Resolución número 4 0362 de 2017, por la cual se adopta la Política General de Seguridad y Privacidad de la Información, la Política de Tratamiento y Protección de Datos Personales, la Política de Continuidad del Negocio, la Política de Recuperación ante Desastres TIC y las Políticas de Seguridad y Privacidad de la Información
| Emisor | Ministerio de Minas y Energía |
| Número de Boletín | 50222 |
El Ministro de Minas y Energía, en ejercicio de sus facultades legales conferidas por el Decreto número 381 de 2012, modificado y adicionado por el Decreto número 1617 de 2013 y el numeral 3 de la Ley 489 de 1998,
CONSIDERANDO:
Que la Ley 1341 de 2009, estableció el marco general para la formulación de las políticas públicas que regirán el sector de las Tecnologías de la Información y las Comunicaciones, incorporando principios, conceptos y competencias sobre su organización y desarrollo e igualmente señaló que las Tecnologías de la Información y las Comunicaciones deben servir al interés general y, por tanto, es deber del Estado promover su acceso eficiente y en igualdad de oportunidades a todos los habitantes del territorio nacional;
Que el Decreto número 1083 de 2015, adicionado por el Decreto número 415 de 2016, establece la definición de los lineamientos para el fortalecimiento institucional en materia de Tecnologías de la Información y las Comunicaciones, cuyo ámbito de aplicación, de acuerdo con el artículo 2.2.35.2, corresponde a las entidades del Estado de orden nacional y territorial, los organismos autónomos y de control;
Que el artículo 2.2.35.3 del Decreto número 1083 de 2015, adicionado por el Decreto número 415 de 2016, establece como objetivos del fortalecimiento institucional: "3. Desarrollar los lineamientos en materia tecnológica, necesarios para definir políticas, estrategias y prácticas que habiliten la gestión de la entidad y/o sector en beneficio de la prestación efectiva de sus servicios y que a su vez faciliten la gobernabilidad y gestión de las Tecnologías de la Información y las Comunicaciones (TIC). Así mismo, velar por el cumplimiento y actualización de las políticas y estándares en esta materia" y "11. Desarrollar estrategias de gestión de información para garantizar la pertinencia, calidad, oportunidad, seguridad e intercambio con el fin de lograr un flujo eficiente de información disponible para el uso en la gestión y la toma de decisiones en la entidad y/o sector";
Que así mismo, una de las metas que pretende alcanzar el Programa Visión Colombia
2019, es el cumplimiento del objetivo "UN ESTADO AL SERVICIO DE LOS CIUDADANOS", el desarrollo de la estrategia "AVANZAR HACIA UNA SOCIEDAD INFORMADA", la cual dispone que: "En 2019 la información deberá ser un derecho efectivo y un instrumento de difusión y apropiación del conocimiento, que promueva el desarrollo económico, la equidad social y la democracia. En ese contexto, Colombia deberá alcanzar estándares adecuados de generación de información confiable y oportuna, y de uso colectivo. El Estado promoverá su diseminación, aprovechando el uso de las tecnologías de la información y las comunicaciones", cumpliendo con los estándares de gobierno, en especial los establecidos con relación a la seguridad que hace parte de los cuatro pilares: TIC para Servicios, TIC para datos abiertos, TIC para la Gestión y TIC para la seguridad;
Que mediante el Decreto número 2573 de 2014, "por el cual se establecen los linea-mientos generales de la Estrategia de Gobierno en Línea", se describen los lineamientos, se incorporan mejores prácticas y se orienta la implementación para lograr una administración pública más eficiente, coordinada y transparente, a través del fortalecimiento de la gestión de las Tecnologías de la Información y se reglamenta el Marco de Referencia de Arquitectura Empresarial para Entidades del Estado, el cual es un modelo de referencia puesto a disposición del Estado colombiano para servir como orientador estratégico de las arquitecturas empresariales, lo cual debe estar articulado con los lineamientos de seguridad de la información;
Que el artículo 2.2.9.1.2,1 del Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones número 1078 de 2015, establece como cuarto componente, para desarrollar los fundamentos de la estrategia que facilitarán la masifica-ción de la oferta y la demanda del Gobierno en Línea, el de la seguridad y privacidad de la información;
"Que el Modelo de Seguridad y Privacidad de la Información (MSPI), versión 3.0 de fecha 03/03/2015 adoptado por el Ministerio de Tecnologías de la Información y las Comunicaciones, reúne el conjunto de lineamientos, políticas, normas, procesos e instituciones que proveen y promueven la puesta en marcha, supervisión, mejora y control de la imple-mentación del modelo, así como la implementación de la Estrategia de Gobierno en Línea, establecida en el manual GEL. Esta nueva estrategia, que se plasma en el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones número 1078 de 2015, comprende cuatro grandes propósitos: lograr que los ciudadanos cuenten con servicios en línea de muy alta calidad, impulsar el empoderamiento y la colaboración de los ciudadanos con el Gobierno, encontrar diferentes formas para que la gestión en las entidades públicas sea óptima gracias al uso estratégico de la tecnología y garantizar la seguridad y la privacidad de la información de la entidad;
