Matriz Requisitos Sistema Integrado Gestion

Norma Numeral/Articulo/Literal
ISO 27001 4 Contexto de la Organización
ISO 27001 4.1 Conocimiento de la Organización y su contexto
4.2 Comprensión de las necesidades y expectativas de

ISO 27001
las partes interesadas
ISO 27001 4.2 a)
ISO 27001 4.2 b)
ISO 27001 4.3 Determinación del alcance del Sistema de Gestión

de la Seguridad de la Información
ISO 27001 4.3 a)
ISO 27001 4.3 b)
ISO 27001 4.3 c)
ISO 27001 4.3 Determinación del alcance del Sistema de Gestión

de la Seguridad de la Información
4.4 Sistema de Gestión de la Seguridad de la

ISO 27001
Información
ISO 27001 5 Liderazgo
ISO 27001 5.1 Liderazgo y Compromiso
ISO 27001 5.1 a)

ISO 27001 5.1 b)
ISO 27001 5.1 c)
ISO 27001 5.1 d)
ISO 27001 5.1 e)
ISO 27001 5.1 f)
ISO 27001 5.1 g)
ISO 27001 5.1 h)
ISO 27001 5.2 Política
ISO 27001 5.2 a)
ISO 27001 5.2 b)
ISO 27001 5.2 c)
ISO 27001 5.2 d)
ISO 27001 5.2 Política

ISO 27001 5.2 e)
ISO 27001 5.2 f)
ISO 27001 5.2 g)
5.3 Roles, responsabilidades y Autoridades en la

ISO 27001
Organización
ISO 27001 5.3 Roles, responsabilidades y Autoridades en la

Organización
ISO 27001 5.3 a)
ISO 27001 5.3 b)
ISO 27001 6 Planificación

ISO 27001 6.1 acciones para tratar riesgos y oportunidades
ISO 27001 6.1.1 Generalidades
ISO 27001 6.1.1 a)

ISO 27001 6.1.1 b)
ISO 27001 6.1.1 c)
ISO 27001 6.1.1 d)
ISO 27001 6.1.1 e)
ISO 27001 6.1.1 e) 1)
ISO 27001 6.1.1 e) 2)

6.1.2 Valoración de riesgos de la seguridad de la
ISO 27001
información
ISO 27001 6.1.2 a)
ISO 27001 6.1.2 a) 1)
ISO 27001 6.1.2 a) 2)

ISO 27001
información
ISO 27001 6.1.2 b)

ISO 27001
información
ISO 27001 6.1.2 c)
ISO 27001 6.1.2 c) 1)
ISO 27001 6.1.2 c) 2)

ISO 27001
información
ISO 27001 6.1.2 d)
ISO 27001 6.1.2 d) 1)
ISO 27001 6.1.2 d) 2)
ISO 27001 6.1.2 d) 3)

ISO 27001
información
ISO 27001 6.1.2 e)
ISO 27001 6.1.2 e) 1)
ISO 27001 6.1.2 e) 2)

ISO 27001
información
6.1.3 Tratamiento de riesgos de la Seguridad de la
ISO 27001 Información
ISO 27001 6.1.3 a)
ISO 27001 6.1.3 b)
ISO 27001 6.1.3 c)
ISO 27001 6.1.3 d)
ISO 27001 6.1.3 e)
ISO 27001 6.1.3 f)
6.2 Objetivos de Seguridad de la Información y planes

ISO 27001
para lograrlos
ISO 27001 6.2 a)
ISO 27001 6.2 b)
ISO 27001 6.2 c)
ISO 27001 6.2 d)

ISO 27001 6.2 e)
6.2 La organización debe conservar información
ISO 27001 documentada sobre los objetivos de la seguridad de la
información
6.2 Cuando se hace la planificación para lograr sus

ISO 27001 objetivos de la seguridad de la información, la
organización debe determinar
ISO 27001 6.2 f)
ISO 27001 6.2 g)
ISO 27001 6.2 h)
ISO 27001 6.2 i)
ISO 27001 6.2 j)
ISO 27001 7 Soporte
ISO 27001 7.1 Recursos
ISO 27001 7.2 Competencia

ISO 27001 7.2 a)
ISO 27001 7.2 b)
ISO 27001 7.2 c)
ISO 27001 7.2 d)
ISO 27001 7.3 Toma de Conciencia
ISO 27001 7.3 a)
ISO 27001 7.3 b)
ISO 27001 7.3 c)
ISO 27001 7.4 Comunicación
ISO 27001 7.4 a)

ISO 27001 7.4 b)
ISO 27001 7.4 c)
ISO 27001 7.4 d)
ISO 27001 7.4 e)
ISO 27001 7.5 Información documentada

ISO 27001 7.5.1 a)
ISO 27001 7.5.1 b)
ISO 27001 7.5.2 Creación y actualización
ISO 27001 7.5.2 a)
ISO 27001 7.5.2 b)
ISO 27001 7.5.2 c)
ISO 27001 7.5.3 Control de la información documentada
ISO 27001 7.5.3 a)
ISO 27001 7.5.3 b)

ISO 27001 7.5.3 c)
ISO 27001 7.5.3 d)
ISO 27001 7.5.3 e)

ISO 27001 7.5.3 f)
ISO 27001 8 Operación
ISO 27001 8.1 Planificación y control operacional
8.2 Valoración de riesgos de la Seguridad de la

ISO 27001
Información
8.2 Valoración de riesgos de la Seguridad de la

ISO 27001
Información
8.3 Tratamiento de riesgos de la Seguridad de la

ISO 27001
Información
8.3 Tratamiento de riesgos de la Seguridad de la
ISO 27001
Información
ISO 27001 9 Evaluación del desempeño
ISO 27001 9.1 Seguimiento, medición, análisis y evaluación

ISO 27001 9.1 a)
ISO 27001 9.1 b)
ISO 27001 9.1 c)

ISO 27001 9.1 d)
ISO 27001 9.1 e)
ISO 27001 9.1 f)
ISO 27001 9.2 auditoría Interna
ISO 27001 9.2 a)
ISO 27001 9.2 a) 1)
ISO 27001 9.2 a) 2)
ISO 27001 9.2 b)

ISO 27001 9.2 c)
ISO 27001 9.2 d)
ISO 27001 9.2 e)
ISO 27001 9.2 f)
ISO 27001 9.2 g)
ISO 27001 9.3 Revisión por la dirección
ISO 27001 9.3 a)
ISO 27001 9.3 b)

ISO 27001 9.3 c)
ISO 27001 9.3 c) 1)

ISO 27001 9.3 c) 2)
ISO 27001 9.3 c) 3)
ISO 27001 9.3 c) 4)
ISO 27001 9.3 d)
ISO 27001 9.3 e)
ISO 27001 9.3 f)
ISO 27001 10 Mejora

ISO 27001 10.1 No conformidades y acciones correctivas
ISO 27001 10.1 a)
ISO 27001 10.1 a) 1)
ISO 27001 10.1 a) 2)
ISO 27001 10.1 b)
ISO 27001 10.1 b) 1)

ISO 27001 10.1 b) 2)
ISO 27001 10.1 b) 3)

ISO 27001 10.1 c)
ISO 27001 10.1 d)
ISO 27001 10.1 e)
ISO 27001 10.1 f)
ISO 27001 10.1 g)
ISO 27001 10.2 Mejora continua

Artículo 4
Ley de Seguridad de
la Información 1581
Artículo 4 a)
Ley de Seguridad de
Artículo 4 b)
Ley de Seguridad de
Artículo 4 c)
Ley de Seguridad de
Artículo 4 d)
Ley de Seguridad de
Artículo 4 e)
Ley de Seguridad de
Artículo 4 f)
Ley de Seguridad de
Artículo 4 g)
Ley de Seguridad de
Artículo 4 h)
Ley de Seguridad de
TÍTULO IIICATEGORÍAS ESPECIALES DE DATOS

Ley de Seguridad de
Artículo 5
Ley de Seguridad de
Artículo 6
Ley de Seguridad de
Artículo 6 a)
Ley de Seguridad de
Artículo 6 b)
Ley de Seguridad de
Artículo 6 c)
Ley de Seguridad de
Artículo 6 d)
Ley de Seguridad de
Artículo 6 e)
Ley de Seguridad de
Artículo 7
Ley de Seguridad de
TÍTULO IV DERECHOS Y CONDICIONES DE

Ley de Seguridad de LEGALIDAD PARA EL TRATAMIENTO DEDATOS
Artículo 8
Ley de Seguridad de
Artículo 8 a)
Ley de Seguridad de
Artículo 8 b)
Ley de Seguridad de
Artículo 8 c)
Ley de Seguridad de
Artículo 8 d)
Ley de Seguridad de
Artículo 8 e)
Ley de Seguridad de
Artículo 8 f)
Ley de Seguridad de
Artículo 9
Ley de Seguridad de
Artículo 10
Ley de Seguridad de
Artículo 10 a)
Ley de Seguridad de
Artículo 10 b)
Ley de Seguridad de
Artículo 10 c)
Ley de Seguridad de
Artículo 10 d)
Ley de Seguridad de
Artículo 10 e)
Ley de Seguridad de
Artículo 11
Ley de Seguridad de
Artículo 12
Ley de Seguridad de
Artículo 12 a)
Ley de Seguridad de
Artículo 12 b)
Ley de Seguridad de
Artículo 12 c)
Ley de Seguridad de
Artículo 12 d)
Ley de Seguridad de
Artículo 13
Ley de Seguridad de
Artículo 13 a)}
Ley de Seguridad de
Artículo 13 b)
Ley de Seguridad de
Artículo 13 c)
Ley de Seguridad de
TÍTULO V PROCEDIMIENTOS
Ley de Seguridad de
Artículo 14
Ley de Seguridad de
Artículo 15
Ley de Seguridad de
Artículo 16
Ley de Seguridad de
TÍTULO VI DEBERES DE LOS RESPONSABLES DEL

