Nombre: AGENDA CITACIONES IML
○ Descripción: AGENDA DE CITACIONES PARA RECONOCIMIENTOS MÉDICOS DE LOS

INSTITUTOS DE MEDICINA LEGAL.

● Administrador: JUAN CARLOS ALBARRÁN MURILLO
● Estructura del fichero principal: PARA CADA CITACIÓN, D.N.I., NOMBRE, APELLIDOS,
61
TELÉFONO, IDENTIFICACIÓN CODIFICADA DEL ASUNTO JUDICIAL Y MOTIVO.
○ Finalidad y usos previstos: ORGANIZACIÓN DE LOS HORARIOS DE CONSULTAS Y

MÉDICOS FORENSES DE LOS INSTITUTOS DE MEDICINA LEGAL.
los datos personales: INTERVINIENTES EN CAUSAS JUDICIALES Y DETENIDOS PARA
PERITACIÓN MÉDICA A PETICIÓN DE LOS CORRESPONDIENTES ÓRGANOS
JUDICIALES.
○ Procedencia de los datos: ADMINISTRACIÓN DE JUSTICIA
GESTIÓN HISTORIALES IML
ADMINISTRACIÓN IML
EQUIPOS TÉCNICOS DE FAMILIA

62
9.9. PERMISOS Y LICENCIAS
Actualizado a: 19/01/2009
● Nombre del fichero o tratamiento: PERMISOS Y LICENCIAS


○ Nombre: PERMISOS Y LICENCIAS
○ Descripción: PERMISOS Y LICENCIAS PERSONAL JUSTICIA.

● Administrador: RAFAEL SEPÚLVEDA GARCÍA DE LA TORRE
● Estructura del fichero principal: NOMBRE, APELLIDOS, CARGO, CUERPO, DESTINO.
○ Finalidad y usos previstos: GESTIÓN DE PETICIONES Y SEGUIMIENTO DE PERMISOS Y

LICENCIAS DEL PERSONAL DE JUSTICIA ADSCRITO A LA JUNTA DE ANDALUCIA.
los datos personales: FUNCIONARIOS DE LA ADMINISTRACIÓN DE JUSTICIA
ADSCRITOS A LA JUNTA DE ANDALUCÍA.
63
HERMES
MÓDULO ESTADÍSTICO DE HERMES

9.10. FISCALÍAS. ASUNTOS PENALES
● Nombre del fichero o tratamiento: FISCALÍAS. ASUNTOS PENALES.
● Unidad/es con acceso al fichero o tratamiento: DEPARTAMENTO DE SISTEMAS.

DEPARTAMENTO DE EXPLOTACIÓN.

○ Identificador:
○ Nombre: FISCALIAS. ASUNTOS PENALES.
○ Disposición: ORDEN JUS/227/2002, DE 23 DE ENERO, POR LA QUE SE DA

PUBLICIDAD A LA INSTRUCCIÓN NÚMERO 6/2001, DE LA FISCALÍA GENERAL DEL
ESTADO, SOBRE CREACIÓN DE FICHEROS AUTOMATIZADOS DE DATOS
PERSONALES GESTIONADOS POR EL MINISTERIO FISCAL, BOE Nº 34, DE 8 DE
FEBRERO DE 2002. REAL DECRETO 93/2006, DE 3 DE FEBRERO, POR EL QUE SE
REGULA EL SISTEMA DE INFORMACIÓN DEL MINISTERIO FISCAL, BOE Nº 44, DE
21 DE FEBRERO DE 2006.
64
● Administrador:
● Responsable del fichero: MINISTERIO FISCAL, A TRAVÉS DE LAS FISCALÍAS

RELACIONADAS EN EL ANEXO II.
● Encargado del tratamiento: SERVICIO DE INFORMÁTICA DE LA DIRECCIÓN GENERAL DE

INFRAESTRUCTURAS Y SISTEMAS.
● Convenio de colaboración: RESOLUCIÓN DE 15 DE NOVIEMBRE DE 2006, DE LA

SECRETARÍA DE ESTADO DE JUSTICIA, POR LA QUE SE PUBLICA EL CONVENIO DE
COLABORACIÓN ENTRE EL MINISTERIO DE JUSTICIA, LA FISCALÍA GENERAL DEL
ESTADO Y LA CONSEJERÍA DE JUSTICIA Y ADMINISTRACIÓN PÚBLICA DE LA JUNTA DE
ANDALUCÍA, PARA LA CESIÓN DE LOS DERECHOS DE USO DE LOS PROGRAMAS DE
APLICACIÓN DE GESTIÓN PROCESAL DE LAS FISCALÍAS A FAVOR DE LA JUNTA DE
ANDALUCÍA. BOE Nº 303, DE 20 DE DICIEMBRE DE 2006.
● Estructura del fichero principal:
○ DATOS NECESARIOS, DE ACUERDO CON LA LEGISLACIÓN PROCESAL, PARA LA

