Acuerdo 002-DE-2015 Créase el Comité de Gestión de la Seguridad de la Información –CSI

Instituto Nacional de Investigación Geologico Minero Matlurgico

Registro Oficial 579 (2015)
3 de Septiembre de 2015

No.-002-DE-2015
INSTITUTO NACIONAL DE INVESTIGACION GEOLOGICO, MINERO, METALURGICO – INIGEMM
Mgs. Edgar López Robalino DIRECTOR EJECUTIVO

Considerando

Que, la Ley de Minería publicada en el Registro Oficial Suplemento No. 517 de 29 de enero de 2009, mediante el articulo 10 creó el Instituto Nacional de Investigación Geológico Minero Metalúrgico INIGEMM, como una entidad de derecho público, con personalidad jurídica, autonomía administrativa, técnica, económica, financiera y patrimonio propio, encargada de realizar actividades de investigación, desarrollo tecnológico e innovación en materia Geológica, Minera y Metalúrgica;

Que, mediante Acuerdo Ministerial No. MRNNR-DM-2014-0597-AM, de 21 de julio de 2014, el Ministro de Recursos Naturales No Renovables, designó al ingeniero Edgar Gustavo López Robalino, como Director Ejecutivo del Instituto Nacional de Investigación Geológico Minero Metalúrgico -INIGEMM-;

Que, el literal f) del artículo 18 del Estatuto Orgánico de Gestión Organizacional por Procesos del Instituto Nacional de Investigación Geológico, Minero, Metalúrgico, determina dentro de las atribuciones y responsabilidades del Director Ejecutivo, se encuentran a la aprobación de reglamentos, resoluciones, instructivos y más disposiciones administrativas y financieras;

Que, el artículo 227 de la Constitución de la República establece que la administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación;

Que, el numeral 2 del artículo 13 del Estatuto de Régimen Jurídico Administrativo de la Función Ejecutiva –ERJAFE- señala que: “La Secretaría Nacional de la Administración Pública establecerá las políticas, metodologías de gestión e innovación institucional y herramientas necesarias para el mejoramiento de la eficiencia y eficacia (…) y calidad de la gestión en las entidades y organismos de la Función Ejecutiva, con quienes coordinará las acciones que sean necesarias para la correcta ejecución de dichos fines”;

Que, en el artículo 15 del ERJAFE, sobre las atribuciones del Secretario Nacional de la Administración Pública, en sus literales e), l) y n), se establece lo siguiente: “e) Diseñar, promover e impulsar proyectos de mejora de la gestión institucional de las entidades de la Administración Pública Central, Institucional y dependencias de la Función Ejecutiva; l) Diseñar, promover e impulsar proyectos, planes y programas destinados a la mejora de la gestión pública a través de herramientas, sistemas y tecnologías de la información y comunicación; y, n) Expedir acuerdos, resoluciones, órdenes y disposiciones conforme a la ley y al Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva, dentro del ámbito de su competencia”;

Que, el 25 de septiembre de 2013, La Secretaría Nacional de Administración Pública “SNAP”, emitió el Acuerdo Ministerial No. 166, en el cual dispone obligatoriamente la aplicación de las Normas Técnicas Ecuatorianas INEN-ISO/ IEC 27000, para Gestión de la Seguridad de la Información en las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva;

Que, como anexo al Acuerdo Ministerial No. 166, se emitió el “Esquema Gubernamental de Seguridad de la Información” EGSI, en el que se priorizó el cumplimiento de directrices a ser cumplidas;

Que, el Art. 7 del Acuerdo No. 166 dispone que las entidades realicen una evaluación de riesgos y diseñarán e implementarán el plan de manejo de riesgos de su institución, en base a la norma INEN ISO/IEC 27005 “Gestión del Riesgo en la Seguridad de la Información;

Que, mediante Memorando No. INIGEMM-2014-387- ME, de 09 de octubre de 2014, el Director Ejecutivo del INIGEMM, realizó la conformación del Comité de Seguridad de la Información de la entidad, con el fin de Impulsar la implementación del Esquema Gubernamental de Seguridad de la Información;

Que, mediante Oficio Nro. INIGEMM-2014-0719-OF de 14 de octubre de 2014 el Director Ejecutivo (s) del INIGEMM comunica a la Secretaría Nacional de la Administración Pública, sobre los integrantes del Comité de Seguridad de la Información del INIGEMM;

Que, los integrantes del Comité de Seguridad de la Información y el Oficial de la Información Institucional elaboraron el documento de políticas del Esquema Gubernamental de Seguridad de la Información del Instituto Nacional de Investigación Geológico Minero Metalúrgico- INIGEMM;

Que, es importante adoptar políticas, estrategias, normas, procesos, procedimientos, tecnologías y medios necesarios para mantener la seguridad en la información que se genera y custodia en diferentes medios y formatos de las entidades de la Administración Pública Central, Institucional y que dependan de la Función Ejecutiva;

