Establecen la implementación y mantenimiento del Sistema de Gestión de Seguridad de la Información en las entidades públicas
RESOLUCIÓN DE SECRETARÍA DE GOBIERNO
Y TRANSFORMACIÓN DIGITAL
N° 003-2023-PCM/SGTD
ESTABLECE LA IMPLEMENTACIÓN Y MANTENIMIENTO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN LAS ENTIDADES PÚBLICAS
Lima, 6 de setiembre de 2023
VISTO:
El Informe N° D000037-2023-PCM-SSPRD de la Subsecretaría de Política y Regulación Digital de la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros; y,
CONSIDERANDO:
Que, el Decreto de Urgencia N° 006-2020, Decreto de Urgencia que crea el Sistema Nacional de Transformación Digital, dispone en su artículo 7 que la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, es el ente rector del Sistema Nacional de Transformación Digital, constituyéndose en la autoridad técnico-normativa a nivel nacional sobre la materia;
Que, el artículo 8 del Decreto Legislativo N° 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, dispone que la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, es el ente rector en materia de gobierno digital que comprende tecnologías digitales, identidad digital, interoperabilidad, servicio digital, datos, seguridad digital y arquitectura digital. Dicta las normas y establece los procedimientos en materia de gobierno digital y, es responsable de su operación y correcto funcionamiento;
Que, el artículo 109 del Reglamento del Decreto Legislativo N° 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, y establece disposiciones sobre las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo, aprobado mediante Decreto Supremo N° 029-2021-PCM, dispone que el Sistema de Gestión de Seguridad de la Información (SGSI) comprende el conjunto de políticas, lineamientos, procedimientos, recursos y actividades asociadas, que gestiona una entidad con el propósito de proteger sus activos de información, de manera independiente del soporte en que estos se encuentren. Asimismo, contempla la gestión de riesgos e incidentes de seguridad de la información y seguridad digital, la implementación efectiva de medidas de ciberseguridad, y acciones de colaboración y cooperación;
Que, el artículo 105 de la precitada norma, dispone que las entidades públicas tienen como una de sus obligaciones en seguridad digital, el implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI);
Que, de acuerdo con los indicadores que gestiona la Secretaría de Gobierno y Transformación Digital en materia de seguridad y confianza digital, se evidencia que existen oportunidades de mejora en la implementación y operación de los Sistemas de Gestión de Seguridad de la Información por parte de las entidades públicas, así como también en la articulación de los roles responsables de la gestión de la seguridad digital institucional;
Que, en consonancia con lo establecido en los artículos 68 y 69 del Texto Integrado del Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros, aprobado mediante Resolución Ministerial Nº 156-2021-PCM, la Secretaría de Gobierno y Transformación Digital es el órgano de línea con autoridad técnica-normativa a nivel nacional en materia de gobierno digital, confianza digital y transformación digital, y tiene entre sus funciones, aprobar y supervisar el cumplimiento de normas técnicas, directivas, lineamientos, modelos, metodologías, procedimientos, protocolos, instrumentos, técnicas, estándares y demás disposiciones, en materia de su competencia;
Que, en ese sentido, a fin de dar cumplimiento a lo establecido en el Decreto Supremo Nº 029-2021-PCM; resulta necesario establecer disposiciones para la adecuada implementación y mantenimiento del Sistema de Gestión de Seguridad de la Información en las entidades públicas;
De conformidad con lo dispuesto en el Decreto Legislativo Nº 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital; el Decreto Supremo Nº 029- 2021-PCM, que aprueba el Reglamento del Decreto Legislativo Nº 1412 que aprueba la Ley de Gobierno Digital, y establece disposiciones sobre las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo; y el Texto Integrado del Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros, aprobado mediante Resolución Ministerial Nº 156-2021-PCM;
SE RESUELVE:
Artículo 1. Implementación del Sistema de Gestión de Seguridad de la Información
1.1 Las entidades públicas usan obligatoriamente la Norma Técnica Peruana NTP ISO/IEC 27001 vigente para el análisis, diseño, implementación, operación, mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la Información (en adelante, SGSI). Asimismo, aseguran que el SGSI establezca como alcance mínimo a los procesos misionales y aquellos relevantes para la operación y funcionamiento de la entidad pública.
1.2 Las entidades públicas establecen como objetivos del SGSI:
a) Preservar la confidencialidad, integridad y disponibilidad de la información de la entidad pública.
b) Fortalecer la cultura de seguridad de la información en los servidores, funcionarios y colaboradores de la entidad pública.
c) Asegurar el cumplimiento normativo en materia de seguridad y confianza digital.
d) Gestionar de manera eficaz los riesgos, eventos e incidentes de seguridad de la información.
1.3 Las entidades públicas pueden adecuar o establecer objetivos adicionales a los señalados en el numeral precedente considerando su contexto, tamaño, complejidad y estructura.
