Resolución número 0578 de 2012, por la cual se adoptan las políticas del Sistema de Gestión de Seguridad de la Información del Instituto
| Emisor | Establecimientos Públicos - Instituto Geográfico Agustín Codazzi |
| Número de Boletín | 48629 |
El Director General del Instituto Geográfico "Agustín Codazzi", en uso de las facultades legales, en especial de las conferidas por el Decreto número 2113 de 1992, y
CONSIDERANDO:
Que mediante Resolución número 175 del 23 de febrero del 2012 esta Dirección General adecua el Comité Antitrámites, de Gobierno en Línea y Seguridad de la Información del Instituto Geográfico "Agustín Codazzi" teniendo en cuenta la Ley 489 de 1998, la Ley 962 de 2005, el Decreto número 1151 de 2008, el Manual para la Implementación de la Estrategia de Gobierno en Línea y el Modelo de seguridad de la información para la estrategia de Gobierno en Línea.
RESUELVE:
Establecer la Política del Sistema de Gestión de Seguridad de la Información (SGSI), soportada en las políticas de gestión de la seguridad de la información, clasificación y control de activos de información, seguridad respecto al recurso humano (entendiendo sus responsabilidades y aptitudes frente a la seguridad de la información), seguridad física, gestión de comunicaciones y operaciones, control de acceso, adquisición, desarrollo y mantenimiento de sistemas de información, gestión de incidentes y riesgos de seguridad de la información, continuidad de actividades y cumplimiento, que representan la posición de la administración del Instituto con respecto a todos los activos de información.
Parágrafo. Se entiende por activo de información el conocimiento y experiencia adquirida por los servidores públicos del Instituto, la creación de información, los procesos, las tecnologías de información, incluido el hardware y el software.
Las políticas contenidas en la presente resolución aplican a funcionarios, contratistas, pasantes, practicantes y proveedores del Instituto.
El alcance del Sistema de Gestión de Seguridad de la Información está enfocado en los procesos misionales de cartografía, agrología, catastro, geografía, la investigación y desarrollo de las tecnologías geoespaciales y en los procesos estratégicos de evaluación y de apoyo. Adicionalmente, son la base para la implementación de controles de seguridad que reduzcan los riesgos y vulnerabilidades de los activos de información.
Esta política contiene en su marco normativo a la política de seguridad de la información, y establece:
"En el Instituto Geográfico "Agustín Codazzi" nos comprometemos a producir, proveer y divulgar información y conocimiento confiables y oportunos, preservando la confidencialidad, integridad y disponibilidad de la información en cartografía, agrología, catastro, geografía y tecnologías geoespaciales de acuerdo a las disposiciones legales y técnicas y a las responsabilidades adquiridas para la satisfacción de los clientes y la protección de la información contra amenazas internas, externas, accidentales o deliberadas, mediante la implementación de buenas prácticas en la gestión de riesgos, el fortalecimiento de la capacidad institucional y la aplicación de buenas prácticas profesionales en la operación bajo un sistema de gestión integrado, que mejore continuamente su eficacia, eficiencia y efectividad".
La Dirección General del Instituto ha decidido apoyar activamente la definición, implementación, operación y mejora continua de un Sistema de Gestión de Seguridad de la Información, siendo esta una responsabilidad compartida por todos los miembros del Instituto.
Parágrafo. Para efectos de desarrollo de la presente política, se efectuará a través del Comité Antitrámites, Gobierno en Línea y Seguridad de la Información, creado bajo Resolución número 175 del 23 de febrero del 2012.
Las actividades de la seguridad de la información están coordinadas por la Oficina de Informática y Telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, quien nombrará un responsable de seguridad de la información perteneciente a esta, y por el Comité Antitrámites, Gobierno en Línea y Seguridad de la información, de donde se imparten las responsabilidades y directrices, para dar soporte a la seguridad de la información.
La documentación del Sistema de Gestión de Seguridad de la Información estará integrada al Sistema de Gestión Integrado del Instituto.
La metodología de riesgos institucional debe incluir los riesgos de seguridad de la información evaluando la disponibilidad, integridad y confidencialidad y debe ser definida por la Oficina Asesora de Planeación.