Ley de Seguridad de TRATAMIENTO Y ENCARGADOSDEL TRATAMIENTO
Artículo 17
Ley de Seguridad de
Artículo 17 a)
Ley de Seguridad de
Artículo 17 b)
Ley de Seguridad de
Artículo 17 c)
Ley de Seguridad de
Artículo 17 d)
Ley de Seguridad de
Artículo 17 e)
Ley de Seguridad de
Artículo 17 f)
Ley de Seguridad de
Artículo 17 g)
Ley de Seguridad de
Artículo 17 h)
Ley de Seguridad de
Artículo 17 i)
Ley de Seguridad de
Artículo 17 j)
Ley de Seguridad de
Artículo 17 k)
Ley de Seguridad de
Artículo 17 l)
Ley de Seguridad de
Artículo 17 m)
Ley de Seguridad de
Artículo 17 n)
Ley de Seguridad de
Artículo 17 o)
Ley de Seguridad de
Artículo 18
Ley de Seguridad de
Artículo 18 a)
Ley de Seguridad de
Artículo 18 b)
Ley de Seguridad de
Artículo 18 c)
Ley de Seguridad de
Artículo 18 d)
Ley de Seguridad de
Artículo 18 e)
Ley de Seguridad de
Artículo 18 f)
Ley de Seguridad de
Artículo 18 g)
Ley de Seguridad de
Artículo 18 h)
Ley de Seguridad de
Artículo 18 i)
Ley de Seguridad de
Artículo 18 j)
Ley de Seguridad de
Artículo 18 k)
Ley de Seguridad de
Artículo 18 l)
Ley de Seguridad de
TÍTULO VII DE LOS MECANISMOS DE VIGILANCIA Y

Ley de Seguridad de SANCIÓN
CAPÍTULO I De la autoridad de protección de datos

Ley de Seguridad de
Artículo 19
Ley de Seguridad de
Artículo 20
Ley de Seguridad de
Artículo 20 a)
Ley de Seguridad de
Artículo 21
Ley de Seguridad de
Artículo 21 a)
Ley de Seguridad de
Artículo 21 b)
Ley de Seguridad de
Artículo 21 c)
Ley de Seguridad de
Artículo 21 d)
Ley de Seguridad de
Artículo 21 e)
Ley de Seguridad de
Artículo 21 f)
Ley de Seguridad de
Artículo 21 g)
Ley de Seguridad de
Artículo 21 h)
Ley de Seguridad de
Artículo 21 i)
Ley de Seguridad de
Artículo 21 j)
Ley de Seguridad de
Artículo 22
Ley de Seguridad de
Artículo 23
Ley de Seguridad de
Artículo 23 a)
Ley de Seguridad de
Artículo 23 b)
Ley de Seguridad de
Artículo 23 c)
Ley de Seguridad de
Artículo 23 d)
Ley de Seguridad de
Artículo 24
Ley de Seguridad de
Artículo 24 a)
Ley de Seguridad de
Artículo 24 b)
Ley de Seguridad de
Artículo 24 c)
Ley de Seguridad de
Artículo 24 d)
Ley de Seguridad de
Artículo 24 e)
Ley de Seguridad de
Artículo 24 f)
Ley de Seguridad de
Artículo 25
Ley de Seguridad de
TÍTULO VIII TRANSFERENCIA DE DATOS A TERCEROS

Ley de Seguridad de PAÍSES
Artículo 26
Ley de Seguridad de
Artículo 26 a)
Ley de Seguridad de
Artículo 26 b)
Ley de Seguridad de
Artículo 26 c)
Ley de Seguridad de
Artículo 26 d)
Ley de Seguridad de
Artículo 26 e)
Ley de Seguridad de
Artículo 26 f)
Ley de Seguridad de
TÍTULO IX OTRAS DISPOSICIONES

Ley de Seguridad de
Artículo 27
Ley de Seguridad de
Artículo 28
Ley de Seguridad de
Artículo 29
Ley de Seguridad de
Artículo 30
Ley de Seguridad de
ISO 14001 (Sistema

de Gestión 4.1 Compresión de la organización y su contexto
Ambiental)
ISO 14001 (Sistema

4.2. Compresión de las necesidades y expectativas de
de Gestión
las partes interesadas
Ambiental)
ISO 14001 (Sistema
4.3. Determinar el alcance del Sistema de Gestión
de Gestión
Ambiental
Ambiental)
ISO 14001 (Sistema

de Gestión 4.4. Sistema de Gestión Ambiental
Ambiental)
ISO 14001 (Sistema

de Gestión 5.1. Liderazgo y compromiso
Ambiental)
ISO 14001 (Sistema

de Gestión 5.2. Política ambiental
Ambiental)
ISO 14001 (Sistema

de Gestión 5.3. Roles de la organización, responsabilidades y
autoridades
Ambiental)
ISO 14001 (Sistema

de Gestión 6.1. acciónes para tratar el riesgo y las oportunidades
Ambiental)
ISO 14001 (Sistema
de Gestión 6.1.2 Aspectos ambientales
Ambiental)
ISO 14001 (Sistema

de Gestión 6.1.3. Obligaciones de cumplimiento
Ambiental)
ISO 14001 (Sistema

de Gestión 6.1.4. Planificar acciónes
Ambiental)
ISO 14001 (Sistema

6.2. Objetivos ambientales y planificación para
de Gestión
alcanzarlos
Ambiental)
ISO 14001 (Sistema

de Gestión 7.1. Recursos
Ambiental)
ISO 14001 (Sistema
de Gestión 7.2. Competencia
Ambiental)
ISO 14001 (Sistema

de Gestión 7.3. Conciencia
Ambiental)
ISO 14001 (Sistema

de Gestión 7.4. Comunicación
Ambiental)
ISO 14001 (Sistema

de Gestión 7.5. Información documentada
Ambiental)
ISO 14001 (Sistema
de Gestión 8.1. Planificación y control operacional
Ambiental)
ISO 14001 (Sistema

de Gestión 8.2. Preparación y respuesta de emergencia
Ambiental)
ISO 14001 (Sistema

de Gestión 9.1. Seguimiento, medición, análisis y evaluación
Ambiental)
ISO 14001 (Sistema
de Gestión 9.2. Auditoría interna
Ambiental)
ISO 14001 (Sistema

de Gestión 9.3. Revisión por la Dirección
Ambiental)
ISO 14001 (Sistema

de Gestión 10.1. Generalidades de Mejoramiento
Ambiental)
ISO 14001 (Sistema

de Gestión 10.2. No conformidad y acciónes correctivas
Ambiental)
ISO 14001 (Sistema

de Gestión 10.3. Mejora continua
Ambiental)
Seguridad y Salud en 4.1 Requisitos generales

el Trabajo ISO 45001
Seguridad y Salud en
4.2 Política de S Y SO
el Trabajo ISO 45001 4.3 PLANIFICACIÓN
Seguridad y Salud en 4.3.1 Identificación de peligros, valoración de riesgos y
el Trabajo ISO 45001 determinación de los controles


4.3.2 Requisitos legales y otros
Seguridad y Salud en 4.3.3 Objetivos y programa(s)

Seguridad y Salud en 4.3.3 Objetivos y programa(s)

el Trabajo ISO 45001 4.4 IMPLEMENTACIÓN Y OPERACIÓN
Seguridad y Salud en 4.4.1 Recursos, funciones, responsabilidad, rendición
el Trabajo ISO 45001 de cuentas y autoridad


Seguridad y Salud en 4.4.2 Competencia, formación y toma de conciencia

Seguridad y Salud en 4.4.2 Competencia, formación y toma de conciencia

el Trabajo ISO 45001 4.4.2 Competencia, formación y toma de conciencia
4.4.3 Comunicación, participación y consulta
Seguridad y Salud en 4.4.3.1 Comunicación

Seguridad y Salud en 4.4.3.2 Participación y consulta

Seguridad y Salud en 4.4.3.2 Participación y consulta

4.4.3.2 Participación y consulta
4.4.4 Documentación
Seguridad y Salud en 4.4.5 Control de documentos

Seguridad y Salud en 4.4.5 Control de documentos

Seguridad y Salud en 4.4.6 Control Operacional

el Trabajo ISO 45001 4.4.6 Control Operacional
el Trabajo ISO 45001 4.4.7 Preparación y respuesta ante emergencias
Seguridad y Salud en 4.4.7 Preparación y respuesta ante emergencias

Seguridad y Salud en 4.4.7 Preparación y respuesta ante emergencias

4.4.7 Preparación y respuesta ante emergencias
el Trabajo ISO 45001 4.5 VERIFICACIÓN
el Trabajo ISO 45001 4.5.1 Medición y seguimiento del desempeño
4.5.1 Medición y seguimiento del desempeño
el Trabajo ISO 45001 4.5.1 Medición y seguimiento del desempeño
Seguridad y Salud en 4.5.2 Evaluación del cumplimiento legal y otros

Seguridad y Salud en 4.5.2.1 Evaluación del cumplimiento legal y otros

Seguridad y Salud en 4.5.3 Investigación de incidentes. No conformidades y

el Trabajo ISO 45001 acciónes correctivas y preventivas
4.5.3.1 Investigación de incidentes
el Trabajo ISO 45001 4.5.3.1 Investigación de incidentes
Seguridad y Salud en 4.5.3.2 No conformidad, acción correctiva y acción

el Trabajo ISO 45001 preventiva


4.5.4 Control de registros
4.5.5 Auditoría interna
Seguridad y Salud en 4.5.5 Auditoría interna

4.5.5 Auditoría interna
Seguridad y Salud en 4.5.5 Auditoría interna

el Trabajo ISO 45001 4.6 REVISIÓN POR LA DIRECCIÓN
4.6 REVISIÓN POR LA DIRECCIÓN
4.6 REVISIÓN POR LA DIRECCIÓN
MECI 1. Módulo de Control de Planeación y Gestión

MECI 1.1 Componente Talento Humano
MECI 1.1.1 Acuerdos, compromisos y protocolos éticos
MECI 1.1.2 Desarrollo del Talento Humano.

