Lectura de documento:

Curso SUIN-Juriscol


Inscripciones abiertas

Curso características de los procesos de constitucionalidad y nulidad

Inscripciones abiertas

Curso Calidad Normativa


Inscripciones abiertas
RESOLUCION1982019201904 script var date = new Date(01/04/2019); document.write(date.getDate()); script falsefalseArchivo interno de la EntidadInstituto Nacional de Medicina Legal y Ciencias ForensesPor la cual se adopta el Sistema de Gestión de la Seguridad de la Información-SGSI, la Política de Seguridad de la Información y se establecen los controles del SistemafalsefalseRama Judicialfalsefalsefalse01/04/201901/04/2019

Archivo interno de la Entidad

ÍNDICE [Mostrar]

RESOLUCIÓN 198 DE 2019

(abril 01)

Por la cual se adopta el Sistema de Gestión de la Seguridad de la Información-SGSI, la Política de Seguridad de la Información y se establecen los controles del Sistema

[Mostrar]


Los datos publicados en SUIN-Juriscol son exclusivamente informativos, con fines de divulgación del ordenamiento jurídico colombiano, cuya fuente es el Diario Oficial y la jurisprudencia pertinente. La actualización es periódica. El seguimiento y verificación de la evolución normativa y jurisprudencial no implica una función de certificación, ni interpretación de la vigencia de las normas por parte del Ministerio.


LA DIRECTORA GENERAL 

  

En ejercicio de sus facultades conferidas por los artículo 40, numeral 5 de la Ley 938 de 2004, y artículo 5, numeral 5, del Acuerdo 08 de 2012 de la Junta Directiva, y 

  

CONSIDERANDO 

  

Que en virtud del numeral 1 del artículo 36 de la Ley 938 de 2004, el Instituto Nacional de Medicina Legal y Ciencias Forenses, es el encargado de organizar y dirigir el Sistema de Medicina Legal y Ciencias Forenses y controlar su funcionamiento y así mismo, acorde con los artículos 35 y 36 ibídem, el Instituto Nacional de Medicina Legal y Ciencias Forenses, en concordancia con su misión, que lo caracteriza, debe prestar auxilio y soporte técnico y científico a la administración de justicia en todo el territorio nacional, en lo concerniente a medicina legal y ciencias forenses. 

  

Que para la Institución, la información es un activo que tiene valor y debe ser protegida. En consecuencia de lo anterior, es necesario establecer políticas de seguridad y privacidad de la información que protejan a la misma de amenazas, con el fin de garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de los objetivos institucionales alineados a las guías del Ministerio de las Tecnologías de Información y Comunicaciones referente a Seguridad de Tecnología de Información. 

  

Que las políticas de seguridad de la información en el Instituto Nacional de Medicina Legal y Ciencias Forenses se enmarcan, entre otras: a) Constitución Política de 1991, artículo 15; b) Ley que define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales: Ley 527 de 1999; c) Decreto número 1747 del 2000, por el cual se reglamenta parcialmente la Ley 527 de 1999; d) Ley General de Archivo: Ley 594 de 2000 - el párrafo 1 del artículo 19... "establece la obligación de garantizar la autenticidad, integridad y la inalterabilidad de la información allí consignada..."; e) Código de Ética y Buen Gobierno; f) Ley de Derechos de Autor: Ley 23 de 1982; g) Ley de Delitos Informáticos: Ley 1273 de enero de 2009; Ley 734 de 2002 Código Disciplinario Único, artículo 35 "todo funcionario debe proteger y salvaguardar los activos de la empresa para la que trabaja como si fueran propios", h) ACUERDO No. 003 del 17 de febrero de 2015 "Por el cual se establecen lineamientos generales para las entidades del Estado en cuanto a la gestión de documentos electrónicos generados como resultado del uso de medios electrónicos, de conformidad con lo establecido en el capítulo IV de la Ley 1437 de 2011, se reglamenta el artículo 21 de la Ley 594 de 2000 y el capítulo IV del Decreto 2609 de 2012". 

  

Que el Decreto 2573 de 2014, "Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en línea, se reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones" y el Decreto 1008 del 14 de junio de 2018, "Por el cual se establecen los lineamientos generales de la política de Gobierno Digital y se subroga el Capítulo 1 del Título 9 de la parte 2 del Libro 2 del Decreto 1078 de 2015, Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones, que tiene como objeto "establecer lineamientos generales de la Política de Gobierno Digital para Colombia, antes estrategia de Gobierno en Línea, la cual desde ahora debe ser entendida como: el uso y aprovechamiento de las tecnologías de la información y las comunicaciones para consolidar un Estado y ciudadanos competitivos, proactivos e innovadores, que generen valor público en un entorno de confianza digital." 