4.1 Proceso de autorización para los servicios de procesamiento de información
El proceso de adquisición de nuevos servicios de procesamiento de información para el Instituto como la instalación de hardware o software nuevo, o la actualización del ya instalado, así como el uso de servicios de procesamiento de información personales o privados, debe cumplir con los estándares técnicos y de seguridad de la información, definidos por el Instituto y es autorizado por la Dirección General a través de la Oficina de Informática y Telecomunicaciones, de acuerdo a la estructura orgánica de la entidad.
La información debe ser protegida por todos los servidores públicos del Instituto de acuerdo a lo ordenado en el Decreto número 2113 - artículo 38 del año 1992 y las cláusulas de confidencialidad incluidas en los contratos de los contratistas y en los convenios suscritos con entidades públicas o privadas para autorización de pasantías o prácticas.
Los coordinadores de GIT y/o supervisores con el apoyo de la Oficina Asesora Jurídica, de acuerdo a la estructura orgánica de la entidad, deben definir las cláusulas de los acuerdos de confidencialidad en los contratos de ingreso y en los convenios de cooperación, teniendo en cuenta los siguientes puntos:
· Definición de la información a ser protegida, su responsable y su clasificación.
· Determinar la duración del acuerdo.
· Descripción de las acciones requeridas una vez terminado el acuerdo.
· Descripción de las responsabilidades adquiridas por los firmantes del acuerdo con el fin de evitar la divulgación no autorizada de información.
· Identificar el uso permitido de la información y los derechos adquiridos por los firmantes con respecto a la confidencialidad, integridad y disponibilidad de la información.
· Establecer los derechos para auditar y monitorear el uso de la información.
· Descripción del proceso de notificación y reporte de divulgaciones no autorizadas o violaciones de la confidencialidad.
· Establecimiento de los términos bajo los cuales debe ser retornada o destruida la información una vez finalice el acuerdo.
· Las facultades para tomar acciones en contra de terceros en cuanto a reparación integral de los perjuicios que sufra como consecuencia del incumplimiento del acuerdo.
· Derecho a monitorear y auditar la actividad de los servidores públicos que se encuentran accediendo a la información institucional.
Los activos de información se clasifican para indicar la necesidad, las prioridades y el grado esperado de protección al manejar la información, por tanto el Instituto debe definir controles para salvaguardar la información creada, procesada, transmitida y/o almacenada de sus procesos, con el fin de minimizar impactos financieros, operativos y/o legales debido al uso incorrecto de la información.
5.1 Clasificación de la información
Parágrafo. Se define como información a toda comunicación o representación de conocimiento, como datos, en cualquier forma, con inclusiones textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea digital, en papel, en pantallas de computadoras, audiovisual u otro.
Con base en el Decreto número 1151 del 14 de abril de 2008 de la estrategia de Gobierno en Línea, el Instituto debe clasificar los datos y la información Institucional de acuerdo al siguiente gráfico:
Los datos y la información pública se armonizan con la seguridad de la información, los controles son establecidos según la jerarquía formulada en el siguiente cuadro:
| Publicable | No publicable | Información personal semiprivada |
| Pública no clasificada | Top Secret | Sensitiva |
| Secreta | ||
| Confidencial | En confianza | |
| Restringida |
De acuerdo con el anterior gráfico, el Instituto establece los controles de protección a la información.
5.1.1 Datos e información publicable
Aquellos en los que la ley no ha dado el carácter de reservado y obliga a su publicación, si están definidos como datos abiertos.
5.1.2 Datos e información no publicable
Aquellos en los que la ley ha otorgado el carácter de reservados y de protección legal, por tal motivo no puede ser publicada.
5.1.3 Datos e información personal semiprivada
Datos e información personal que no es de dominio público, pero que ha sido obtenida u ofrecida por orden de una autoridad administrativa en el cumplimiento de sus funciones o en el marco de los principios de administración de datos personales. Esta información puede ser o no sujeta a reserva por su titular.
...
Para continuar leyendo
Solicita tu prueba