Resolución número 4173 de 2016, por la cual se derogan las Resoluciones 13829 de diciembre 12 de 2011 y 9025 de octubre 30 de 2012, generando nuevas Políticas de Seguridad de la Información - 25 de Mayo de 2016 - Diario Oficial de Colombia - Legislación - VLEX 641152905

Resolución número 4173 de 2016, por la cual se derogan las Resoluciones 13829 de diciembre 12 de 2011 y 9025 de octubre 30 de 2012, generando nuevas Políticas de Seguridad de la Información

Emisor:Varios - Registraduría Nacional del Estado Civil
 
ÍNDICE
EXTRACTO GRATUITO

El Registrador Nacional del Estado Civil, en ejercicio de las atribuciones establecidas en el artículo 25 del Decreto 1010 de 2000, y

CONSIDERANDO:

Que, las Políticas de Seguridad de la Información son objeto de actualización y para su elaboración metodológica se tuvo en cuenta cada uno de los 14 dominios, con sus respectivos objetivos de control, los cuales se encuentran identificados en el estándar ISO/ IEC 27001 de 2013.

Que, la Registraduría Nacional del Estado Civil identifica la información como un componente indispensable para sus funciones, razón por la cual se deben establecer unas políticas, estrategias y acciones que aseguren que la información sea protegida de una manera adecuada, independientemente de la forma en la que esta sea manejada, procesada, transportada o almacenada.

Que, en esta resolución se describen las políticas y normas de seguridad de la información definidas por la Registraduría Nacional del Estado Civil, las cuales se constituyen como bases para la creación del Sistema de Gestión de Seguridad de la RNEC.

Que, la Seguridad de la Información es una prioridad para la Registraduría Nacional del Estado Civil y, por tanto, es responsabilidad de todos los funcionarios, proveedores y colaboradores velar por que no se realicen actividades que generen vulnerabilidades sobre la información en cualquiera de las presentaciones que esta pueda tener, e independientemente de la forma que esta pueda revestir.

Que, la seguridad de la información implica procurar su protección de manera preventiva contra las amenazas o riesgos existentes que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

La Registraduría Nacional del Estado Civil toma como referencia las leyes y regulaciones adoptadas por el Gobierno Colombiano, entre ellas la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales, Decreto Reglamentario 1377 de 2013, Ley 1712 de 2014 Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones, Decreto Reglamentario 103 de 2015, Ley 527 de 1999 por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se dictan otras disposiciones, así como las recomendaciones y buenas prácticas de los estándares adoptadas por el ICONTEC NTC/ISO 27001 y NTC/ISO 27002,

RESUELVE:

Artículo 1º Derogar las resoluciones 13829 de diciembre 12 de 2011 y 9025 de octubre 30 de 2012 y formular una nueva estrategia para la Seguridad de la Información, de acuerdo con las siguientes premisas:

Los requisitos de seguridad de la información y de todos sus activos, son prioridad para la Registraduría Nacional del Estado Civil, y por lo tanto es responsabilidad y compromiso

del nivel directivo, y de todos los funcionarios de la Entidad garantizar el continuo cumplimiento de las políticas definidas en este documento.

I. OBJETIVOS

Los objetivos de este documento son:

  1. Actualizar y reformular las Políticas de Seguridad de la Información de la Regis-traduría Nacional del Estado Civil, con el fin de regular la Gestión de la Seguridad de la Información al interior de la Entidad.

  2. Informar al mayor nivel de detalle a los usuarios, directivos, funcionarios y contratistas las normas y mecanismos que deben cumplir en las interacciones con los activos de información de la Registraduría Nacional del Estado Civil.

  3. Establecer el alcance de las responsabilidades del nivel directivo, con la participación del personal de planta, supernumerarios, provisionales, contratistas, y terceros en cuanto a la utilización y mantenimiento confidencial e íntegro de la información de la Registraduría Nacional del Estado Civil.

    II. ALCANCE

    Las Políticas de Seguridad de la Información cubren los aspectos de privacidad, acceso, autenticación, mantenimiento y divulgación relacionados con cualquier activo de información, que conllevan a disponer guías y controles que deben ser cumplidos por los directivos, funcionarios, contratistas y terceros, que laboren o tengan relación con la Registraduría Nacional del Estado Civil, para alcanzar un adecuado nivel de protección en cuanto a confidencialidad, integridad y disponibilidad de la información.

    Este documento debe ser de conocimiento de todos los funcionarios de la Registraduría Nacional del Estado Civil. Así mismo, se exigirá su cumplimiento en los procesos de contratación de la entidad, y su lectura debe ser requisito necesario antes de realizar cualquier proceso de contratación.

