Certificación ISO 27001

Mediante la Resolución Ministerial Nº 246-2007-PCM fue aprobada la utilización de la Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI “Tecnología de la Información. Código de buenas prácticas para realizar la gestión de la seguridad de la información. 2º Edición”, en todas las entidades que tengan un Sistema Nacional de Informática.

Según fue aprobada la Resolución Ministerial Nº 197-2011-PCM, se estableció un plazo para que determinadas entidades de la Administración Pública implantaran el Plan de Seguridad de la Información que se encuentra dispuesto en la Norma Técnica Peruana que hemos señalado antes. Además se estableció una Resolución Ministerial Nº 129-2012-PCM que estableció un nuevo cronograma e incorporó el rol de seguridad durante todo el proceso de implantación para obtener la certificación ISO 27001.

 

 

La Norma Técnica Peruana NTP-ISO /IEC 27001:2008 “Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos” fue aprobada por la comisión de normalización y fiscalización de barreras comerciales no arancelarias del Instituto Nacional de Defensa de la Competencia y de Protección de la Propiedad Intelectual (INDECOPI) siendo esta reemplaza por la Norma Técnica Peruana NTP ISO/IEC 27001:2014 “Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de seguridad de la Información. Requisitos.2ª Edición” aprobada por la resolución Nº 129-2014/DNB-INDECOPI.

Según establece el artículo 4 y 49 del Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros, aprobado por el Decreto Supremo Nº 063-2007-PCM, la Presidencia del Consejo de Ministros es el ente del Sistema nacional de Información mediante la Oficina nacional de gobierno Electrónico e Informática, siendo ésta la encargada de implantar la Política Nacional de gobierno Electrónico e Informática.

El Plan de Desarrollo de la Sociedad de la Información en Perú, establece la necesidad que existe de promover la administración pública de calidad y se encuentra orientada a la población, además debe determinar la parte de su estrategia de implantación de mecanismos para mejorar la seguridad de la información, en caso de sufrir algún tipo de incidente en los recursos informáticos del estado, además de la disuasión del crimen cibernético que se produce mediante la utilización de las redes informáticas.

La política nacional de Gobierno Electrónico, fue aprobada mediante el Decreto Supremo Nº 081-2013-PCM, y su objetivo es prever los lineamientos estratégicos para el gobierno electrónico en Perú. Entre otros se puede encontrar el relacionado con la Seguridad de la Información, busca velar por la integridad, seguridad y disponibilidad de todos los datos debiendo establecerse los lineamiento de seguridad de la información con el fin de mitigar el riesgo de exposición de información, siendo sensible ya que corresponde con la utilización de las funciones atribuidas al Sistema Nacional de Informática, que se encuentra a cargo de implantar la política nacional.

En conformidad con lo que se dispone en la ley 29158 “Ley Orgánica del Poder Ejecutivo”, Ley 27658 “Ley Marco de Modernización de la Gestión del Estado y Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros aprobado por el supremo 063-2007-PCM y sus modificatorias.

Se resuelve:

Artículo 1.- De la aprobación

Se debe aprobar el uso obligatorio de la Norma Técnica Peruana NTP ISO/IEC 27001:2014 en todas las entidades integrantes del Sistema Nacional de Informática.

Artículo 2.- Publicación

La Norma Técnica Peruana NTP ISO/IEC 27001:2014 será publicada en el Portal de la Presidencia del Consejo de Ministros y en el Portal de la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) el mismo día de la publicación de la presente resolución en el Diario Oficial El Peruano.

Artículo 3.- De la implementación

Las entidades integrantes del Sistema Nacional de Informática, tendrán un plazo máximo de dos años para la implementación o adecuación para la certificación ISO 27001.

Dichas entidades públicas contaban con un plazo de 60 días a partir de la fecha de publicación de la norma para la presentación del cronograma de implementación o adecuación del Sistema de Gestión de la Seguridad de la Información, que deberá ser presentado a la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros.

La ONGEI brindará asistencia técnica a las entidades que lo requieran. Las entidades públicas que a fecha cuenten con la certificación ISO 27001, están exoneradas del presente proceso de implementación.

Artículo 4.- De la certificación de la norma

Las entidades que requieran la certificación ISO 27001 podrán realizar dicha certificación de forma opcional y con recursos propios de cada entidad.

Artículo 5.- Del Comité de Gestión de Seguridad de la Información

Cada entidad designará un Comité de Gestión de Seguridad de la Información, conformado por:

• El/la titular de la entidad
• El/la responsable de administración o quien haga sus veces
• El/la responsable de planificación o quien haga sus veces
• El/la responsable del área de informática o quien haga sus veces
• El/la responsable de área legal o quien haga sus veces
• El/la oficial de seguridad de la información

Las funciones del Comité de Gestión de Seguridad de la Información, serán establecidas por cada entidad.

Artículo 6.- De la responsabilidad de la implementación

La responsabilidad de la implementación de la presente norma será del titular de cada entidad.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.