Escudo Colombia
Logo JEP
Logo JEP
Logo Jurinfo
reducir texto aumentar texto aumentar contraste volver contraste accesibilidad Mapa del sitio Tour virtual de la JEP
Acceso a Twitter
Acceso a Facebook
Acceso a Instagram
Acceso a Spotify
Acceso a YouTube
rnpe
Acceso a Intranet
Traduzca este sitio

Resolución 1046 de 2018 USPEC

Buscar search
Índice format_list_bulleted
Buscar

Puede realizar búsquedas exactas dentro de este documento, ingrese el texto a buscar en la siguiente casilla:

RESOLUCIÓN 1046 DE 2018

(noviembre 27)

Diario Oficial No. 50.814 de 21 de diciembre de 2018

UNIDAD DE SERVICIOS PENITENCIARIOS Y CARCELARIOS

Por la cual se adopta una nueva política de seguridad de información y se deroga la Resolución número 1267 de 21 de diciembre de 2015.

LA DIRECTORA GENERAL DE LA UNIDAD DE SERVICIOS PENITENCIARIOS Y CARCELARIOS,

en uso de las facultades legales y en especial la conferida en el artículo 12 del Decreto 4150 de 2011 y

CONSIDERANDO:

Que el artículo 12 del Decreto 4150 de 2011 faculta al Director General para expedir actos administrativos necesarios para la ejecución y cumplimiento de la Política General de la Unidad de Servicios Penitenciarios y Carcelarios (Uspec).

Que el título II del Decreto 2573 de 2014 establece, entre otras disposiciones, los lineamientos generales de la estrategia Gobierno en Línea, así como los componentes, instrumentos y responsables de la implementación del SGSI.

Que el título II, artículo 5o, numeral 4 ibídem, señala que el componente de Seguridad y Privacidad de la Información comprende acciones transversales tendientes a proteger la información, los sistemas de información, el acceso, uso, divulgación, interrupción o destrucción no autorizada.

Que el capítulo I, sección 2, artículo 2.2.9.1.2.1 del Decreto 1008 del 2018, define la seguridad de la información como habilitador transversal de la Política de Gobierno Digital que junto con los demás habilitadores permiten el desarrollo de los componentes y logros incluidos en dicha política.

Que a través de la Resolución 1267 del 2015 se modifica la política de seguridad de información de la Uspec y es necesario derogarla teniendo en cuenta la de los ajustes al contenido que comprenden la definición de la política de seguridad de información, la inclusión de roles y responsabilidades de seguridad de la información para la Uspec, definición de alcance del SGSI y modificación de objetivos de seguridad de información.

Que en la Guía para la elaboración de la política general de seguridad y privacidad de la información, versión 1.0.0, establecida por el Ministerio de Tecnologías de la Información y las Comunicaciones se establece que: “La Política de Seguridad y Privacidad de la Información es la declaración general que representa la posición de la administración de la Unidad de Servicios Penitenciarios y Carcelarios con respecto a la protección de los activos de información (los funcionarios, contratistas, terceros, la información, los procesos, las tecnologías de información incluido el hardware y el software), que soportan los procesos de la Entidad y apoyan la implementación del Sistema de Gestión de Seguridad de la Información, por medio de la generación y publicación de sus políticas, procedimientos e instructivos, así como de la asignación de responsabilidades generales y específicas para la gestión de la seguridad de la información”.

Que en la implementación del Sistema de Gestión de Seguridad de la Información, en adelante SGSI, es preciso establecer el alcance, la Política de Seguridad de la Información, los objetivos y los roles y responsabilidades de Seguridad de la Información de conformidad con la norma NTC-ISO-IEC 27001:2013 a través del presente acto administrativo.

Que en virtud de lo anterior;

RESUELVE:

ARTÍCULO 1o. Adoptar la Política General de Seguridad de la Información de la Unidad de Servicios Penitenciarios y Carcelarios, que se incorpora con la presente resolución, así:

Política General de Seguridad de la Información:

“La UNIDAD DE SERVICIOS PENITENCIARIOS Y CARCELARIOS consciente de la importancia que representa la seguridad de la información y considerándola como un factor fundamental para la gestión y operación del suministro de bienes, prestación de servicios, la construcción, renovación y mantenimiento de la infraestructura, para el adecuado funcionamiento del sistema penitenciario y carcelario, se compromete a preservar la confidencialidad, integridad y disponibilidad de la información a través de la gestión de los riesgos, cumplimiento de los objetivos de seguridad de la información, de los requisitos legales y organizacionales, de las obligaciones contractuales, y de la asignación de los recursos necesarios para mejorar continuamente el Sistema de Gestión de Seguridad de la Información”,

1. Objetivos de Seguridad de la Información. Para la implementación del Sistema de Gestión de Seguridad de Información se establecen los siguientes objetivos generales:

- Realizar una adecuada gestión de riesgos de seguridad digital, con el fin de proteger la confidencialidad, integridad y disponibilidad de la información y sus activos de información que soportan la operación de la Entidad.