Que, es necesario que el Instituto Nacional de Investigación Geológico Minero Metalúrgico resguarde las fuentes de información y la tecnología usada para el procesamiento de información, con la finalidad de reducir las amenazas internas o externas, intencionales o accidentales, así como, la de tener confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información y así poder garantizar la continuidad de los sistemas de información, minimizar riesgos de daño y asegurar el eficiente cumplimiento con el Esquema Gubernamental de Seguridad de la Información (EGSI), lo cual, coadyuvara de manera permanente al fortalecimiento institucional;

En uso de las atribuciones conferidas en la Ley,

Resuelve:

Art. 1.- Créase el Comité de Gestión de la Seguridad de la Información –CSI del Instituto de Investigación Geológico Minero Metalúrgico INIGEMM; disponer las normas que lo regulen y aprobar las Políticas del Esquema Gubernamental de Seguridad de la Información del Instituto Nacional de Investigación Geológico Minero Metalúrgico-INIGEMM.

Art. 2.- El Comité de Gestión de la Seguridad de la Información –CSI del Instituto de Investigación Geológico Minero Metalúrgico INIGEMM, estará integrado de la siguiente manera:

El Director de cada una de las Direcciones de la institución o su delegado:

• Dirección de Asesoría Jurídica

• Dirección de Planificación

• Dirección de Comunicación Social

• Dirección de Talento Humano

• Dirección Administrativa Financiera

• Dirección de Geología

• Dirección de Laboratorios Científicos

• Dirección de Minería, Metalurgia, Extractiva y Ambiental

El Comité adoptará las decisiones por mayoría simple y se reunirá con la presencia de al menos 75% (6) de sus miembros, uno de los cuales obligatoriamente será el Presidente, quien tendrá voto dirimente.

Art. 3.- El Comité de Gestión de la Seguridad de la Información -CSI cumplirá las responsabilidades las determinadas en el subnumeral 2.2 del EGSI, que se encuentra anexo al Acuerdo Ministerial No. 166 publicado en el Registro Oficial Segundo Suplemento No. 88 del 25 de septiembre de 2013 y entre otras, las siguientes:

a) Definir y mantener la política y normas particulares de la institución en materia de seguridad de la información y gestionar su aprobación y puesta en vigencia por parte de la Máxima Autoridad, así como el cumplimiento por parte de los funcionarios del INIGEMM;

b) Monitorear cambios significativos de los riesgos que afectan a los recursos de información frente a las amenazas más importantes;

c) Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad;

d) Aprobar las principales iniciativas para incrementar la seguridad de la información, de acuerdo a las competencias y responsabilidades asignadas a cada área;

e) Acordar y aprobar metodologías y procesos específicos, en base al EGSI relativos a la seguridad de la información;

f) Evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios, en base al EGSI;

g) Promover la difusión y apoyo a la seguridad de la información dentro de la institución;

h) Coordinar el proceso de gestión de la continuidad de la operación de los servicios y sistemas de información de la institución frente a incidentes de seguridad imprevistos;

i) Designar a los custodios o responsables de la información de las diferentes áreas de la entidad, que deberá ser formalizada en un documento físico o electrónico;

j) Gestionar la provisión permanente de recursos económicos, tecnológicos y humanos para la gestión de la seguridad de la información;

k) Velar por la aplicación de la familia de normas técnicas ecuatorianas INEN ISO/IEC 27000 en la institución según el ámbito de cada norma; y,

l) Convocar al Comité de Gestión de la Seguridad de la Información trimestralmente o cuando las circunstancias lo ameriten. Se deberá llevar registros y actas de las reuniones.

Art. 4.- El Oficial de Seguridad de la Información tendrá las responsabilidades determinadas en el subnumeral 2.3 del EGSI, que se encuentra anexo al Acuerdo Ministerial No.166 publicado en el Registro Oficial Segundo Suplemento No. 88 del 25 de septiembre de 2013, que entre otras, serán las siguientes:

a) Reportar a la máxima autoridad de la institución sobre el ejercicio de sus funciones establecidas en este artículo y la normativa aplicable;

b) Definir procedimientos para el control de cambios a los procesos operativos, los sistemas e instalaciones, y verificar su cumplimiento, de manera que no afecten la seguridad de la información;

c) Establecer criterios de seguridad para nuevos sistemas de información, actualizaciones y nuevas versiones, contemplando la realización de las pruebas antes de su aprobación definitiva;

d) Definir procedimientos para el manejo de incidentes de seguridad y para la administración de los medios de almacenamiento;

e) Controlar los mecanismos de distribución y difusión de información dentro y fuera de la institución;

f) Definir y documentar controles para la detección y prevención del acceso no autorizado, la protección contra software malicioso, garantizar la seguridad de los datos y los servicios conectados a las redes de la institución;

g) Desarrollar procedimientos adecuados de concienciación de usuarios en materia de seguridad, controles de acceso a los sistemas y administración de cambios.

h) Verificar el cumplimiento de las normas, procedimientos y controles de seguridad establecidos en la institución;

i) Coordinar la gestión de eventos de seguridad con otras entidades gubernamentales;

j) Convocar regularmente o cuando la situación lo amerite al Comité de Seguridad de la Información así como llevar registros de asistencia, votaciones y actas de las reuniones; y,

k) Actuar en el Comité en calidad de Presidente.