MECI
MECI 1.2.1 Planes, programas y proyectos

MECI 1.2.2 Modelo de operación por procesos
MECI 1.2.3 Estructura organizacional
MECI 1.2.3 Estructura organizacional
MECI 1.2.4 Indicadores de gestión

MECI 1.2.5 Políticas de operación
MECI 1.2.5 Políticas de operación
MECI 1.3 Componente Administración del Riesgo
MECI 1.3.1 Políticas de Administración del Riesgo
MECI 1.3.1 Políticas de Administración del Riesgo

MECI 1.3.2 Identificación del Riesgo
MECI 1.3.2.1 Contexto Estratégico
MECI 1.3.2.2 Identificación de Riesgos
MECI 1.3.2.2 Identificación de Riesgos
MECI 1.3.3 Análisis y valoración del riesgo
MECI 1.3.3.1 Análisis del riesgo
MECI 1.3.3.1 Análisis del riesgo
MECI 1.3.3.2 Valoración del riesgo

MECI 2. Módulo Control de Evaluación y Seguimiento
MECI 2.1 Componente Autoevaluación Institucional
MECI 2.1.1 Autoevaluación del Control y Gestión
MECI 2.1.1 Autoevaluación del Control y Gestión
MECI 2.2 Componente de Auditoría Interna
MECI 2.2.1 Auditoría Interna

MECI 2.3 Componente planes de mejoramiento
MECI 2.3.1 Plan de mejoramiento
MECI 2.3.1 Plan de mejoramiento
MECI 3. Eje transversal Información y Comunicación
MECI Información y Comunicación interna y externa

MECI Sistemas de Información y comunicación
Ley 1712 de 2014 Artículo 9° Literal a)


Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014 Artículo 9° Literal b)
Ley 1712 de 2014 Artículos 74 y 77

Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014 Artículo 9° Literal c)
Decreto 103 de 2015

Ley 1712 de 2014 Artículo 5° Parágrafo 1°
Ley 1712 de 2014
Ley 1712 de 2014

Ley 1712 de 2014
Ley 1712 de 2014

Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Artículo 9° Literal d)
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014 Artículo 9° Literal g)
Ley 1712 de 2014 Artículo 11 Literal c)
Ley 1712 de 2014 Artículo 11 Literal d)
Ley 1712 de 2014 Artículo 11 Literal i)
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014 Artículo 9° Literal e)
Ley 1712 de 2014
Ley 1712 de 2014 Artículo 9° Literal f)

Ley 1712 de 2014
Ley 1712 de 2014 Artículo 11 Literal g)
Ley 1712 de 2014 Artículo 11 Literal g)
Ley 1712 de 2014 Artículo 9° Literal d)

Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Artículo 11 Literal e)
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014 Artículo 11 Literal f)
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014 Resolución 3564 de 2015

MinTIC
Anexo 1
Resolución 3564 de 2015
MinTIC
Anexo 1
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Artículo 11 Literales a) y b)
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Artículo 11 Literal h)
Decreto 103 de 2015

Artículo 16 Parágrafo 1
Ley 1712 de 2014
Decreto 2573 de 2014 Manual 3,1 de Gobierno en
Línea

MinTIC
Artículo 6°
Anexo 1
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Decreto 103 de 2015
Ley 1712 de 2014 Artículo 4° numeral 7
Ley 1712 de 2014 Decreto 103 de 2015
Ley 1712 de 2014 Artículo 52
Ley 1712 de 2014
Decreto 103 de 2015
Ley 1712 de 2014
Artículo 17
Decreto 103 de 2015

Ley 1712 de 2014

Ley 1712 de 2014
Artículo 11 Literal j)
Artículo 11° Literal k)
Decreto 103 de 2015

Artículo 11°
Ley 1712 de 2014
Resolución 3564 de 2015 MinTIC
Artículo 4°
Anexo 1
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Artículo 12
Decreto 103 de 2015

Artículo 42
Ley 1712 de 2014
MinTIC
Anexo 1
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Decreto 103 de 2015
Ley 1712 de 2014
Artículo 43
Ley 1712 de 2014

Artículo 11 Literal j)
Artículo 13
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014 Artículo 17 Literal c)
Ley 1712 de 2014
Ley 1712 de 2014

Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Decreto 103 de 2015
Ley 1712 de 2014
Artículo 4° numeral 6
Decreto 103 de 2015

Artículo 4° numeral 8
Ley 1712 de 2014
Artículo 20
Acrtículo 21
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Anexo 1
Anexo 1
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Decreto 103 de 2015

Ley 1712 de 2014
Artículo 12°
Decreto 103 de 2015

Ley 1712 de 2014
Artículo 13°
Ley 1712 de 2014 Rendición de Cuentas a la Ciudadanía
Ley 1712 de 2014

Ley 1712 de 2014
Servicio al Ciudadano
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Ley 1712 de 2014
Gestión de Tecnologías de la Información
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014
Ley 1712 de 2014

Administración Pública
Nacional y Territorial
Acción Integral en la
Defensa Jurídica
Comunicación
Descripción
La organización debe determinar las cuestiones externas e internas que son

pertinentes para su propósito y que afecten su capacidad para lograr los X
resultados previstos de su sistema de gestión de la seguridad de la información.
Las partes interesadas que son pertinentes al sistema de gestión de la seguridad

de la información
Los requisitos de estas partes interesadas pertinentes a seguridad de la

información
La organización debe determinar los límites y la aplicabilidad del sistema de
gestión de la seguridad de la información para establecer su alcance
Las cuestiones externas e internas referidas en el numeral 4.1 X
Los requisitos referido en el numeral 4.2
Las interfaces y dependencias entre las actividades realizadas y por la
organización, y las que realizan otras organizaciones
El alcance debe estar disponible como información documentada
La organización debe establecer , implementar, mantener y mejorar

continuamente un sistema de gestión de la seguridad de la información, de
acuerdo con los requisitos de esta Norma.
La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema

de gestión de la seguridad de la información
Asegurando que se establezcan la política de la seguridad de la información y los
objetivos de la seguridad de la información, y que estos sean compatibles con la
dirección estratégica de la organización
Asegurando la integración de los requisitos del sistema de gestión de la seguridad
de la información en los procesos de la organización
Asegurando que los recursos necesarios para el sistema de gestión de la seguridad
de la información estén disponibles
Comunicando la importancia de una gestión de la seguridad de la información
eficaz y de la conformidad con los requisitos del sistema de gestión de la
seguridad de la información
Asegurando que el sistema de gestión de la seguridad de la información logre los
resultados previstos
Dirigiendo y apoyando a las personas, para contribuir a la eficacia del sistema de
gestión de la seguridad de la información
Promoviendo la mejora continua X X X
Apoyando otros roles pertinentes de la dirección, para demostrar su liderazgo
aplicado a sus áreas de responsabilidad
La alta dirección debe establecer una política de la seguridad de la información
Sea adecuada al propósito de la organización

Incluya objetivos de seguridad de la información (véase en numeral 6.2) o
proporcione el marco de referencia para el establecimiento de los objetivos de la
seguridad de la información.
Incluya el compromiso de cumplir de los requisitos aplicables relacionados con la
Incluya el compromiso de mejora continua del sistema de gestión de la seguridad
de la información
La política de la seguridad de la información debe
Estar disponible como información documentada
Comunicarse dentro de la organización
Estar disponible para las partes interesadas, según sea apropiado
La alta dirección debe asegurarse de que las responsabilidades y autoridades para

los roles pertinentes a la seguridad de la información se asignen y comuniquen
La alta dirección debe asignar la responsabilidades y autoridad
Asegurarse de que el sistema de gestión de la seguridad de la información sea

conforme con los requisitos de esta Norma
Informar a la alta dirección sobre el desempeño del sistema de gestión de la
Prevenir o reducir efectos indeseados X X X
Lograr la mejora continua X X X
Al planificar el sistema de gestión de seguridad de la información, de la
organización, debe considerar las cuestiones referidas en el numeral 4.1 y los
requisitos a que se hace referencia en el numeral 4.2, y determinar los riesgos y
oportunidades que es necesario tratar
Asegurarse de que el sistema de gestión de la seguridad de la información pueda

lograr sus resultados previstos
Prevenir o reducir efectos indeseados X X X
Lograr la mejora continua X X X
La organización debe planificar X X X
Las acciones para tratar estos riesgos y oportunidades X X X
La manera de X X X
Integrar e implementar estas acciones en sus procesos del sistema de gestión de
la seguridad de la información
Evaluar la eficacia de estas acciones
La organización debe definir y aplicar un proceso de valoración de riesgos de la
Establezca y mantenga criterios de riesgo de la seguridad de la información que
incluyan
Los criterios de aceptación de riesgos
Los criterios para realizar valoraciones de riesgos de la seguridad e la información

Asegure que las valoraciones repetidas de riesgos de la seguridad de la
información produzcan resultados consistentes, válidos y comparables
Identifique los riesgos de la seguridad de la información
Aplicar el proceso de valoración de riesgos de la seguridad de la información para

identificar los riesgos asociados con la pérdida de confidencialidad, de integridad
y de disponibilidad de información dentro del alcance del sistema de gestión de la
Identificar los dueños del riesgo

Analice los riesgos de la seguridad de la información
Valorar las consecuencias potenciales que resultan si se materializan los riesgos
identificados en 6.1.2 c) 1)
Valorar la probabilidad realista de que ocurran los riesgos identificados en 6.1.2 c)
1)
Determinar los niveles de riesgo
Evalúe los riesgos de seguridad de la información
Comparar los resultados del análisis de riesgo con los criterios de riesgo
establecidos en 6.1.2 a)
Priorizar los riesgos analizados para el tratamiento de riesgos
La organización debe conservar información documentada acerca del proceso de
valoración de riesgos de la seguridad de la información
La organización debe definir y aplicar un proceso de tratamiento de riesgos de la
Seleccionar las opciones apropiadas de tratamiento de riesgos de la seguridad de

la información, teniendo en cuenta los resultados de la valoración de riesgos
Determinar todos los controles que sean necesarios para implementar las
opciones escogidas para el tratamiento de riesgos de la seguridad de la
información
Comparar los controles determinados en 6.1.3 b) con los del Anexo A, y verificar
que no se han omitidos controles necesarios
Producir una declaración de aplicabilidad que contenga los controles necesarios

(véase el numeral 6.1.3 b) y c)) y la justificación de las inclusiones, ya sea que se
implementan o no, y la justificación para las exclusiones de los controles del
Anexo A
Formular un plan de tratamiento de riesgos de la seguridad de la información
Obtener, de parte de los dueños de los riesgos, la aprobación del plan de

tratamiento de riesgos de la seguridad de la información, y la aceptación de los
riesgos residuales de la seguridad de la información
La organización debe establecer los objetivos de seguridad de la información en
las funciones y niveles pertinentes
Ser coherentes con la política de seguridad de la información
Ser medibles (si es posible)
Tener en cuenta los requisitos de la seguridad de la información aplicables, y los

resultados de la valoración y del tratamiento de los riesgos
Ser comunicados
Ser actualizados según sea apropiado
Las implicaciones de la no conformidad con los requisitos del sistema de gestión

de la seguridad de la información
La organización debe determinar la necesidad de comunicaciones internas y

externas pertinentes al sistema de gestión de la seguridad de la información
Lo que se va a hacer
Que recursos se requerirán
Quién será responsable
Cuándo se finalizará
Cómo se evaluarán los resultados
La identificación y descripción (por ejemplo, título, fecha, autor o número de
referencia)
La organización debe determinar y proporcionar los recursos necesarios para el
establecimiento, implementación, mantenimiento y mejora continua del sistema
La revisión y aprobación con respecto a la idoneidad y adecuación
Determinar la competencia necesaria de las personas que realizan, bajo su
control, un trabajo que afecta su desempeño de la seguridad de la información
Asegurarse de que estas personas sean competentes, basándose en la educación,