- Capacitar y sensibilizar al personal de la Uspec en temas relacionados con seguridad de la información, buscando un aumento continuo en la cultura y mejora de la conciencia de los Funcionarios, Contratistas y toda aquella persona con acceso a la información de la Entidad.

- Gestionar de manera adecuada los incidentes de seguridad de la información generando, documentando y aplicando las lecciones aprendidas, con el fin de reducir la probabilidad o el impacto de incidentes futuros.

- Mejorar continuamente el desempeño del Sistema de Gestión de Seguridad de la Información mediante la implementación de acciones correctivas y de mejora, generadas como resultado de las auditorías internas, externas y las revisiones al SGSI.

2. Alcance de la Política. El alcance determinado para el SGSI se limita y aplica a la protección de la confidencialidad, integridad y disponibilidad de los activos de información requeridos para el adecuado funcionamiento de todos los procesos estratégicos, misionales, de apoyo y de evaluación y control de la Uspec.

Todas las partes interesadas del SGSI deberán dar cumplimiento total a los lineamientos establecidos por la Uspec para el Sistema de Gestión de Seguridad de la Información.

3. Representante de la Dirección General. El representante de la Dirección General para el SGSI es el Oficial de Seguridad de Información de la Uspec.

4. Roles y Responsabilidades del SGSI.

4.1. Dirección General: Responsable por el direccionamiento estratégico e impulso del SGSI. Establece su compromiso, mediante la asignación de recursos, responsabilidades y revisiones al SGSI.

Como parte de la gestión de la Dirección General para seguridad de la información se encuentran las siguientes responsabilidades:

a) Asegurar que se definan y asignen las responsabilidades de seguridad de la información.

b) Asegurar que se definan la política general, objetivos, políticas específicas de seguridad de información y que estos sean compatibles con la planeación estratégica de la Entidad.

c) Asegurar la integración y adopción de los requisitos del SGSI en los procesos de la Entidad.

d) Asegurar que los recursos necesarios para el SGSI estén disponibles.

e) Revisar el Sistema de Gestión de Seguridad de la Información de la Entidad, para asegurarse de su conveniencia, adecuación y eficacia continua.

f) Dirigir y apoyar a los Funcionarios y/o Contratistas para contribuir a la eficacia, mejora continua y logro de los resultados previstos dentro del SGSI,

g) Apoyar otros roles pertinentes de la dirección, para demostrar su liderazgo aplicado a sus áreas de responsabilidad.

4.2 Comité Institucional de Gestión y Desempeño: La conformación de este Comité se encuentra establecida en la Resolución número 152 de 28 de febrero de 2018, quienes para el SGSI deberán cumplir con las siguientes responsabilidades:

a. Coordinar la implementación del Modelo de Seguridad y privacidad de la Información al interior de la Entidad.

b. Revisar los diagnósticos del estado de la seguridad de la información

c. Acompañar e impulsar el desarrollo de proyectos de seguridad.

d. Coordinar y dirigir acciones específicas que ayuden a proveer un ambiente seguro y establecer los recursos de información que sean consistentes con las metas y objetivos.

e. Realizar revisiones periódicas del SGSI (por lo menos cada 12 meses) y según los resultados de esta revisión definir las acciones pertinentes.

f. Participar en la formulación y evaluación de los planes de tratamiento de los riesgos de seguridad digital.

g. Promover la difusión y sensibilización de la seguridad de la información dentro de la Entidad.

h. Asegurar la implementación y desarrollo de las políticas de gestión y directrices en materia de seguridad digital y de la información.

i. Las demás funciones inherentes a la naturaleza del Comité.

Las anteriores responsabilidades también serán asumidas por el Equipo Directivo del Sistema Integrado de Gestión Institucional (SIGI) o Equipo Directivo SIGI.

El Oficial de Seguridad de Información deberá hacer parte de este Comité con voz y voto.

4.3 Responsables de proceso: Director, Jefe de Oficina o Líder encargado de proceso, quienes deberán asumir y ejecutar las siguientes responsabilidades:

a. Asignar los integrantes para la Secretaría Técnica y el Equipo Operativo SIGI del(los) proceso(s) a cargo.

b. Difundir las políticas, procesos, procedimientos, documentos y logros relacionados con el SGSI en su respectivo proceso.

c. Promover la vinculación y compromiso de los Funcionarios y Contratistas de su proceso, con el SGSI.

d. Liderar y apoyar continuamente la implementación y mantenimiento del SGSI al interior de su proceso.

e. Gestionar los recursos necesarios para la implementación de controles y mantenimiento del SGSI al interior de su proceso.

f. Asegurar la disponibilidad de los Funcionarios y Contratistas de su proceso para la asistencia a actividades de formación y sensibilización para el fortalecimiento de la cultura en Seguridad de la Información.

g. Asegurar la gestión de activos de información para su proceso de acuerdo al procedimiento establecido por la Entidad.