1.4 Las entidades públicas que hayan implementado un SGSI, a la fecha de publicación de la presente Resolución, deben registrar el plan de actividades o documento(s) de planificación utilizados para la operación o mantenimiento del referido SGSI. Dicho registro se realiza anualmente en la Plataforma Integral de Solicitudes Digitales del Estado Peruano (Facilita Perú) durante el primer trimestre del año en curso o ejecución.
Artículo 2. Alcance
2.1 La presente Resolución es de aplicación a:
a) Las entidades de la Administración Pública establecidas en el artículo I del Título Preliminar del Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 004- 2019-JUS, con excepción de las personas jurídicas señaladas en el numeral 8 del citado artículo.
b) Las empresas públicas de los gobiernos regionales y locales, y las que se encuentren en el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE).
2.2 Cuando en la presente Resolución se menciona a entidades públicas, se debe entender a aquellas referidas en los literales a) y b) del numeral precedente.
2.3 Las organizaciones del sector privado pueden tomar como referencia lo establecido en la presente Resolución en cuanto les genere valor.
Artículo 3. Plan de implementación del Sistema de Gestión de Seguridad de la Información
3.1 El Plan de implementación del Sistema de Gestión de Seguridad de la Información (en adelante, Plan SGSI) es el instrumento que establece, como mínimo, los objetivos, actividades, recursos, responsables y plazos para implementar un SGSI en un periodo máximo de tres (03) años. Es aprobado por la máxima autoridad administrativa o la que haga sus veces en la entidad pública.
3.2 Las entidades públicas deben formular y aprobar el Plan SGSI, y registrarlo en la Plataforma Facilita Perú para conocimiento y evaluación del Centro Nacional de Seguridad Digital, incluyendo sus modificaciones o actualizaciones. La formulación, aprobación y registro del Plan SGSI se realiza de acuerdo con la siguiente clasificación y plazos:
Clasificación |
Entidades |
Plazos (días hábiles) |
Grupo1 |
Ministerios, Empresas del FONAFE, Organismos Constitucionales Autónomos, Poder Judicial y Congreso de la República. |
60 |
Grupo 2 |
Organismos públicos y programas del Poder Ejecutivo. |
90 |
Grupo 3 |
Gobiernos Regionales, Municipalidades Tipo A y Tipo C (Según clasificación realizada por el Ministerio de Economía y Finanzas - MEF), y las empresas públicas de los gobiernos regionales y locales. |
120 |
3.3 Los plazos establecidos en el numeral 3.2 se contabilizan a partir del día siguiente de publicación de la presente Resolución.
3.4 En caso la entidad pública disponga de un plan de implementación o documento equivalente aprobado a la fecha de publicación de la presente Resolución, debe registrarlo en la Plataforma Facilita Perú.
3.5 El Plan SGSI debe estar articulado con los instrumentos de gestión de la entidad, y debe contener, como mínimo, lo siguiente:
1. Introducción
2. Objetivos del Plan SGSI
3. Marco legal
4. Términos y definiciones
5. Contexto de la entidad
6. Mapa de procesos de la entidad
7. Alcance del SGSI
8. Cronograma de actividades
9. Recursos y presupuesto
10. Monitoreo y evaluación
11. Anexos
Artículo 4. Responsables en la gestión de la seguridad digital institucional
4.1 El Titular de la entidad pública es responsable de la implementación del SGSI, para lo cual, como mínimo, debe aprobar las políticas y objetivos para implementar, operar, mantener y mejorar el SGSI.
4.2 La máxima autoridad administrativa o la que haga sus veces en la entidad pública es la encargada de informar semestralmente al Titular de la entidad los avances y dificultades en la implementación u operación del SGSI, así como el cumplimiento de la presente Resolución. Asimismo, es responsable de asegurar el cumplimiento de las políticas, objetivos, planes, procedimientos y marco normativo en materia de seguridad y confianza digital en la entidad pública.
4.3 El Comité de Gobierno y Transformación Digital institucional es responsable de la dirección, mantenimiento y supervisión estratégica de los planes, resultados y recursos del SGSI. Asimismo, a solicitud del Titular de la entidad o la máxima autoridad administrativa emite opinión y recomendaciones sobre la gestión estratégica del SGSI. Sin perjuicio de lo indicado la entidad puede solicitar opinión a un órgano consultivo vinculado a la gestión de riesgos de la entidad.
4.4 El Oficial de Seguridad y Confianza Digital cumple con lo establecido en la Resolución de Secretaría de Gobierno y Transformación Digital N° 002-2023-PCM/SGTD, que aprueba la Directiva N° 001-2023-PCM/SGTD, Directiva que establece el Perfil y Responsabilidades del Oficial de Seguridad y Confianza Digital, así como el marco normativo en materia de seguridad y confianza digital.