  

Que mediante la Ley 1581 del 2012 "Por la cual se dictan disposiciones generales para la protección de datos personales" establece en su artículo 17 titulado "Deberes de los responsables del tratamiento" en sus literales "d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. i) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. (...) j) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos." 

  

Por la cual se adopta el Sistema de Gestión de la Seguridad de la Información-SGSI, la Política de Seguridad de la Información y se establecen los controles del Sistema. 

  

Que mediante resolución No. 001123 del 12 de diciembre de 2018, expedida por el comité de Gobierno Digital del Instituto Nacional de Medicina Legal y Ciencias Forenses y se destaca del artículo 2.2.9.1.2.1 parágrafo primero del Decreto 1008 de 2018 que establece los Componentes de la Política de Gobierno Digital, así: 

Tecnología de la Información y de las Comunicaciones para el Estado: Tiene como objetivo mejorar el funcionamiento de las entidades públicas y su relación con otras entidades públicas, a través del uso de las tecnologías de la información y las comunicaciones. 

  

Tecnología de la Información y las Comunicaciones para la Sociedad: Tiene como objetivo fortalecer la sociedad y la relación con el estado en un entorno confiable, que permita la apertura y el aprovechamiento de los datos públicos, la colaboración en el desarrollo de productos y servicios de valor público, el diseño conjunto de servicios, la participación ciudadana en el diseño de políticas y normas y la identificación de las soluciones a problemáticas de interés común. 

  

Que en el marco de los dos componentes citados en la Resolución 001123 del 12 de diciembre de 2018, es importante indicar que en el decreto 1008 del 14 de junio de 2018 articulo 2.2.9.1.2.1 en su numeral 2 establece dentro de sus Habilitadores Transversales la Seguridad de la Información como uno de los elementos fundamentales. 

  

Que el artículo tercero de la Resolución No. 001123 del 12 de diciembre de 2018 considera, entre sus funciones, las siguientes: 

"1. Recomendar las estrategias, políticas o directrices para la planeación, implementación y mantenimiento de la estrategia de gobierno digital pertinentes para el Instituto Nacional de Medicina Legal y Ciencias Forenses. 

2. Adoptar herramientas de diagnóstico y monitoreo que permitan hacer seguimiento al cumplimiento de la Estrategia y la aplicación de acciones para su mejoramiento" 

  

Que es indispensable ajustar la Política, las directrices y los controles de la Seguridad de la Información con el Sistema Integrado de Gestión de conformidad con la normatividad vigente. 

  

Que en mérito de lo expuesto, 

  

RESUELVE 

  


Artículo 1. Adopción del Sistema SGSI. Adoptar el Sistema de Gestión de la Seguridad de la Información en el Instituto Nacional de Medicina Legal y Ciencias Forenses basado en la norma NTC-ISO-IEC 27001:2013, GTC-ISO/IEC 27002:2015, con el fin de garantizar el aseguramiento de la información procesada en la entidad. 

Parágrafo. Hace parte integral del presente acto administrativo el documento anexo denominado Manual de Políticas de Seguridad de la Información. 

  


Artículo 2. Política de la Seguridad de la Información. El Instituto Nacional de Medicina Legal y Ciencias Forenses se compromete con la protección de la información, aplicando los principios de confidencialidad, integridad y disponibilidad, mediante la implementación, mantenimiento y mejora continua del sistema de gestión de la seguridad de la información y el cumplimiento de los requisitos aplicables. 

  


Artículo 3. Controles. Adoptar como parte integral de este acto administrativo el documento anexo denominado "Controles para la Gestión de la Seguridad de la Información del Instituto 

Por la cual se adopta el Sistema de Gestión de la Seguridad de la Información-SGSI, la Política de Seguridad de la Información y se establecen los controles del Sistema. 

Nacional de Medicina Legal y Ciencias Forenses", como la herramienta principal para la gestión de la seguridad de la información. Estos controles, entre otros, obedecen a lo establecido en la norma técnica GTC-ISO/IEC 27002:2015. 