h. Asegurar la gestión de los riesgos de Seguridad de la Información para su proceso de acuerdo a la metodología establecida por la Entidad.

i. Apoyar la definición del plan de tratamiento de riesgos de Seguridad de la Información, aprobarlo y velar por su cumplimiento.

j. Aceptar los riesgos residuales de Seguridad de la Información.

k. Revisar a intervalos planificados el cumplimiento de las políticas y procedimientos de Seguridad de la Información dentro de su proceso a cargo.

l. Participar en la definición y/o actualización de las políticas específicas de Seguridad de la Información.

m. Aprobar los planes, procesos, procedimientos y demás documentación necesaria para el mantenimiento del SGSI acorde a su proceso.

n. Las demás responsabilidades asignadas en los procedimientos, instructivos, guias y demás documentación del SGSI.

4.4 Oficial de Seguridad de Información:

a. Identificar la brecha entre el Modelo de Seguridad y Privacidad de la Información y la situación de la Entidad a través de la herramienta establecida por MINTIC.

b. Liderar la implementación y mantenimiento del SGSI velando por el cumplimiento de las políticas de seguridad establecidas.

c. Velar por el cumplimiento de los objetivos y planes del SGSI de forma que se encuentren alineados con los requerimientos de normas y leyes vigentes.

d. Realizar actualizaciones de las metodologías y lineamientos de Seguridad de la Información.

e. Administrar, monitorear y coordinar diariamente la Seguridad de la Información en la Entidad.

f. Definir los controles o acciones a implementar en los planes de tratamiento de riesgos de Seguridad de la Información para cada proceso.

g. Definir métodos que permitan identificar las vulnerabilidades en la infraestructura tecnológica de la Entidad.

h. Atender las auditorías internas, externas y revisiones de entes de control, proporcionando la información correspondiente a Seguridad de la Información.

i. Asegurar la adecuada gestión de los incidentes de seguridad de la información en la USPEC.

j. Divulgar las responsabilidades de seguridad de la información de USPEC con base en los lineamientos del SGSI.

k. Documentar la actualización, el seguimiento, medición, análisis y evaluación del desempeño de la Seguridad de la Información y eficacia del SGSI (indicadores).

l. Coordinar las actividades y reuniones del equipo técnico de seguridad de información, m. Cumplir con las responsabilidades asignadas por la Secretaría Técnica del SGSI ante SIGI.

n. Citar a funcionarios, contratistas, proveedores o ciudadanos que considere pertinente a las reuniones del Equipo Técnico de Seguridad de la Información.

4.5 Equipo Técnico de Seguridad de Información: Este equipo lo integran:

a. El Oficial de Seguridad de Información de la Entidad.

b. Personal de la Oficina de Tecnología encargado de la seguridad informática de la Entidad.

c. Un representante de la Oficina Asesora Jurídica.

d. Un representante del Grupo de Control Interno Disciplinario.

A continuación, se detallan las responsabilidades del Equipo Técnico de Seguridad de Información:

- Participar en la gestión del evento y/o incidente de seguridad de la información cuando se requiera.

- Participar en la gestión de los cambios que afecten la infraestructura tecnológica de la Entidad.

- Participar en la creación y/o actualización de documentación del SGSI cuando se requiera.

El Equipo Técnico de Seguridad de la información se reunirá de acuerdo a las necesidades del Sistema de Gestión de Seguridad de Información y por solicitud del Oficial de Seguridad de la Información, quien citará a los funcionarios, contratistas, proveedores o ciudadanos que considere pertinente.

4.6 Funcionarios y contratistas:

a. Apoyar la implementación, mantenimiento y mejoramiento continuo del Sistema de Gestión de Seguridad de la Información, de acuerdo con las políticas, metodologías, procesos, procedimientos y los demás lineamientos establecidos para tal fin.

b. Aceptar y dar cumplimiento a las políticas de seguridad de la información.

c. Reportar eventos y/o incidentes de seguridad de la información de acuerdo al procedimiento establecido por la Entidad.

d. Clasificar, etiquetar y manejar la información de acuerdo con los procedimientos y políticas establecidas por la Entidad.

e. Participar activamente en las actividades de sensibilización, formación y toma de conciencia desarrolladas por la Entidad.

5. Actualización del alcance, política, objetivos, roles y responsabilidades de seguridad de la información. La pertinencia del alcance, política, objetivos, roles y responsabilidades de Seguridad de la Información, deberá ser revisada cada 12 meses y ser actualizada de acuerdo al contexto organizacional de la Entidad.

Ir al inicio

ARTÍCULO 2o. La presente resolución rige a partir de la fecha de su expedición y deroga la Resolución número 1267 del 21 de diciembre de 2015, por la cual se modifica la política de seguridad de la información y se deroga la Resolución 0434 de 17 de junio de 2014.

Publíquese y cúmplase.

Dada en Bogotá, D. C., a 27 de noviembre de 2018.

La Directora General Unidad de Servicios Penitenciarios y Carcelarios,

Matilde Mendieta Galindo

Ir al inicio

×