4.5 El Equipo de Respuestas ante Incidentes de Seguridad Digital de carácter institucional es responsable de la gestión de incidentes de seguridad digital que afectan los activos de la entidad pública. Dicho Equipo forma parte de los órganos o unidades orgánicas de Tecnologías de la Información de la entidad o de la unidad de organización especializada en seguridad de la información o similar prevista en su estructura orgánica o funcional.
4.6 El responsable de la unidad de organización de tecnologías de la información o el que haga sus veces en la entidad pública es responsable de informar al Oficial de Seguridad y Confianza Digital (OSCD) todo incidente de seguridad digital crítico que afecte los procesos misionales y servicios que brinda la entidad, de forma inmediata. Asimismo, articula con el OSCD la implementación de controles de seguridad de la información y coordina con el Equipo de Respuestas ante Incidentes de Seguridad Digital la gestión de incidentes de seguridad digital.
4.7 El responsable de la unidad de organización de planeamiento y presupuesto de la entidad pública debe orientar al OSCD para asegurar una adecuada articulación con los instrumentos de gestión institucional comprendidos en los sistemas administrativos de presupuesto público, planeamiento estratégico, programación multianual y gestión de inversiones.
4.8 Los dueños de procesos y responsables de las unidades de organización de la entidad son responsables de apoyar en la gestión de riesgos e implementación de los controles de seguridad de la información identificados en sus ámbitos de competencia, así como también coadyuvan en la gestión de incidentes según corresponda.
Artículo 5. Equipo de trabajo técnico y multidisciplinario para el SGSI
5.1 Las entidades públicas deben conformar un equipo de trabajo técnico y multidisciplinario encargado de realizar la implementación y mantenimiento del SGSI en la entidad, dicho equipo de trabajo es liderado por el Oficial de Seguridad y Confianza Digital. La organización del equipo de trabajo debe considerar el contexto, tamaño, complejidad y estructura de la entidad.
5.2 La máxima autoridad administrativa de la entidad pública evalúa la creación de una unidad de organización o unidad funcional especializada en seguridad digital a nivel institucional para asegurar la gestión eficiente de la implementación, operación y mejora continua del SGSI y el cumplimiento de la regulación en materia de seguridad y confianza digital.
Artículo 6. Certificación del SGSI
6.1 Las entidades públicas pueden certificar su SGSI de acuerdo con los requisitos establecidos en la ISO/IEC 27001 o equivalente con el propósito de incrementar los niveles de confianza digital de las personas en sus procesos y servicios.
6.2 Las entidades públicas que cuenten con una certificación ISO/IEC 27001 deben informar a la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros, a través de la Plataforma Facilita Perú, el estado de la certificación durante el primer trimestre de cada año.
Artículo 7. Seguridad Digital en los gobiernos locales y proyectos especiales del Poder Ejecutivo
Los proyectos especiales del Poder Ejecutivo y los gobiernos locales tipo B, D, E, F y G, conforme a la clasificación realizada por el Ministerio de Economía y Finanzas, en el marco del Programa de Incentivos a la Mejora de la Gestión Municipal, pueden implementar su SGSI atendiendo su contexto, tamaño, complejidad y estructura, no estando obligadas a formular un Plan SGSI, ni conformar un equipo de trabajo técnico para el SGSI. Sin perjuicio de lo indicado deben coordinar con el Centro Nacional de Seguridad Digital la implementación de medidas y controles de seguridad de la información para fortalecer la confianza digital en sus procesos y servicios.
Artículo 8. Articulación de la seguridad digital con la seguridad de la información en el ámbito institucional
8.1 La seguridad de la información se enfoca en la información, de manera independiente de su formato y soporte. La seguridad digital se ocupa de las medidas de la seguridad de la información procesada, transmitida, almacenada o contenida en el entorno digital; procurando generar confianza, gestionando los riesgos que afecten la seguridad de las personas y la prosperidad económica y social en dicho entorno.
8.2 Los riesgos e incidentes de seguridad de la información incluyen los riesgos e incidentes de seguridad digital. Asimismo, su gestión comprende una adecuada articulación entre el Oficial de Seguridad y Confianza Digital y los dueños de procesos, propietarios de riesgos, la máxima autoridad administrativa y el Titular de la entidad.
Artículo 9. Publicación
Disponer la publicación de la presente Resolución y su anexo en la Plataforma Digital Única del Estado Peruano para Orientación al Ciudadano (www.gob.pe), y en la sede digital de la Presidencia del Consejo de Ministros (www.gob.pe/pcm), el mismo día de su publicación en el Diario Oficial El Peruano.
Regístrese, comuníquese y publíquese.
ALAIN DONUHUE DONGO QUINTANA
Secretario
Secretaría de Gobierno y Transformación Digital
2212869-1