Los funcionarios, contratistas y terceros deben dar cumplimiento estricto a lo establecido en el documento anexo antes mencionado. 

  


Artículo 4. Alcance del Sistema de Gestión de la Seguridad de la Información. El Sistema de Gestión de la Seguridad de la Información a nivel institucional, en el marco de su política, comprende las fases de planificación, implementación y evaluación para los procesos estratégicos, misionales, de apoyo y de control y debe ser cumplido por funcionarios, contratistas y terceros que tengan acceso a los servicios y elementos de la plataforma tecnológica de la institución. 

  

  


Artículo 5. Objetivos del Sistema de Gestión de la Seguridad de la Información (SGSI). Son objetivos específicos del sistema: 

  1. Gestionar los incidentes que atentan contra la disponibilidad, confidencialidad e integridad de la información.
  2. Proteger los activos de información mediante la implementación de controles de seguridad.
  3. Mantener una cultura de seguridad de la información reflejada en la aceptación y aplicación de las políticas y controles de seguridad por parte de los funcionarios, contratistas y terceros.

  


Artículo 6. Compromiso de la Dirección. La Dirección General del Instituto Nacional de Medicina Legal y Ciencias Forenses se compromete a aprobar la Política de Seguridad de la Información y apoyar la implementación del Sistema de Gestión de la Seguridad de la Información para la protección de la información institucional. 

  


Artículo 7. Revisión de la Política para la Seguridad de la Información. La revisión, modificación, ajuste o actualización de la Política para la Seguridad de la Información del Instituto Nacional de Medicina Legal y Ciencias Forenses y las Políticas de Seguridad de la Información , es responsabilidad del Comité de Gobierno Digital y debe realizarse al menos una vez al año. 

  


Artículo 8. Roles y responsabilidades de los que intervienen en la organización para la Seguridad de la Información. El Instituto Nacional de Medicina Legal y Ciencias Forenses establece los siguientes roles y responsabilidades, con el fin de implementar el Sistema de Gestión de la Seguridad de la Información: 

  1. Director General. Su función será la de apoyar y aprobar las políticas y actividades tendientes a la implementación del Sistema de Seguridad de la Información en el Instituto.
  2. Directores Regionales. Sus funciones serán:
  1. Apoyar el proceso del Sistema de Gestión de Seguridad de la Información.
  2. Dar cumplimiento con lo dispuesto por la institución en lo relacionado con la Seguridad de la Información, acompañar en la difusión, socialización y entrenamiento requerido en el proceso de uso y apropiación del Sistema de Gestión de Seguridad de la Información.
  3. Tomar acciones a partir de los informes presentados por los Facilitadores de Tecnologías de Información y Comunicaciones Regionales

Por la cual se adopta el Sistema de Gestión de la Seguridad de la Información-SGSI, la Política de Seguridad de la Información y se establecen los controles del Sistema. 

  1. Comité de Gobierno Digital. Sus funciones están enmarcadas en la Resolución 001123 de 12 de diciembre de 2018, para tratar temas estratégicos relacionados con el habilitador transversal de Seguridad de la Información y proponer recomendaciones.

4) Coordinador Grupo Nacional de Tecnologías de Información y Comunicaciones. Sus funciones serán: 

  1. Participar en la implementación y posterior sostenibilidad del Sistema de Gestión de la Seguridad de la Información, proponiendo directrices de tratamiento de información, documentación y recomendaciones en el marco normativo, respecto a los ambientes bajo su responsabilidad, incluyendo de manera directa a los integrantes que hacen parte del Grupo Nacional.
  2. Gestionar recursos para el fortalecimiento de la Plataforma Tecnológica asociada a la Seguridad de la Información y reportar al responsable del proceso de Gestión de Infraestructura Tecnológica y Servicios Informáticos para su respectiva aprobación.
  3. Cumplir con la normatividad vigente relacionada con la Seguridad de la Información en la infraestructura tecnológica.
  4. Orientar a los dueños de la información de los diferentes procesos institucionales en temas relacionados con la Seguridad de la Información.
  5. Identificar tendencias tecnológicas que puedan afectar positiva o negativamente a la Institución en el desarrollo de sus procesos.
  6. Gestionar las acciones a que haya lugar, cuando se presentan incidentes y ataques a la Seguridad de la Información en el Grupo Nacional de Tecnologías de Información y Comunicaciones.
  7. Monitorear que se dé cumplimiento a los indicadores relacionados con el Sistema de Gestión de la Seguridad de la Información.
  8. Gestionar los indicadores para la revisión de la alta dirección relacionados con el Sistema de Seguridad de la Información.