Que el mencionado MSPI del MINTIC, se fundamenta en los lineamientos de las Normas Continuidad del negocio SGCN (Norma ISO/IEC 22301:2012), y seguridad de la información SGSI (Normas ISO/IEC 27001:2013 e ISO/IEC 27002:2013);
Que en aplicación de lo dispuesto por el artículo 2.1.2.1.23 del Decreto número 1081 de 2015, adicionado por el artículo 5º del Decreto número 270 de 2017, el presente proyecto de reglamentación fue publicado en la página web del Ministerio de Minas y Energía, por un término de quince (15) días calendario contados a partir del 6 del mes de abril de 2017 y hasta el 21 del mes de abril del mismo año, con lo cual, adicionalmente, se surte lo dispuesto por el numeral 8 del artículo 8º de la Ley 1437 de 2011;
Que en mérito de lo expuesto,
RESUELVE:
Adoptar la Política General de Seguridad y Privacidad de la Información, Política de Tratamiento y Protección de Datos Personales, Política de Continuidad del Negocio, y Políticas de Seguridad y Privacidad de la Información en el Ministerio de Minas y Energía como norma fundamental para el desarrollo de proyectos de tecnología con una gestión eficiente y optimización de los recursos, servicios TIC, y los sistemas de información.
Las políticas aplican a los servidores públicos, contratistas, proveedores y/o terceros usuarios de la información impresa, digital, y la soportada sobre las tecnologías de información y las comunicaciones del Ministerio de Minas y Energía.
La presente resolución adopta las siguientes políticas, que se describen en el documento anexo:
Política General de Seguridad y Privacidad de la Información, en cumplimiento del numeral 5.2 de la Norma ISO/IEC 27001:2013.
Política de Tratamiento y Protección de Datos Personales, en cumplimiento de los lineamientos de la Ley 1581 de 2012.
Política de Continuidad del Negocio o del Sistema de Gestión y Continuidad del Negocio (SGCN), en cumplimiento de la Norma ISO/IEC 22301:2012, y el numeral A.17, Anexo A de la Norma ISO/IEC 27001:2013.
Política de Recuperación ante Desastres TIC, en cumplimiento de la Norma ISO/IEC 22301:2012.
Políticas de Seguridad y Privacidad de la Información, en cumplimiento de los requerimientos del numeral A.5, Anexo A de la Norma ISO/IEC 27001:2013.
Todas las dependencias del Ministerio de Minas y Energía deberán implementar las políticas adoptadas a través del presente acto administrativo, conforme a sus responsabilidades y competencias.
-
Mesa de Trabajo de Seguridad y Privacidad de la Información. La Mesa de Trabajo de Seguridad y Privacidad de la Información garantizará el apoyo y toma de decisiones al proceso de definición, implementación, operación, seguimiento, revisión, mantenimiento y mejora del MSPI y el SGSI, a través de un equipo de trabajo conformado por un representante de las siguientes áreas o dependencias del Ministerio de Minas y Energía:
· Despacho del señor Ministro.
· Secretaría General.
· Oficina de Planeación y Gestión Internacional.
· Oficial de Seguridad de la Información.
· Subdirección de Talento Humano.
· Oficina de Control Interno.
· Grupo de Tecnologías de la Información y la Comunicación.
· Subdirección Administrativa y Financiera.
· Grupo de Procesos Misionales
· Grupo de Servicio al Ciudadano
La Mesa de Trabajo de Seguridad y Privacidad de la Información está liderada por el Oficial de Seguridad de la información; sin embargo, los miembros tendrán las siguientes funciones según su competencia, sin perjuicio de las establecidas en las políticas:
· Tomar decisiones que requiera el MSPI y el SGSI y las propuestas que lleve el Oficial de Seguridad de la Información y cualquiera de sus miembros, respecto a los riesgos y a la seguridad de las informaciones requeridas para la Entidad.
· Trabajar en forma articulada, activa y permanente con los líderes de procesos críticos en la ejecución y desarrollo de todas las actividades designadas para la implementación, sostenibilidad y mejora del MSPI de la Entidad.
· Establecer, mantener y actualizar las políticas de seguridad de la información, la metodología para la gestión de riesgos, la metodología para la identificación y clasificación de los activos y la documentación propia del SGSI y del MSPI.
· Desarrollar y liderar la implementación de métricas de seguridad adecuadas para evaluar la efectividad y desempeño del SGSI y el MSPI.
· Diseñar, sugerir o promover nuevas estrategias para la gestión de riesgos detectados.
· Conocer y analizar alertas globales de seguridad y determinar planes de acción para el tratamiento de...
Para continuar leyendo
Solicita tu prueba