formación o experiencia adecuada
Cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y
evaluar la eficacia de las acciones tomadas
Conservar la información documentada apropiada, como evidencia de la
competencia
Las personas que realizan el trabajo bajo el control de la organización deben
tomar conciencia
La política de la seguridad de la información
Su contribución a la eficacia del sistema de gestión de la seguridad de la
información, incluyendo los beneficios de una mejora del desempeño de la
seguridad de la información X
Las implicaciones de la no conformidad con los requisitos del sistema de gestión
de la seguridad de la información X
La organización debe determinar la necesidad de comunicaciones internas y

externas pertinentes al sistema de gestión de la seguridad de la información
X
El contenido de la comunicación X
Cuándo comunicar X
A quién comunicar X
Quién debe comunicar X
Los procesos para llevar a cabo la comunicación
La organización debe asegurar que los procesos contratados externamente estén
controlados
El sistema de gestión de seguridad de la información de la organización
La información documentada requerida por esta Norma
La información documentada que la organización ha determinado que es

necesaria para la eficacia del sistema de gestión de la seguridad de la información
X X X
Cuando se crea y actualiza información documentada, la organización debe
asegurarse de que lo siguiente sea apropiado X X X
La identificación y descripción (por ejemplo, título, fecha, autor o número de
referencia) X X X
El formato (por ejemplo, idioma, versión del software, gráficos) y sus medios de
soporte (por ejemplo, papel, electrónico) X X X
La revisión y aprobación con respecto a la idoneidad y adecuación X X X
La información documentada requerida por el sistema de gestión de la seguridad

de la información y por esta Norma se debe controlar para asegurarse de que
X X X
Esté disponible y adecuada para su uso, donde y cuando se necesite X X X
Esté protegida adecuadamente (por ejemplo, contra pérdida de la
confidencialidad, uso inadecuado, o pérdida de integridad) X X X
Para el control de la información documentada, la organización debe tratar las
siguientes actividades, según sea aplicable X X X
Distribución, acceso, recuperación y uso
X X X
Almacenamiento y preservación, incluida la preservación de la legibilidad
X X X
Control de cambios (por ejemplo, control de versión) X X X
Retención y disposición X X X
La información documentada de origen externo, que la organización ha
determinado que es necesaria para la planificación y operación del sistema de
gestión de la seguridad de la información, se debe identificar y controlar, según
sea adecuado
La organización debe llevar a cabo auditorías internas a intervalos planificados,

para proporcionar información acerca de si el sistema de gestión de la seguridad
de la información
La organización debe planificar, implementar y controlar los procesos necesarios

para cumplir los requisitos de seguridad de la información y para implementar las
acciones determinadas en el numeral 6.1.
La organización también debe implementar planes para lograr los objetivos de la

seguridad de la información determinadas en el numeral 6.2.
La organización debe mantener información documentada en la medida necesaria

para tener la confianza en que los procesos se han llevado a cabo según lo
planificado
La organización debe controlar los cambios planificados y revisar las

consecuencias de los cambios no previstos, tomando acciones para mitigar los
efectos adversos, cuando sea necesario
La organización debe asegurar que los procesos contratados externamente estén
controlados
La organización debe llevar a cabo valoraciones de riesgos de la seguridad de la

información a intervalos planificados o cuando se propongan u ocurran cambios
significativos, teniendo en cuenta los criterios establecidos en el numeral 6.1.2 a)
La organización debe conservar información documentada de los resultados de

las valoraciones de riesgos de la seguridad de la información
La organización debe implementar el plan de tratamiento de riesgos de la

La organización debe conservar información documentada de los resultados del
tratamiento de riesgos de la seguridad de la información
El estado de las acciones con relación a las revisiones previas por la dirección
La organización debe evaluar el desempeño de la seguridad de la información y la

eficacia del sistema de gestión de la seguridad de la información
La organización debe determinar
A qué es necesario hacer seguimiento y qué es necesario medir, incluidos los
procesos y controles de la seguridad de la información
Los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable,
para asegurar resultados válidos
Cuándo se deben llevar a cabo el seguimiento y la medición
Quién debe llevar a cabo el seguimiento y la medición
Cuándo se deben analizar y evaluar los resultados del seguimiento y de la
medición
Quién debe analizar y evaluar estos resultados
La organización debe conservar información documentada apropiada como
evidencia de los resultados del monitoreo y de la medición X X X
para proporcionar información acerca de si el sistema de gestión de la seguridad
de la información
Es conforme con
Los propios requisitos de la organización para su sistema de gestión de la
Los requisitos de esta Norma
para proporcionar información acerca de si el sistema de gestión de e la seguridad
de la información
Está implementando y mantenido eficazmente
La organización debe
Planificar, establecer, implementar y mantener uno o varios programas de

auditoría que incluyan la frecuencia, los métodos, las responsabilidades, los
requisitos de planificación, y la elaboración de informes. Los programas de
auditorías deben tener en cuenta la importancia de los procesos involucrados y
los resultados de las auditorías previas
Para cada auditoría, definir los criterios y el alcance de éstas

Seleccionar los auditores y llevar a cabo auditorías para asegurarse de la
objetividad y la imparcialidad del proceso de auditoría
Asegurarse de que los resultados se las auditorías se informan a la dirección
pertinente
Conservar información documentada como evidencia de la implementación del
programa de auditoría y de los resultados de ésta
La alta dirección debe revisar el sistema de gestión de la seguridad de la
información de la organización a intervalos planificados, para asegurarse de su
convivencia, adecuación y eficacia continuas
La revisión por la dirección debe incluir consideraciones sobre:
El estado de las acciones con relación a las revisiones previas por la dirección
Los cambios en las cuestiones externas e internas que sean pertinentes al sistema
Retroalimentación sobre el desempeño de la seguridad de la información,
incluidas las tendencias relativas a
No conformidades y acciones correctivas
Seguimiento y resultados de las mediciones
Resultados de la auditoría
Cumplimiento de los objetivos de la seguridad de la información
Retroalimentación de las partes interesadas
Resultados de la valoración de riesgos y estado del plan de tratamiento de riesgos

x x x
Las oportunidades de mejora continúa x x x
Los elementos de salida de la revisión por la dirección deben incluir las decisiones
relacionadas con las oportunidades de mejora continua y cualquier necesidad de
cambio en el sistema de gestión de la seguridad de la información
La organización debe conservar información documentada como evidencia de los

resultados de las revisiones por la dirección
Cuando ocurra una no conformidad, la organización debe x x x

Reaccionar ante la no conformidad, y según sea aplicable x x x
Tomar acciones para controlarla y corregirla x x x
Hacer frente a las consecuencias x x x
Cuando ocurra una no conformidad, la organización debe x x x
Evaluar la necesidad de acciones para eliminar las causas de la no conformidad,

con el fin de que no vuelva a ocurrir ni ocurra en otra parte, mediante
x x x
La revisión de la no conformidad x x x
La determinación de las causas de la no conformidad x x x
La determinación de si existen no conformidades similares, o que potencialmente
podrían ocurrir x x x
Cuando ocurra una no conformidad, la organización debe
Implementar cualquier acción necesaria x x x
Revisar la eficacia de las acciones correctivas tomadas
Hacer cambios al sistema e gestión de la seguridad e la información
Las acciones correctivas deben ser apropiadas a los efectos de las no
conformidades encontradas
La organización debe conservar información documentada adecuada, como
evidencia
La naturaleza de las no conformidades y cualquier acción posterior tomada
Los resultados de cualquier acción correctiva
La organización debe mejorar continuamente la conveniencia, adecuación y

eficacia del sistema de gestión de la seguridad de la información
Principios para el Tratamiento de datos personales. En el desarrollo,
interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e
integral, los siguientes principios:
Principio de legalidad en materia de Tratamiento de datos: El Tratamiento aquí se

refiere la presente ley es una actividad reglada que debe sujetarse a lo
establecido en ella y en las demás disposiciones que la desarrollen;
x
Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de
acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;
x
Principio de libertad: El Tratamiento sólo puede ejercerse con el
consentimiento, previo, expreso e informado del Titular. Los datos personales no
podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de
mandato legal o judicial que releve el consentimiento;
x
Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser
veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el
Tratamiento de datos parciales, incompletos, fracciónados o que induzcan a
error;
x
Principio de transparencia: En el Tratamiento debe garantizarse el derecho del
Titular a obtener del Responsable del Tratamiento o del Encargado del
Tratamiento, en cualquier momento y sin restricciones, información acerca de la
existencia de datos que le conciernan;
x
Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites
que se derivan de la naturaleza de los datos personales, de las
disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento
sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas
previstas en la presente ley; Los datos personales, salvo la información pública, no
podrán estar disponibles en Internet u otros medios de divulgación o
comunicación masiva, salvo que el acceso sea técnicamente controlable para
brindar un conocimiento restringido sólo a los Titulares o terceros autorizados
conforme a la presente ley;
x
Principio de seguridad: La información sujeta a Tratamiento por el
Responsable del Tratamiento o Encargado del Tratamiento a que se refiere
la presente ley, se deberá manejar con las medidas técnicas, humanas
y administrativas que sean necesarias para otorgar seguridad a los registros
evitando su adulteración, pérdida, consulta, uso o acceso no autorizado
o fraudulento;
x
Principio de confidencialidad: Todas las personas que intervengan en el
Tratamiento de datos personales que no tengan la naturaleza de públicos están
obligadas a garantizar la reserva de la información, inclusive después de finalizada
su relación con alguna de las labores que comprende el Tratamiento,
pudiendo sólo realizar suministro o comunicación de datos personales
cuando ello corresponda al desarrollo de las actividades autorizadas en la
presente ley y en los términos de la misma.
x
Datos sensibles. Para los propósitos de la presente ley, se entiende por datos
sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido
puede generar su discriminación, tales como aquellos que revelen el origen
racial o étnico, la orientación política, las convicciones religiosas o
filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos
humanos o que promueva intereses de cualquier partido político o que garanticen
los derechos y garantías de partidos políticos de oposición así como los
datos relativos a la salud, a la vida sexual y los datos biométricos.
Tratamiento de datos sensibles. Se prohíbe el Tratamiento de datos

sensibles, excepto cuando:
El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los

casos que por ley no sea requerido el otorgamiento de dicha autorización;
El Tratamiento sea necesario para salvaguardar el interés vital del Titular y estese
encuentre física o jurídicamente incapacitado. En estos eventos, los
representantes legales deberán otorgar su autorización;
El Tratamiento sea efectuado en el curso de las actividades legítimas y con las

debidas garantías por parte de una fundación, ONG, asociación o cualquier otro
organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa
o sindical, siempre que se refieran exclusivamente a sus miembros o a las
personas que mantengan contactos regulares por razón de su finalidad. En estos
eventos, los datos no se podrán suministrar a terceros sin la autorización del
Titular;
El Tratamiento se refiera a datos que sean necesarios para el reconocimiento,