5) Coordinador Grupo Nacional de Gestión de Desarrollo. Sus funciones serán: 

  1. Participar en la implementación y posterior sostenibilidad del Sistema de Gestión de la Seguridad de la Información, proponiendo directrices de tratamiento de información, documentación y recomendaciones en el marco normativo, respecto a los ambientes bajo su responsabilidad, incluyendo de manera directa a los integrantes que hacen parte del Grupo Nacional.
  2. Gestionar recursos para el fortalecimiento de la Plataforma Tecnológica asociada a la Seguridad de la Información y reportar al responsable del proceso de Gestión de Infraestructura Tecnológica y Servicios Informáticos para su respectiva aprobación.
  3. Cumplir con la normatividad vigente relacionada con la Seguridad de la Información en la infraestructura tecnológica.
  4. Identificar tendencias tecnológicas que puedan afectar positiva o negativamente a la Institución en el desarrollo de sus procesos.

Por la cual se adopta el Sistema de Gestión de la Seguridad de la Información-SGSI, la Política de Seguridad de la Información y se establecen los controles del Sistema. 

  1. Gestionar las acciones a que haya lugar, en caso incidentes y ataques a la Seguridad de la Información en el Grupo Nacional de Gestión de Desarrollo.
  2. Asesorar a los dueños de la información de los diferentes procesos institucionales en temas relacionados con la Seguridad de la Información.
  1. Facilitador de Tecnología de Información y Comunicaciones Regional. Sus funciones serán:
  1. Participar en la implementación y posterior sostenibilidad del Sistema de Gestión de la Seguridad de la Información, haciendo lo necesario para contribuir por el buen uso y tratamiento de la información en los ambientes bajo su responsabilidad.
  1. Apoyar las actividades para el cumplimiento de las políticas de seguridad de la información y los documentos asociados.
  2. Administrar los perfiles de acceso a la información de acuerdo con el proceso establecido por el Instituto Nacional de Medicina Legal y Ciencias Forenses de la Dirección Regional a su cargo
  3. Gestionar las acciones a que haya lugar, en caso de incidentes y ataques a la Seguridad de la Información en la Dirección Regional.
  4. Presentar informes pormenorizados al Director Regional que corresponda, sobre la participación y apoyo en la sostenibilidad del Sistema de Gestión de la Seguridad de la Información.
  1. Oficina de Control Interno. Su función será evaluar el cumplimiento de las políticas definidas en el Sistema de Gestión de la Seguridad de la Información, con la finalidad de evidenciar las actividades adelantadas en las unidades organizacionales conforme a la Seguridad de la Información y normativas relacionadas en el Instituto.
  2. Oficina de Control Disciplinario Interno. Su función será adelantar los procesos disciplinarios correspondientes al incumplimiento de los deberes y obligaciones, relacionados con las políticas y controles definidos en el Sistema de Gestión de la Seguridad de la Información en el Instituto Nacional de Medicina Legal y Ciencias Forenses.
  3. Dueños o Responsables de los Procesos Institucionales:Dirección General, Secretaría General, Subdirectores, Directores Regionales, y Directores Seccionales. Su función será cumplir con las políticas, directrices, lineamientos y procedimientos asociados al Sistema de Gestión de la Seguridad de la Información.
  4. Funcionarios, contratistas o terceros. Sus funciones serán: a) utilizar la información del Instituto Nacional de Medicina Legal y Ciencias Forenses con responsabilidad, dando un buen tratamiento a la misma, de conformidad con la normatividad vigente y b) cumplir a cabalidad con las políticas y controles asociados al Sistema de Gestión de la Seguridad de la Información.

  


Artículo 9. Líder de la Seguridad de la Información: Finalidad. La función del líder de seguridad de la información será administrar el Sistema de Gestión de la Seguridad de la Información, articulado con el Sistema Integrado de Gestión 

Por la cual se adopta el Sistema de Gestión de la Seguridad de la Información-SGSI, la Política de Seguridad de la Información y se establecen los controles del Sistema. 

  


Artículo 10. Designación del Líder de Seguridad de la Información. El Director General designará al Líder de la Seguridad de la Información, quién deberá cumplir con unos requisitos específicos para ejercer las funciones descritas en esta resolución. 