    La Alta Dirección de la Registraduría Nacional del Estado Civil será responsable de facilitar los recursos humanos, técnicos, financieros y demás necesarios para llevar a cabo la implantación, control y auditoría de estas políticas.

    III. MARCO TEÓRICO

    ISO/IEC 27001 es la única norma internacional auditable que define los requisitos necesarios para establecer, implementar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI), la norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales. El SGSI permite evaluar cuáles son los riesgos a los que se expone la información relevante e importante para las organizaciones, la cual es fundamental para el normal proceder de sus funciones y a su vez implementar los controles adecuados y necesarios para mantener la confidencialidad, integridad y disponibilidad de los activos de información identificados dentro de la operación de la organización.

    La norma ISO/IEC 27001 contiene una serie de controles divididos en catorce (14) dominios, así:

  4. Política de Seguridad: Se estipulan las políticas con respecto a la seguridad de la información para la Registraduría Nacional del Estado Civil.

  5. Organización de la Seguridad de la información: Agrupa los temas de administración de la seguridad dentro de la organización (roles, compromisos, autorizaciones, acuerdos, manejo con terceros).

    3. Seguridad de los Recursos Humanos: Temas para asegurar que empleados, contratistas y terceros entiendan sus responsabilidades y sus roles sean adecuados para su desempeño, minimizando los riesgos relacionados con personal. Incluye los procesos para antes de la Contratación, durante y por cese o cambio de puesto de trabajo.

  6. Gestión de Activos: Trata sobre la responsabilidad de los activos, clasificación de la información y manejo de los soportes de los mismos.

  7. Control de Acceso: Requisitos de negocio para el control de acceso, gestión de acceso de los usuarios, responsabilidades del usuario, control de acceso a sistemas y aplicaciones.

  8. Cifrado: Relativo a los controles criptográficos en los activos de la información.

  9. Seguridad Física y Ambiental: Pretende prevenir accesos físicos no autorizados (perímetro), daños o interferencias a las instalaciones de la organización y a su información.

  10. Seguridad en la operación tecnológica: Responsabilidades y procedimientos de operación, protección contra código malicioso, copias de seguridad, registros de actividad y supervisión, gestión de vulnerabilidades técnicas.

  11. Seguridad en las telecomunicaciones: Referente a la gestión de la seguridad en las redes e intercambio de información con partes externas.

  12. Adquisición, desarrollo y mantenimiento de sistemas de información: Asegurar la inclusión de todos los controles de seguridad en los sistemas de información (infraestructura, aplicaciones, servicios, etc.). Incluye seguridad en los procesos de desarrollo de software y soporte.

  13. Proveedores y Terceros: políticas de seguridad para con los terceros, tratamiento de riesgos y gestión de la prestación del servicio contratado.

  14. Gestión de Incidentes de Seguridad de la información: referente a la gestión de incidentes de seguridad (notificación, valoración, respuesta a incidentes, evidencias) y proceso de mejora continua.

  15. Gestión de la continuidad del negocio: enfocado hacia la continuidad de la prestación de los servicios misionales.

  16. Cumplimiento: Propende por el cumplimiento de los requisitos legales, revisiones y auditoría.

    IV. MARCO LEGAL

    Con el objeto de mitigar los riesgos relacionados con la autenticidad, la integridad, la disponibilidad, el no repudio, la confidencialidad y la trazabilidad de la información; se tiene que cualquier incidente que viole el marco normativo legal vigente en Colombia, en materia de políticas de seguridad de la Información estará sujeto, entre otras, a lo establecido en las siguientes disposiciones legales:

  17. Normatividad Específica:

    CPC artículo 266 Funciones de la Registraduría Nacional del Estado Civil, Decreto 1260 de 1970 Por el cual se expide el Estatuto del Registro del Estado Civil de las personas, Decreto 2246 de 1986, por el cual se adopta el Código Electoral, Decreto 1010 de 2000 de la organización interna de la Registraduría Nacional del Estado Civil.

  18. Marco normativo de buenas prácticas para el tratamiento de la información:

    Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales, Decreto Reglamentario 1377 de 2013, Ley 1712 de 2014, por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones, Decreto Reglamentario 103 de 2015, Ley 527 de 1999, por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se dictan otras disposiciones. Las recomendaciones y buenas prácticas de los estándares adoptadas por el Icontec NTC/

    ISO 27001 y NTC/ISO 27002.

  19. Marco Normativo Sancionatorio:

    Ley 734 de 2002, por la cual se expide el Código Disciplinario...

Para continuar leyendo

SOLICITA TU PRUEBA