ejercicio o defensa de un derecho en un proceso judicial;
El Tratamiento tenga una finalidad histórica, estadística o científica. En este

evento deberán adoptarse las medidas conducentes a la supresión de identidad
de los Titulares.
Derechos de los niños, niñas y adolescentes. En el Tratamientose asegurará el
respeto a los derechos prevalentes de los niños, niñas y adolescentes. Queda
proscrito el Tratamiento de datos personales de niños, niñas y
adolescentes, salvo aquellos datos que sean de naturaleza pública. Es tarea del
Estado y las entidades educativas de todo tipo proveer información y capacitar a
los representantes legales y tutores sobre los eventuales riesgos a los que se
enfrentan los niños, niñas y adolescentes respecto del Tratamiento indebido
de sus datos personales, y proveer de conocimiento acerca del uso
responsable y seguro por parte de niños, niñas y adolescentes de sus datos
personales, su derecho a la privacidad y protección de su información personal y
la de los demás. El Gobierno Nacional reglamentará la materia, dentro de los
seis(6) meses siguientes a la promulgación de esta ley.
Derechos de los Titulares. El Titular de los datos personales tendrá los siguientes
derechos:
Conocer, actualizar y rectificar sus datos personales frente a los Responsables del
Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer,
entre otros frente a datos parciales, inexactos, incompletos, fracciónados,
que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o
no haya sido autorizado;
Solicitar prueba de la autorización otorgada al Responsable del Tratamiento

salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de
conformidad con lo previsto en el artículo 10 de la presente ley;
Ser informado por el Responsable del Tratamiento o el Encargado del

Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos
personales;
Presentar ante la Superintendencia de Industria y Comercio quejas por

infracciones a lo dispuesto en la presente ley y las demás normas que la
modifiquen, adicionen o complementen;
Revocar la autorización y/o solicitar la supresión del dato cuando en el

Tratamiento no se respeten los principios, derechos y garantías constitucionales y
legales. La revocatoria y/o supresión procederá cuando la Superintendencia
de Industria y Comercio haya determinado que en el Tratamiento el Responsable
o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución;
Acceder en forma gratuita a sus datos personales que hayan sido objeto de
Tratamiento.
Autorización del Titular. Sin perjuicio de las excepciones previstas en la ley, en

el Tratamiento se requiere la autorización previa e informada del Titular, la
cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta
posterior.
Casos en que no es necesaria la autorización. La autorización del Titular no será

necesaria cuando se trate de:
Información requerida por una entidad pública o administrativa en ejercicio de

sus funciones legales o por orden judicial;
Datos de naturaleza pública;
x
Casos de urgencia médica o sanitaria;
Tratamiento de información autorizado por la ley para fines históricos,

estadísticos o científicos;
Datos relacionados con el Registro Civil de las Personas. Quien acceda a los datos
personales sin que medie autorización previa deberá en todo caso cumplir con las
disposiciones contenidas en la presente ley.
Suministro de la información. La información solicitada podrá ser suministrada

por cualquier medio, incluyendo los electrónicos, según lo requiera el Titular. La
información deberá ser de fácil lectura, sin barreras técnicas que impidan su
acceso y deberá corresponder en un todo a aquella que repose en la base de
datos. El Gobierno Nacional establecerá la forma en la cual los Responsables
del Tratamiento y Encargados del Tratamiento deberán suministrar la
información del Titular, atendiendo a la naturaleza del dato personal, Esta
reglamentación deberá darse a más tardar dentro del año siguiente a la
promulgación de la presente ley.
Deber de informar al Titular. El Responsable del Tratamiento, al momento de
solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo
siguiente:
El Tratamiento al cual serán sometidos sus datos personales y la finalidad del

mismo;
El carácter facultativo de la respuesta a las preguntas que le sean hechas,

cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y
adolescentes;
Los derechos que le asisten como Titular;
La identificación, dirección física o electrónica y teléfono del Responsable del

Tratamiento. Parágrafo. El Responsable del Tratamiento deberá conservar
prueba del cumplimiento de lo previsto en el presente artículo y, cuando el
Titular lo solicite, entregarle copia de esta.
Personas a quienes se les puede suministrar la información. La información que

reúna las condiciones establecidas en la presente ley podrá suministrarse a
las siguientes personas:
A los Titulares, sus causahabientes o sus representantes legales;
A las entidades públicas o administrativas en ejercicio de sus funciones legal eso

por orden judicial;
A los terceros autorizados por el Titular o por la ley.

Consultas. Los Titulares o sus causahabientes podrán consultar la información
personal del Titular que repose en cualquier base de datos, sea esta del sector
público o privado. El Responsable del Tratamiento o Encargado del
Tratamiento deberán suministrar a estos toda la información contenida en
el registro individual o que esté vinculada con la identificación del Titularla
consulta se formulará por el medio habilitado por el Responsable del
Tratamiento o Encargado del Tratamiento, siempre y cuando se pueda mantener
prueba de estala consulta será atendida en un término máximo de diez (10)
días hábiles contados a partir de la fecha de recibo de la misma. Cuando
no fuere posible atender la consulta dentro de dicho término, se
informará al interesado, expresando los motivos de la demora y señalando la
fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los
cinco (5) días hábiles siguientes al vencimiento del primer término. Parágrafo. Las
disposiciones contenidas en leyes especiales o los reglamentos expedidos
por el Gobierno Nacional podrán establecer términos inferiores,
atendiendo a la naturaleza del dato personal.
Reclamos. El Titular o sus causahabientes que consideren que la información

contenida en una base de datos debe ser objeto de corrección, actualización
o supresión, o cuando adviertan el presunto incumplimiento de cualquiera
de los deberes contenidos en esta ley, podrán presentar un reclamo ante el
Responsable del Tratamiento o el Encargado del Tratamiento el cual será
tramitado bajo las siguientes reglas:1. El reclamo se formulará mediante
solicitud dirigida al Responsable del Tratamiento o al Encargado del
Tratamiento, con la identificación del Titular, la descripción de los hechos que
dan lugar al reclamo, la dirección, y acompañando los documentos que se
quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al
interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para
que subsane las fallas. Transcurridos dos (2) meses desde la fecha del
requerimiento, sin que el solicitante presente la información requerida, se
entenderá que ha desistido del reclamo. En caso de que quien reciba el reclamo
no sea competente para resolverlo, dará traslado a quien corresponda en un
término máximo de dos (2) días hábiles e informará de la situación al
interesado.2. Una vez recibido el reclamo completo, se incluirá en la base
de datos una leyenda que diga "reclamo en trámite" y el motivo del mismo,
en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá
mantenerse hasta que el reclamo sea decidido.3. El término máximo para
atender el reclamo será de quince (15) días hábiles contados a partir del día
siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo
dentro de dicho término, se informará al interesado los motivos de la demora y la
fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los
ocho (8) días hábiles siguientes al vencimiento del primer término.
Requisito de procedibilidad. El Titular o causahabiente sólo podrá elevar queja
ante la Superintendencia de Industria y Comercio una vez haya agotado el
trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado
del Tratamiento.
Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento

deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones
previstas en la presente ley y en otras que rijan su actividad:
Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho

dehábeas data;
Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la

respectiva autorización otorgada por el Titular;
Informar debidamente al Titular sobre la finalidad de la recolección y los

derechos que le asisten por virtud de la autorización otorgada;
Conservar la información bajo las condiciones de seguridad necesarias para

impedir su adulteración, pérdida, consulta, uso o acceso no autorizado
o fraudulento;
Garantizar que la información que se suministre al Encargado del Tratamiento sea

veraz, completa, exacta, actualizada, comprobable y comprensible;
x x x
Actualizar la información, comunicando de forma oportuna al Encargado del
Tratamiento, todas las novedades respecto de los datos que previamente le haya
suministrado y adoptar las demás medidas necesarias para que la
información suministrada a este se mantenga actualizada;
x x x
Rectificar la información cuando sea incorrecta y comunicar lo pertinente al
Encargado del Tratamiento;
x x x
Suministrar al Encargado del Tratamiento, según el caso, únicamente datos
cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en
la presente ley;
Exigir al Encargado del Tratamiento en todo momento, el respeto a las

condiciones de seguridad y privacidad de la información del Titular;
Tramitar las consultas y reclamos formulados en los términos señalados en la

presente ley;
x x x
Adoptar un manual interno de políticas y procedimientos para garantizar el
adecuado cumplimiento de la presente ley y en especial, para la atención
de consultas y reclamos;
x x x
Informar al Encargado del Tratamiento cuando determinada información se
encuentra en discusión por parte del Titular, una vez se haya presentado la
reclamación y no haya finalizado el trámite respectivo;
Informar a solicitud del Titular sobre el uso dado a sus datos;
Informar a la autoridad de protección de datos cuando se presenten violaciones a

los códigos de seguridad y existan riesgos en la administración de la información
de los Titulares.
x x x
Cumplir las instrucciones y requerimientos que imparta la Superintendencia de
Industria y Comercio.
Deberes de los Encargados del Tratamiento. Los Encargados del Tratamiento
deberán cumplir los siguientes deberes, sin perjuicio de las demás
disposiciones previstas en la presente ley y en otras que rijan su actividad:
Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho

dehábeas data;
x x x
Conservar la información bajo las condiciones de seguridad necesarias para
impedir su adulteración, pérdida, consulta, uso o acceso no autorizado
o fraudulento;
Realizar oportunamente la actualización, rectificación o supresión de los datos en

los términos de la presente ley;
Actualizar la información reportada por los Responsables del Tratamiento

dentro de los cinco (5) días hábiles contados a partir de su recibo;
x x x
Tramitar las consultas y los reclamos formulados por los Titulares en los
términos señalados en la presente ley;
x x x
Adoptar un manual interno de políticas y procedimientos para garantizar el
adecuado cumplimiento de la presente ley y, en especial, para la atención
de consultas y reclamos por parte de los Titulares;
x x x
Registrar en la base de datos las leyenda "reclamo en trámite" en la forma en que
se regula en la presente ley;
Insertar en la base de datos la leyenda "información en discusión judicial" una vez

notificado por parte de la autoridad competente sobre procesos judiciales
relacionados con la calidad del dato personal;
Abstenerse de circular información que esté siendo controvertida por el Titular y
cuyo bloqueo haya sido ordenado por la Superintendencia de Industria
y Comercio;
x x x
Informar a la Superintendencia de Industria y Comercio cuando se presenten
violaciones a los códigos de seguridad y existan riesgos en la administración de la
información de los Titulares;
Permitir el acceso a la información únicamente a las personas que pueden tener

acceso a ella
Cumplir las instrucciones y requerimientos que imparta la Superintendencia de