  


Artículo 11. Funciones del Líder de Seguridad de la Información. La persona designada como líder, deberá cumplir las siguientes funciones: 

  1. Monitorear que se dé cumplimiento a los indicadores relacionados con el Sistema de Gestión de la Seguridad de la Información.
  2. Revisar de manera periódica las Políticas de Seguridad de la Información y proponer actualizaciones y mejoras, de conformidad con la normatividad vigente.
  3. Evaluar periódicamente el avance de la implementación del Sistema de Gestión de la Seguridad de la Información con el propósito de identificar de manera oportuna situaciones que puedan conllevar a su incumplimiento.
  4. Verificar que las normas, estándares y procedimientos de seguridad sean aplicados correctamente en el Sistema de Gestión de la Seguridad de la Información.
  5. Analizar, evaluar y recomendar las medidas necesarias para controlar los incidentes y ataques de la Seguridad de la Información ocurridos en el Instituto.
  6. Hacer seguimiento del cumplimiento de los controles establecidos en el Sistema de Gestión de la Seguridad de la Información.
  7. Generar e implementar el plan de sensibilización para el cumplimiento de las políticas de seguridad de la información en el instituto.
  8. Promover la aplicación de las políticas y controles de seguridad de la información realizada por los diferentes responsables de la Plataforma Tecnológica.
  9. Hacer seguimiento a los indicadores establecidos para el Sistema de Gestión de la Seguridad de la Información.
  10. Validar la ejecución de las pruebas de vulnerabilidad de la plataforma tecnológica institucional y coordinar las actividades correspondientes para su aseguramiento.
  11. Presentar al responsable del proceso de Gestión de Infraestructura Tecnológica y Servicios Informáticos iniciativas para el mejoramiento, ajuste o modificación del Sistema de Gestión de la Seguridad de la Información.
  12. Reportar, investigar y monitorear los incidentes relacionados con la seguridad de la información.
  13. Hacer la evaluación del desempeño del Sistema de Gestión de la Seguridad de la Información.
  14. Reportar al responsable del proceso de Gestión de Infraestructura Tecnológica y Servicios Informáticos el estado de la seguridad de la información, las causas y análisis de los incidentes de seguridad, los resultados de las auditorias periódicas, la revisión del Sistema de Gestión de la Seguridad de la Información.

Por la cual se adopta el Sistema de Gestión de la Seguridad de la Información-SGSI, la Política de Seguridad de la Información y se establecen los controles del Sistema. 

  • Evaluar los riesgos asociados a la seguridad de la información para lo cual debe conservar documentación respecto al proceso de identificación, tratamiento y valoración de los mismos.
  • Cuando sea requerido deberá contactar los organismos externos que ejerzan autoridad en lo relacionado con los aspectos de seguridad de la información. (Grupo Investigativo Delitos Informáticos (DEINF) de la DIJIN y la Unidad de Delitos Informáticos de la Fiscalía General de la Nación)
  • Actualizarse a través de la interacción con las comunidades y grupos de interés relacionados con la Seguridad de la Información, que le permitan desarrollar iniciativas para el buen manejo de las actividades a su cargo.

  


Artículo 12. Gestión del Riesgo. El Instituto debe analizar y evaluar los riesgos propios del Sistema de Gestión de la Seguridad de la Información, a través de metodologías y herramientas para la identificación, tratamiento y valoración de los mismos, las oportunidades y las acciones a seguir, además, de su eficacia, acorde con las directrices vigentes impartidas por el Ministerio de Tecnologías de la Información y las Comunicaciones. (MINTIC). 

  


Artículo 13. Evaluación. El Instituto Nacional de Medicina Legal y Ciencias Forenses, para el procedimiento de evaluación y mejora del Sistema de Gestión de la Seguridad de la Información, aplicará los procedimientos existentes, tales como las acciones correctivas y preventivas con la finalidad de emprender planes de mejora asociados al sistema relacionados con los procedimientos vigentes del Sistema de Gestión de Calidad. 

  


Artículo 14. Vigencia. La presente resolución rige a partir de la fecha de su comunicación y deroga la Resolución 1628 de 2015, y las demás que le sean contrarias. 

  

  

COMUNÍQUESE Y CÚMPLASE 

  

Dada en Bogotá D.C., a los 01 ABR 2019 

  

CLAUDIA ADRIANA GARCIA FINO 

Directora General