Art. 5.- El responsable de Seguridad del Área de Tecnologías de la Información designado por el CSI tendrá las responsabilidades determinadas en el subnumeral 2.3 del EGSI, que se encuentra anexo al Acuerdo Ministerial No.166 publicado en el Registro Oficial Segundo Suplemento No. 88 del 25 de septiembre de 2013, que entre otras, son las siguientes:

a) Controlar la existencia de documentación física o electrónica actualizada relacionada con los procedimientos de comunicaciones, operaciones y sistemas;

b) Evaluar el posible impacto operativo a nivel de seguridad de los cambios previstos a sistemas y equipamiento y verificar su correcta implementación, asignando responsabilidades;

c) Administrar los medios técnicos necesarios para permitir la segregación de los ambientes de procesamiento;

d) Monitorear las necesidades de capacidad de los sistemas en operación y proyectar las futuras demandas de capacidad para soportar potenciales amenazas a la seguridad de la información que procesan;

e) Controlar la obtención de copias de resguardo de información, así como la prueba periódica de su restauración;

f) Asegurar el registro de las actividades realizadas por el personal operativo de seguridad de la información, para su posterior revisión;

g) Desarrollar y verificar el cumplimiento de procedimientos para comunicar las fallas en el procesamiento de la información o los sistemas de comunicaciones, que permita tomar medidas correctivas;

h) Implementar los controles de seguridad definidos (ej. evitar software malicioso, accesos no autorizados, etc.);

i) Definir e implementar procedimientos para la administración de medios informáticos de almacenamiento (ej., cintas, discos, etc.) e informes impresos, y verificar la eliminación o destrucción segura de los mismos, cuando proceda. j) Gestionar los incidentes de seguridad de la información de acuerdo a los procedimientos establecidos; y,

j) Otras que por la naturaleza de las actividades de gestión de la seguridad de la información deban ser realizadas.

Art. 6.- El Comité de Seguridad de la Información además de las funciones señaladas en el anexo del Acuerdo No. 166 deberá:

a) Presentar al Director Ejecutivo del INIGEMM, informes trimestrales sobre la gestión de la Seguridad de la Información en la institución y particularmente sobre el seguimiento de la puesta en marcha de las normas del EGSI;

b) Preparar y poner en consideración del Director Ejecutivo del INIGEMM, las disposiciones relacionadas a la Seguridad de la Información para que sean oficializadas en la institución; y,

c) Implementar en coordinación con la Dirección de Comunicación y de Talento Humano campañas periódicas de difusión del EGSI y de sensibilización de los servidores públicos respecto de la seguridad de la información en la institución;

Art. 7.- Aprobar las POLÍTICAS DEL ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN DEL INSTITUTO NACIONAL DE INVESTIGACIÓN GEOLÓGICO MINERO METALÚRGICO-INIGEMM, elaboradas por el Comité de Seguridad de la Información del INIGEMM, mismas que serán de aplicación y cumplimiento obligatorio por los servidores y trabajadores del INIGEMM, mimas que se adjunta a la presente.

Art. 8.- Encárguese a La Dirección de Comunicación Social la difusión de las POLÍTICAS DEL ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN DEL INSTITUTO NACIONAL DE INVESTIGACIÓN GEOLÓGICO MINERO METALÚRGICO-INIGEMM a todas las unidades administrativas del INIGEMM a través de los canales electrónicos establecidos.

DISPOSICIONES TRANSITORIAS: PRIMERA: Todo lo actuado por el Comité de Gestión de Seguridad de la Información previa a la expedición de lapresente, se entenderá valido.

Firmas

Comuníquese,

Dado en Quito, 25 de marzo de 2015

f.) Mgs. Edgar López Robalino, Director Ejecutivo, Inigemm.

Instituto Nacional de Investigación Geológica Minero Metalúrgica.- Dirección de Asesoría Jurídica.- Fiel copia del original.

Miércoles 25 de Marzo de 2015

Edgar López Robalino

Director Ejecutivo INIGEDMM

Inicie sesión o regístrese para comentar

Acuerdo 002-DE-2015 Créase el Comité de Gestión de la Seguridad de la Información –CSI

Registro Oficial 579 (2015) 3 de Septiembre de 2015

Registro Oficial 579 (2015)
3 de Septiembre de 2015