Industria y Comercio. Parágrafo. En el evento en que concurran las calidades
de Responsable del Tratamiento y Encargado del Tratamiento en la misma
persona, le será exigible el cumplimiento de los deberes previstos para cada uno. .
El Gobierno Nacional en el plazo de seis (6) meses contados a partir de la
fecha de entrada en vigencia de la presente ley incorporará dentro de la
estructura de la Superintendencia de Industria y Comercio un despacho de
Superintendente Delegado para ejercer las funciones de Autoridad de Protección
de Datos. Parágrafo 2 . La vigilancia del tratamiento de los datos personales
regulados en la Ley 1266 de 2008 se sujetará a lo previsto en dicha norma.
Autoridad de Protección de Datos. La Superintendencia de Industria y

Comercio, a través de una Delegatura para la Protección de Datos
Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos
personales se respeten los principios, derechos, garantías y procedimientos
previstos en la presente ley. Parágrafo 1
Recursos para el ejercicio de sus funciones. La Superintendencia de Industria y

Comercio contará con los siguientes recursos para ejercer las funciones que
le son atribuidas por la presente ley:
Los recursos que le sean destinados en el Presupuesto General de la Nación.
Funciones. La Superintendencia de Industria y Comercio ejercerá las siguientes

funciones:
Velar por el cumplimiento de la legislación en materia de protección de datos

personales;
Adelantar las investigaciones del caso, de oficio o a petición de parte y, como

resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el
derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho,
podrá disponer que se conceda el acceso y suministro de los datos,
la rectificación, actualización o supresión de los mismos;
Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las

pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de
sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos
mientras se adopta una decisión definitiva;
Promover y divulgar los derechos de las personas en relación con el

Tratamiento de datos personales e implementará campañas pedagógicas
para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del
derecho fundamental a la protección de datos;
Impartir instrucciones sobre las medidas y procedimientos necesarios para
laadecuación de las operaciones de los Responsables del Tratamiento y
Encargados del Tratamiento a las disposiciones previstas en la presente ley;
Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento

lainformación que sea necesaria para el ejercicio efectivo de sus funciones.
Proferir las declaraciones de conformidad sobre las

transferenciasinternacionales de datos;
Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenesy

los actos necesarios para su administración y funcionamiento;
Sugerir o recomendar los ajustes, correctivos o adecuaciones a la

normatividadque resulten acordes con la evolución tecnológica, informática o
comunicacional;
Requerir la colaboración de entidades internacionales o extranjeras cuando
seafecten los derechos de los Titulares fuera del territorio colombiano con
ocasión, entre otras, de la recolección internacional de datos personajes;
Trámite. La Superintendencia de Industria y Comercio, una vezestablecido el

incumplimiento de las disposiciones de la presente ley por parte del Responsable
del Tratamiento o el Encargado del Tratamiento, adoptará las medidas o
impondrá las sanciones correspondientes.En lo no reglado por la presente ley
y los procedimientos correspondientes seseguirán las normas pertinentes del
Código Contencioso Administrativo.
Sanciones. La Superintendencia de Industria y Comercio podráimponer a los

Responsables del Tratamiento y Encargados del Tratamiento las siguientes
sanciones:
Multas de carácter personal e institucional hasta por el equivalente de dos

mil(2.000)
Suspensión de las actividades relacionadas con el Tratamiento hasta por

untérmino de seis (6)
Cierre temporal de las operaciones relacionadas con el Tratamiento una
veztranscurrido el término de suspensión sin que se hubieren adoptado los
correctivos ordenados por la Superintendencia de Industria y Comercio;
Cierre inmediato y definitivo de la operación que involucre el Tratamiento

dedatos sensibles;Parágrafo. Las sanciones indicadas en el presente artículo sólo
aplican para laspersonas de naturaleza privada. En el evento en el cual la
Superintendencia de Industria y Comercio advierta un presunto incumplimiento
de una autoridad pública a las disposiciones de la presente ley, remitirá la
actuación a la Procuraduría General de la Nación para que adelante la
investigación respectiva.
Criterios para graduar las sanciones. Las sanciones porinfracciónes a las

que se refieren el artículo anterior, se graduarán atendiendo los siguientes
criterios, en cuanto resulten aplicables:
La dimensión del daño o peligro a los intereses jurídicos tutelados por

lapresente ley;
El beneficio económico obtenido por el infractor o terceros, en virtud de

lacomisión de la infracción;
La reincidencia en la comisión de la infracción;
La resistencia, negativa u obstrucción a la acción investigadora o de vigilanciade la

Superintendencia de Industria y Comercio;
La renuencia o desacato a cumplir las órdenes impartidas por

laSuperintendencia de Industria y Comercio;
El reconocimiento o aceptación expresos que haga el investigado sobre

lacomisión de la infracción antes de la imposición de la sanción a que hubiere
lugar.CAPÍTULO IIIDel Registro Nacional de Bases de Datos
Definición. El Registro Nacional de Bases de Datos es el directoriopúblico de las
bases de datos sujetas a Tratamiento que operan en el país.El registro será
administrado por la Superintendencia de Industria y Comercio yserá de libre
consulta para los ciudadanos.Para realizar el registro de bases de datos, los
interesados deberán aportar a laSuperintendencia de Industria y Comercio las
políticas de tratamiento de la información, las cuales obligarán a los
responsables y encargados del mismo, y cuyo incumplimiento acarreará las
sanciones correspondientes. Las políticas de Tratamiento en ningún caso
podrán ser inferiores a los deberes contenidos en la presente ley.Parágrafo. El
Gobierno Nacional reglamentará, dentro del año siguiente a lapromulgación
de la presente ley, la información mínima que debe contener el Registro, y
los términos y condiciones bajo los cuales se deben inscribir en este los
Responsables del Tratamiento.
Prohibición. Se prohíbe la transferencia de datos personales decualquier tipo

a países que no proporcionen niveles adecuados de protección de datos. Se
entiende que un país ofrece un nivel adecuado de protección de datos cuando
cumpla con los estándares fijados por la Superintendencia de Industria y
Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los
que la presente ley exige a sus destinatarios.Esta prohibición no regirá cuando se
trate de:
Información respecto de la cual el Titular haya otorgado su autorización expresae

inequívoca para la transferencia;
Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento

delTitular por razones de salud o higiene pública;
Transferencias bancarias o bursátiles, conforme a la legislación que les

resulteaplicable;
Transferencias acordadas en el marco de tratados internacionales en los cualesla

República de Colombia sea parte, con fundamento en el principio de
reciprocidad;
Transferencias necesarias para la ejecución de un contrato entre el Titular y

elResponsable del Tratamiento, o para la ejecución de medidas
precontractuales siempre y cuando se cuente con la autorización del Titular;
Transferencias legalmente exigidas para la salvaguardia del interés público,
opara el reconocimiento, ejercicio o defensa de un derecho en un proceso
judicial.Parágrafo 1°. En los casos no contemplados como excepción en el
presenteartículo, corresponderá a la Superintendencia de Industria y Comercio,
proferir la declaración de conformidad relativa a la transferencia internacional
de datos personales. Para el efecto, el Superintendente queda facultado
para requerir información y adelantar las diligencias tendientes a establecer el
cumplimiento de los presupuestos que requiere la viabilidad de la
operación.Parágrafo 2°. Las disposiciones contenidas en el presente
artículo seránaplicables para todos los datos personales, incluyendo aquellos
contemplados en la Ley 1266 de 2008.
Normas Corporativas Vinculantes. El Gobierno Nacional expedirála

reglamentación correspondiente sobre Normas Corporativas Vinculantes para la
certificación de buenas prácticas en protección de datos, personales y
su transferencia a terceros países.
x
Régimen de transición. Las personas que a la fecha de entrada envigencia de la
presente ley ejerzan alguna de las actividades acá reguladas tendrán un
plazo de hasta seis (6) meses para adecuarse a las disposiciones
contempladas en esta ley.
x
Derogatorias. La presente ley deroga todas las disposiciones que lesean contrarias
a excepción de aquellas contempladas en el artículo 2
x
Vigencia. La presente ley rige a partir de su promulgación.
La entidad tiene que determinar las cuestiones externas e internas que son
relevantes para el propósito perseguido que afecta a la capacidad de conseguir
los resultados deseados en el Sistema de Gestión Ambiental.
La entidad tiene que establecer:

• Las partes interesadas que sean relevantes
• Las necesidades y expectativas relevantes
• Las necesidades y expectativas que se convierten en obligaciones de
cumplimiento
La entidad tiene que establecer los límites para determinar el alcance
considerando:
• Cuestiones externas e internas
x x x
• Obligaciones de cumplimiento
• Unidad organizativa
• Actividades, productos y servicios
La entidad tiene que establecer, implementar, mantener y mejorar de forma

continua el Sistema de Gestión Ambiental, incluyendo los procesos necesarios y x x x
sus interacciónes.
La dirección de la organización debe mostrar su liderazgo y compromiso con

respecto al Sistema de Gestión Ambiental (SGA) al:
• Asumir responsabilidad por la eficacia y efectividad del SGA
• Garantizar la política ambiental, los objetivos y que sean compatibles con la
dirección estratégica
• Garantiza la integración de los requisitos del SGA durante los procesos de
negocio
• Asegurar los recursos necesarios para el SGA
• Comunicar la importancia de gestionar el medio ambiente de forma eficaz
según los requisitos que establece el SGA
• Dirige y apoya a las personas que favorecen la eficacia del SGA
• Promueve la mejora continua
• Apoya a otras funciones de gestión
La gerencia de la organización debe establecer, implementar, mantener

documentada y comunicar dentro de la entidad una política ambiental que:
• Es apropiada para el propósito y el contexto de la entidad, en la que se incluye
la naturaleza, los impactos ambientales, etc.
• Proporciona un marco para establecer los objetivos ambientales
• Incluye los compromisos para la protección del medio ambiente, para el
cumplimiento de todas las obligaciones y para la mejora continua del SGA.
* Está a disposición de las partes interesadas.
La gerencia de la organización tiene que asegurarse de que las responsabilidades

y las autoridades son asignadas y comunicadas dentro de la organización para:
• Garantizar que el Sistema de Gestión Ambiental está conforme con los x x x
requisitos de dicha norma internacional
• Informar a la gerencia sobre el desempeño del Sistema de Gestión Ambiental,
en el que se incluye el desempeño ambiental.
En el marco del Sistema de Gestión Ambiental, la organización tiene que

determinar situaciones potenciales de emergencia, en las que pueden generar un x
x x
impacto ambiental. La entidad tiene que mantener la información documentada
de sus riesgos y oportunidades, y de los procesos necesarios.
Dentro del alcance definido por el Sistema de Gestión Ambiental la entidad debe:
* Determinar los aspectos ambientales significativos y comunicarlos entre los
diferentes niveles de la organización.
• Controlar las actividades, servicios o productos que puedan influir
• Conocer los impactos ambientales asociados x x x
• Tener en cuenta el ciclo de vida
* Mantener la información documentada de Aspectos e Impactos ambientales y
de los criterios utilizados para determinar los aspectos ambientales
La entidad debe:
• Determinar y tener acceso a las obligaciones de cumplimiento relacionado con
los aspectos ambientales que se aplican a la organización.
• Tener en cuenta las obligaciones de cumplimiento al establecer, implantar, x x x
mantener y continuamente la mejora del Sistema de Gestión Ambiental.
• La entidad debe mantener la información documentada de sus
obligaciones.
La organización debe planificar:

• La toma de decisiones para hacer frente a los aspectos ambientales
significativos, obligaciones de cumplimiento, riesgos y oportunidades.
• La forma de integrar e implementar las acciónes en los procesos del Sistema de
Gestión Ambiental.
La entidad debe establecer todos los objetivos ambientales en las funciones y

niveles pertinentes, teniendo en cuenta todos los aspectos ambientales
significativos de la organización, sus obligaciones de cumplimiento asociadas y sus
riesgos. Los objetivos ambientales tienen que ser coherentes, medibles,
monitoreados, comunicados, actualizados, etc.
La entidad debe considerar acciónes para alcanzar los objetivos ambientales que
pueden integrarse en los procesos de negocio.
Al planificar la forma de conseguir los objetivos ambientales, la entidad debe
determinar, lo que se hará, los recursos necesarios, quién será la persona
responsable, cuando se completará, cómo se evalúan todos los resultados, etc.
La entidad debe determinar y proporcionar los recursos necesarios para

establecer, implementar, mantener y mejorar de forma continua el Sistema de
Gestión Ambiental.
La entidad debe:
• Determinar la competencia necesaria para cada persona que realiza el trabajos
que afectan el desempeño ambiental.
• Asegurarse de su competencia para el cargo con base en su educación,
x x x
formación o experiencia.
• Determinar la necesidad de formación asociada a los aspectos ambientales.
• Conocer cuando es aplicable y tomar las acciónes pertinentes para adquirir las
competencias necesarias.
La entidad se debe asegurar de que las personas realizan su trabajo bajo el

x x x
control de la organización.
La entidad debe establecer, implementar y mantener los procesos necesarios para

las comunicaciones asociadas al Sistema de Gestión Ambiental (SGA).
Se debe comunicar internamente la información pertinente al SGA, en la que se
x
incluyen los cambios sobre el sistema, entre los diferentes niveles y funciones de
la entidad. Se debe comunicar de forma externa la información relevante para el
SGA, según lo establece los procesos de comunicación de la organización
El Sistema de Gestión Ambiental (SGA) de la organización debe incluir la

información documentada requerida por la norma internacional y aquella
determinada por la organización
Al crear y actualizar la información documentada de la entidad debe asegurarse
según sea apropiado la identificación y descripción, el formato y los medios de
comunicación.
La información documentada requerida por el SGA se debe controlar para

asegurar que se encuentra disponible para su uso y que se encuentra protegida
de forma adecuada. Este control incluye:
• Distribución, acceso, recuperación y utilización
• Almacenamiento y conservación
• Control de cambios
• Retención y disposición
La entidad debe:
* Establecer, implementar, controlar y mantener los procesos necesarios para
cumplir con los requisitos del Sistema de Gestión ambiental.
* Realizar un control de la planificación y revisar las consecuencias de los cambios
no deseados, adoptar medidas para mitigar los efectos adversos, etc.
* Asegurarse que los procesos externos son controlados. El tipo y la extensión del
control que se aplica a los procesos que deben ser definidos dentro del SGA.
Según la perspectiva del ciclo de vida, la entidad debe:

• Determinar controles
• Determinar los requisitos
• Comunicar los requisitos
• Considerar la necesidad de proporcionar información sobre los potenciales
impactos ambientales
La organización debe mantener la información documentada en la medida
necesaria para tener confianza de que los procesos han sido llevado a cabo como
estaba previsto.
La entidad debe:
• Prepararse para responder por la planificación de acciónes para prevenir
impactos ambientales
• Responder a situaciones actuales de emergencia
• Tomar medidas para prevenir las consecuencias de las situaciones de
emergencia
• Evaluar periódicamente las acciónes de respuesta planificadas
• Revisar periódicamente y revisar los procesos y las respuestas planificadas
La entidad debe seguir, medir, analizar y evaluar el desempeño ambiental. La

organización debe determinar qué necesita para este seguimiento y asegurarse
de que los equipos de seguimiento y medición se encuentran calibrados y que su
uso y mantenimiento sea apropiado.
La organización debe evaluar su desempeño ambiental y la eficacia del sistema de
gestión ambiental. Debe comunicar su desempeño ambiental tanto interna como
externamente, según lo determinado por su proceso de comunicación y como lo
x x x
requieren sus obligaciones de cumplimiento.
La organización debe establecer, implantar y mantener los procesos necesarios

para evaluar el cumplimiento de sus obligaciones al:
• Determinar la frecuencia con la que se evaluará el cumplimiento
• Evaluar el cumplimiento y tomar medidas si es necesario
• Mantener el conocimiento y la comprensión de su cumplimiento
La organización tiene que establecer, implementar y mantener un programa de
auditoría interna, incluyendo la frecuencia, métodos, responsabilidades,
requisitos de planificación y reporte de informes, para proporcionar información
sobre el eficiente cumplimiento de requisitos del Sistema de Gestión Ambiental
(SGA).
La organización tiene que:
• Definir los criterios y alcance de cada auditoría
• Seleccionar los auditores y conducir las auditorías asegurándose la objetividad e
imparcialidad del proceso.
• Asegurar que los resultados de las auditorías se informen a la dirección
pertinente.
Cuando se establece el programa de auditoría interna, la organización debe tener
en cuenta la importancia ambiental de los procesos concernientes, los cambios
que afectan a la organización y los resultados de auditorías previas.
La gerencia de la dirección debe revisar el Sistema de Gestión Ambiental de la

organización, en intervalos de tiempo planificados, para asegurarse de su
conveniencia, adecuación y eficacia. La revisión por la dirección debe considerar:
• El estado de las acciónes de las revisiones por la dirección
• Grado en que los objetivos ambientales se han alcanzado
• Información sobre el desempeño ambiental de la organización.
La organización tiene que determinar todas las oportunidades de mejora y poner

en marcha las acciónes necesarias para alcanzar los resultados esperados en el x x x
Sistema de Gestión Ambiental.
Cuando se produce una no conformidad, la organización debe:

• Reacciónar ante la no conformidad
• Evaluar la necesidad de tomar acciónes para eliminar las causas de la
conformidad. x x x
• Implementar cualquier acción correctiva necesaria
• Revisar la eficacia de las medidas correctivas adoptadas
• Realizar cambios en el Sistema de Gestión Ambiental
La entidad debe mejorar de forma continua la idoneidad, adecuación y eficacia

x x x
del Sistema de Gestión Ambiental para mejorar el desempeño ambiental.
La organización debe establecer, documentar, Implementar, mantener y mejorar

en forma continua un sistema de gestión de S y SO de acuerdo con los requisitos
de la norma OHSAS determinando cómo cumplirá estos requisitos.
La alta dirección debe definir y autorizar la política de S y SO de la organización
asegurando que, dentro del alcance definido de su sistema de gestión de S y SO,
ésta:
a) es apropiada para la naturaleza y escala de los riesgos de S y SO de la
organización;
b) incluye un compromiso con la prevención de lesiones y enfermedades y con la
mejora continua en la gestión y desempeño de S y SO;
c) incluye el compromiso de cumplir como mínimo los requisitos legales aplicables
y otros requisitos que suscriba la organización, relacionados con sus peligros de S
y SO.
d) proporciona el marco de referencia para establecer y revisar los objetivos de S
y SO.
e) se documenta, implementa y mantiene.
f) se comunica a todas las personas que trabajan bajo el control de la
organización, con la intención de que sean conscientes de sus obligaciones
individuales de S y SO.
g) está disponible para las partes interesadas, y
h) se revisa periódicamente para asegurar que sigue siendo pertinente y
apropiada para la organización.
La organización debe establecer, implementar y mantener un(os)
procedimiento(s) para la continua identificación de peligros, valoración de riesgos
y determinación de los controles necesarios , los cuales deben tener en cuenta:
a) actividades rutinarias y no rutinarias;
b) actividades de todas las personas que tienen acceso al sitio de trabajo (incluso
contratistas y visitantes);
c) comportamiento, aptitudes y otros factores humanos;
d) los peligros identificados que se originan fuera del lugar de trabajo con
capacidad de afectar adversamente la salud y la seguridad de las personas que
están bajo el control de la organización en el lugar de trabajo;
e) los peligros generados en la vecindad del lugar de trabajo por actividades
relacionadas con el trabajo controladas por la organización;
NOTA 1 Puede ser más apropiado que estos peligros sean evaluados como un
aspecto ambiental.
f) Infraestructura, equipo y materiales en el lugar de trabajo, ya sean
suministrados por la organización o por otros;
g) Cambios realizados o propuestos en la organización, sus actividades o los
materiales;
h) modificaciones al sistema de gestión de S y SO, incluidos los cambios
temporales y sus impactos sobre las operaciones, procesos y actividades;
i) cualquier obligación legal aplicable relacionada con la valoración del riesgo y la
implementación de los controles necesarios (véase también la nota del numeral
3.12);
j) el diseño de áreas de trabajo, procesos, instalaciones, maquinaria/equipos,
procedimientos de operación y organización del trabajo, incluida su adaptación a
las aptitudes humanas.
La metodología de la organización para la identificación de peligros y valoración