IDENTIFICACIÓN DE LAS PARTES Y SUS REPRESENTANTES PROCESALES Y
LEGALES.
○ DATOS NECESARIOS, DE ACUERDO CON LA LEGISLACIÓN PROCESAL, PARA LA

IDENTIFICACIÓN DE LOS PROCEDIMIENTOS.
○ DATOS RELATIVOS A LA TRAMITACIÓN DE LAS ACTUACIONES (FECHAS DE EMISIÓN

DE RESOLUCIONES Y DICTÁMENES, SENTIDO DE LOS MISMOS).
○ TIPIFICACIÓN PENAL DEL HECHO COMETIDO, FECHA Y CIRCUNSTANCIAS DE

COMISIÓN.
○ DATOS RELATIVOS A LAS MEDIDAS CAUTELARES ADOPTADAS.
○ DATOS RELATIVOS A LA IMPUTACIÓN (PENAS, CIRCUNSTANCIAS PREVISTAS EN LA

LEGISLACIÓN PENAL CON INCIDENCIA SOBRE LAS PENAS). INCLUYEN DATOS
RELATIVOS A LA NACIONALIDAD, SEXO, ANTECEDENTES PENALES Y
ENFERMEDADES O ALTERACIONES PSÍQUICAS CON TRASCENDENCIA PENAL.
○ DATOS RELATIVOS A LAS PENAS IMPUESTAS Y A SU EJECUCIÓN.
○ DATOS RELATIVOS A LAS RESPONSABILIDADES PECUNIARIAS ESTABLECIDAS EN

LA SENTENCIA Y A SU EJECUCIÓN.
65
○ Finalidad y usos previstos: GESTIÓN, CONSULTA DE INFORMACIÓN Y EMISIÓN DE

DOCUMENTOS PROCESALES RELATIVOS A PROCEDIMIENTOS PENALES
TRAMITADOS ANTE LOS ÓRGANOS JUDICIALES Y LAS FISCALÍAS.
los datos personales: IMPLICADOS EN PROCEDIMIENTOS JUDICIALES, YA SEA COMO
PARTE (DENUNCIANTE O QUERELLANTE, DENUNCIADO O QUERELLADO,
PERJUDICADO, RESPONSABLE CIVIL); COMO TESTIGO O PERITO; O COMO
PROFESIONAL ENCARGADO DE LA DEFENSA Y REPRESENTACIÓN DE ALGUNA DE
ELLAS.
○ Cesiones previstas:
■ ÓRGANOS JUDICIALES
■ ÓRGANOS DEL MINISTERIO FISCAL Y FISCALÍAS TERRITORIALES O ESPECIALES

COMPETENTES PARA CONOCER DEL ASUNTO.
■ LAS PREVISTAS EN EL ART. 11.2 DE LA LO 15/1999, DE PROTECCIÓN DE DATOS

DE CARÁCTER PERSONAL
○ Transferencias Internacionales: LAS DERIVADAS DE CONVENIOS INTERNACIONES

RATIFICADOS POR ESPAÑA, ASÍ COMO DE NORMAS COMUNITARIAS DE
COOPOERACIÓN JUDICIAL Y FISCAL.
○ Procedencia de los datos: DOCUMENTOS, ESCRITOS Y RESOLUCIONES OBRANTES EN

LOS PROCEDIMIENTOS INCOADOS POR LAS FISCALÍAS O LOS ÓRGANOS
JUDICIALES, ASÍ COMO LOS SUMINISTRADOS A TRAVÉS DE LOS MEDIOS DE
INICIACIÓN DEL PROCESO O DE COMUNICACIÓN PROCESAL ADMITIDOS POR LA
LEGISLACIÓN VIGENTE, O RECABADOS POR EL MINISTERIO FISCAL PARA SU
INCORPORACIÓN A LAS ACTUACIONES JUDICIALES.
oposición: FISCALÍAS TERRITORIALES.
Aplicación utilizada en las Fiscalías para la tramitación y gestión de

FORTUNY
asuntos.
66
● Tecnología utilizada:
Desarrollada en J2EE. Desplegada en dos nodos con servidores de aplicaciones WebSphere 5.5 de
IBM. La base de datos es Oracle 10g.
Cada uno de los nodos WebSphere tiene 7 servidores de aplicaciones, uno por cada provincia,
excepto Granada y Almería que comparten uno. Cada par de servidores de aplicaciones, uno en cada
uno de los nodos, se configura como un cluster WebSphere.
En cada nodo hay un servidor web Apache con el conector que IBM dispone para WebSphere. Ambos
servidores web están en cluster mediante Linux Heartbeat para alta disponibilidad.
● Monitorización:
Fortuny se monitoriza mediante Nagios: se monitoriza servidor, ocupación de disco, el estado de

cluster, así como los siete servidores virtuales WebSphere. Aparte, se monitorizan los siete portales
provinciales de Fortuyne accediendo al Apache que esté en funcionamiento.
● Información sobre conexión con otros sistemas:
Integración Adriano-Fiscalía
La tramitación de los procedimientos judiciales obliga a su catalogación paralela en la aplicación de

gestión procesal y en el sistema de información para Fiscalías. Por tanto, surge la necesidad de
conseguir la máximo integración entre ellas, al objeto de evitar tareas redundantes de entrada de
datos. Esto es especialmente significativo en el trámite inicial de alta de nuevos procedimientos
judiciales, sobre todo los incoados en los Juzgados de Guardia.
Esta aplicación incluye los siguientes interfaces:
○ Interfaz del Juzgado de guardia, con la funcionalidad de selección de los procedimientos a enviar
a la Fiscalía.
○ Interfaz de la Fiscalía, con la funcionalidad de aceptación de los procedimientos remitidos desde

los Juzgados de Guardia.

67

(Old) Junta de Andalucía - Documento de Seguridad A 30-07-12

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

(Old) Junta de Andalucía - Documento de Seguridad A 30-07-12

Cargado por

Copyright:

Formatos disponibles

CONSEJERÍA DE GOBERNACIÓN Y JUSTICIA

DIRECCIÓN GENERAL DE INFRAESTRUCTURAS Y SISTEMAS

DISTRIBUCIÓN Responsabilidad de la Junta de Andalucía

ARCHIVO Responsabilidad de la Junta de Andalucía

ACTUALIZACIÓN Responsabilidad de la Junta de Andalucía

4.9.1. PROCEDIMIENTO DE REALIZACIÓN DE COPIAS DE RESPALDO................................................30

9.4 ENVÍO TELEMÁTICO DOCUMENTACIÓN...........................................................................................54

Los acrónimos utilizados en este documento han sido los siguientes:

● AEPD: Agencia Española de Protección de Datos

● CPD: Centro de Proceso de Datos

● DCPs: Datos de Carácter Personal

● LOPD: Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

● REDIUS: Red Informática Judicial de la Junta de Andalucía

● RLOPD o Reglamento: Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el

● R.G.P.D.: Registro General de Protección de Datos.

● SS.II.: Sistemas de Información

● RCJA: Red corporativa de la Junta de Andalucía

● DGIS: Dirección General de Infraestructuras y Sistemas

○ Adjunto Jefe de Servicio.

● Centro de Servicios al Usuario.

2. ORGANIZACIÓN DEL DOCUMENTO

3. ÁMBITO DE APLICACIÓN DEL DOCUMENTO

● se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de

Nivel medio: Se aplicarán a los ficheros o tratamientos de datos:

● relativos a la comisión de infracciones administrativas o penales;

● de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias;

● de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;

● que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la

● de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización1.

Nivel alto: Se aplicarán a los ficheros o tratamientos de datos:

● recabados con fines policiales sin consentimiento de las personas afectadas; y

● derivados de actos de violencia de género.

1Para esta categoría de ficheros además deberá disponerse de un registro de accesos.

FICHERO NIVEL TIPO DE Nº RGPD DE LA

TARJETAS CRIPTOGRÁFICAS BÁSICO AUTOMATIZADO 2033080296

CURSOS RECIBIDOS PERSONAL JUSTICIA BÁSICO MIXTO 2033080291

INCIDENCIAS INFORMÁTICAS BÁSICO AUTOMATIZADO 2033080292

ENVÍO TELEMÁTICO DOCUMENTACIÓN BÁSICO AUTOMATIZADO 2033080293

USUARIOS BÁSICO AUTOMATIZADO 2033080295

HISTORIALES CLÍNICA FORENSE IML ALTO AUTOMATIZADO 2040290061

GESTIÓN EXPTES. E.T. FISCALÍA MENORES ALTO AUTOMATIZADO 2040290075

AGENDA CITACIONES IML BÁSICO AUTOMATIZADO 2040290062

PERMISOS Y LICENCIAS BÁSICO AUTOMATIZADO 2040290063

FISCALÍAS. ASUNTOS PENALES. ALTO AUTOMATIZADO

3.2 RECURSOS PROTEGIDOS

● Los Centros de tratamiento y los locales donde residen los SS.II.

● Las aplicaciones que acceden a los datos de carácter personal.

● El entorno tecnológico que le da soporte.

3.2.1 CENTROS DE TRATAMIENTO Y LOCALES

● Sistema de detección y extinción de incendios

● Desagües especialmente diseñados

● SAIs replicados (Sistemas de Alimentación Ininterrumpida)

3.2.2. ENTORNO TECNOLÓGICO

● Automatización de la gestión interna de los órganos judiciales.

● Creación de la Red Informática Judicial de Andalucía, REDIUS.

REDIUS consta de tres tipos de Sedes:

Podemos distinguir los siguientes tipos de Sedes Judiciales según el tamaño:

○ 148 Sedes pequeñas y medias, con menos de 200 usuarios.

○ 11 Sedes grandes, con un número de usuarios comprendido entre 200 y 700.

○ 1 Ciudad de la Justicia, con un número de usuarios en torno a 1.200.

● Soporte a la actividad procesal

○ Sistema de Gestión Procesal

○ Sistema de apoyo a la labor de los Institutos de Medicina Legal.