del riesgo debe:
a) definirse con respecto a su alcance, naturaleza y oportunidad, para asegurar su
carácter proactivo más que reactivo; y
b) prever los medios para la identificación, priorización y documentación de los
riesgos y la aplicación de los controles, según sea apropiado.
La organización debe:
* Identificar los peligros y los riesgos de S y SO asociados con cambios en la
organización, el sistema de gestión de S y SO o sus actividades,teniendo en cuenta
la gestión del cambio.
* Asegurar que los resultados de estas valoraciones se consideran cuando se
determinan los controles
* Documentar y mantener actualizados los resultados de la identificación de
peligros, valoración de riesgos, y de los controles determinados
* Asegurar que los riesgos de S y SO y los controles determinados se tengan en
cuenta cuando establezca, implemente y mantenga su sistema de gestión de S y
SO.
Al determinar los controles o considerar cambios a los controles existentes, se
debe contemplar la reducción de riesgos de acuerdo con la siguiente jerarquía:
a) eliminación;
b) sustitución;
c) controles de ingeniería;
d) señalización/advertencias o controles administrativos o ambos;
e) equipo de protección personal
* Establecer, implementar y mantener un(os) procedimiento(s) para la
identificación y acceso a requisitos legales y de S y SO que sean aplicables a ella
* Asegurar que estos requisitos legales aplicables y otros que la organización
suscriba se tengan en cuenta al establecer, implementar y mantener su sistema
de gestión de S y SO.
* Mantener esta información Actualizada y comunicarla a las personas que
trabajan bajo el control de la organización, y a otras partes interesadas
pertinentes.
* Establecer, implementar y mantener documentados los objetivos de S y SO en
las funciones y niveles pertinentes dentro de la organización. Los objetivos deben
ser medibles y consistentes con la política de S y SO, incluidos los compromisos
con la prevención de lesiones y enfermedades y con la mejora continua.
* Tener en cuenta los requisitos legales, otros requisitos que la organización
suscriba y sus riesgos de S y SO. Además.
* Considerar sus opciones tecnológicas, sus requisitos financieros, operacionales y
comerciales, así como las opiniones de las partes interesadas pertinentes
La organización debe establecer, implementar y mantener un(os) programa(s)

para lograr sus objetivos. El(los) programa(s) debe(n) incluir, como mínimo:
a) la asignación de responsabilidades y autoridad para lograr los objetivos en las
funciones y niveles pertinentes de la organización, y
b) los medios y los plazos establecidos para el logro de los objetivos.
El(los) programa(s) se debe(n) revisar a intervalos regulares y planificados, y se
debe(n) ajustar si es necesario, para asegurar que los objetivos se logren.
La alta dirección debe asumir la máxima responsabilidad por la S y SO y el sistema
de gestión en S y SO, demostrando su compromiso:
a) asegurando la disponibilidad de recursos esenciales para establecer,
implementar,mantener y mejorar el sistema de gestión de S y SO;
NOTA 1 Los recursos incluyen los recursos tecnológicos, financieros y humanos,
las habilidades especializadas y la infraestructura organizacional.
b) definiendo las funciones, asignando las Responsabilidades y la rendición de
cuentas, y delegando autoridad, para facilitar una gestión de S y SO eficaz; se
deben documentar y comunicar las funciones, las responsabilidades, la rendición
de cuentas y autoridad
La organización debe designar a un miembro de la alta dirección con

responsabilidad específica en S y SO, independientemente de otras
Responsabilidades y con autoridad y funciones definidos, para:
a) asegurar que el sistema de gestión de S y SO se establece, implementa y
mantiene de acuerdo con esta norma OHSAS;
b) asegurar que se presentan informes sobre desempeño del sistema de gestión
de S y SO a la alta dirección, para su revisión, y que se usan como base para la
mejora del sistema de gestión de S y SO
La identidad del delegado de la alta dirección se debe informar a todas las
personas que trabajan bajo el control de la organización.
Todos aquellas personas que tengan responsabilidad gerencial deben demostrar

su compromiso con la mejora continua del desempeño en S y SO. La organización
debe asegurar que las personas en el lugar de trabajo asuman la responsabilidad
por los aspectos de S y SO sobre los que tienen control, incluido el cumplimiento
de los requisitos aplicables de S y SO de la organización
La organización debe asegurar que cualquier persona que esté bajo su control
ejecutando tareas que pueden tener impacto sobre la S y SO, sea competente con
base en su educación, formación o experiencia, y debe conservar los registros
asociados
* Identificar las necesidades de formación relacionada con sus riesgos de S y SO y
su sistema de gestión de S y SO
* Suministrar formación o realizar otras acciónes para satisfacer esas necesidades,
evaluar la eficacia de la formación o de la acción tomada, y conservar los registros
asociados.
Los procedimientos de formación deben tener en cuenta los diferentes niveles de:
a) Responsabilidad, capacidad, habilidades de lenguaje y alfabetismo, y
b) Riesgo
procedimiento(s) para hacer que las personas que trabajan bajo su control tomen
conciencia de:
a) las consecuencias de S y SO, reales y potenciales, de sus actividades laborales,
su comportamiento, y los beneficios de S y SO obtenidos por un mejor
desempeño personal;
b) sus funciones y responsabilidades, y la importancia de lograr conformidad con
la política y procedimientos de S y SO y con los requisitos del sistema de gestión
de S y SO, incluidos los requisitos de preparación y respuesta ante emergencias
(4.4.7);
c) las consecuencias potenciales de desviarse de los procedimientos especificados
En relación con sus peligros de S y SO y su sistema de gestión de S y SO, la

organización debe establecer, implementar y mantener un(os) procedimiento(s)
para:
a) la comunicación interna entre los diferentes niveles y funciones de la
organización;
b) la comunicación con contratistas y otros visitantes al sitio de trabajo.
c) recibir, documentar y responder a las comunicaciones pertinentes de las partes
interesadas externas. x

procedimiento(s) para garantizar la participación de los trabajadores en:
- la identificación de peligros, valoración de riesgos y determinación de controles;
- la investigación de incidentes;
- el desarrollo y revisión de las políticas y objetivos de S y SO; la consulta, en
donde haya cambios que afectan su S y SO;
- la representación en asuntos de S y SO;
Los trabajadores deben estar informados acerca de sus acuerdos de participación,
que incluyen saber quiénes son sus representantes en asuntos de S y SO. x

procedimiento(s) para la consulta con los contratistas, en donde haya cambios
que afecten su S y SO. x
La organización debe asegurar que las partes interesadas externas pertinentes
sean consultadas acerca de asuntos relativos a S y SO, cuando sea apropiado x
La documentación del sistema de gestión de S y SO debe incluir:

a) la política y objetivos de S y SO;
b) la descripción del alcance del sistema de gestión de S y SO;
c) la descripción de los principales elementos del sistema de gestión de S y SO y su
interacción, así como la referencia a los documentos relacionados
d) los documentos, incluyendo los registros exigidos en esta norma OHSAS
e) los registros determinados por la organización como necesarios para asegurar
la eficacia de la planificación, operación y control de procesos relacionados con la
gestión de sus riesgos de S y SO. x
Los registros son un tipo especial de documento y se deben controlar de acuerdo

con los requisitos establecidos en el numeral 4.5.4.

procedimiento(s) para:
a) aprobar los documentos con relación a su adecuación antes de su emisión;
b) revisar y actualizar los documentos cuando sea necesario, y aprobarlos
nuevamente;
c) asegurar que se identifican los cambios y el estado de revisión actual de los
documentos;
d) asegurar que las versiones pertinentes de los Documentos aplicables estén
disponibles en los lugares de uso.
e) asegurar que los documentos permanezcan legibles y fácilmente identificables;
f) asegurar que estén identificados los documentos de origen externo
determinados por la organización como necesarios para la planificación y
operación del sistema de gestión de S y SO, y que su distribución esté controlada
g) prevenir el uso no intencionado de documentos obsoletos, y aplicarles una
identificación adecuada en el caso de que se mantengan por cualquier razón
La organización debe determinar aquellas operaciones y actividades asociadas

con el (los) peligro(s) identificado(s), en donde la implementación de los controles
es necesaria para gestionar el (los) riesgo(s) de S y SO, incluyendo la gestión del
cambio (4.3.1).
Para aquellas operaciones y actividades, la organización debe implementar y
mantener:
a) los controles operacionales que sean aplicables a la organización y a sus
actividades; la organización debe integrar estos controles operacionales a su
sistema general de S y SO;
b) los controles relacionados con mercancías, equipos y servicios comprados;
c) los controles relacionados con contratistas y visitantes en el lugar de trabajo;
d) procedimientos documentados para cubrir situaciones en las que su ausencia
podría conducir a desviaciones de la política y objetivos de S y SO;
e) los criterios de operación estipulados, en donde su ausencia podría conducir a
desviaciones de la política y objetivos de S y SO.

procedimiento(s) para:
a) identificar el potencial de situaciones de emergencia;
b) responder a tales situaciones de emergencia
La organización debe responder a situaciones de emergencia reales y prevenir o

mitigar consecuencias de S y SO adversas asociadas. Al planificar su respuesta
ante emergencias, la organización debe tener en cuenta las necesidades de las
partes interesadas pertinentes, por ejemplo, los servicios de emergencia y los
vecinos.
La organización debe revisar periódicamente y modificar cuando sea necesario,

su(s) procedimiento(s) de preparación y respuesta ante emergencias, en
particular después de realizar pruebas periódicas involucrando las partes
interesadas pertinentes y después que se han presentado situaciones de
emergencia (4.5.3).
procedimiento(s) para hacer seguimiento y medir regularmente el desempeño de
S Y SO, los cuales deben prever:
- medidas cuantitativas y cualitativas apropiadas a las necesidades de la
organización
- seguimiento al grado de cumplimiento de los objetivos de S y SO de la
organización;
- seguimiento a la eficacia de los controles (tanto para salud como para
seguridad);
- medidas proactivas de desempeño con las que se haga seguimiento a la
conformidad con el (los) programa(s), controles y criterios operacionales de
gestión de S y SO;
- medidas reactivas de desempeño para seguimiento de enfermedades,
incidentes (incluidos los accidentes y casi-accidentes) y otras evidencias históricas
de desempeño deficiente en S y SO
- registro suficiente de los datos y los resultados de seguimiento y medición para
facilitar el análisis posterior de las acciónes correctivas y preventivas.
Si se requiere equipos para la medición o seguimiento del desempeño, la

organización debe establecer y mantener procedimientos para la calibración y
mantenimiento de tales equipos, según sea apropiado, conservando registros de
las actividades de mantenimiento y calibración, y de los resultados.
En coherencia con su compromiso de cumplimiento legal, (4.2c), la organización

debe establecer, implementar y mantener un(os) procedimiento(s) para evaluar
periódicamente el cumplimiento de los requisitos legales aplicables (4.3.2) y la
conformidad con otros requisitos que suscriba la organización(4.3.2).
La organización debe mantener registros de los resultados de las evaluaciones
periódicas
procedimiento(s) para registrar, investigar y analizar incidentes, con el fin de:
a) determinar las deficiencias de S y SO que no son evidentes, y otros factores que
podrían causar o contribuir a que ocurran incidentes;
b) identificar la necesidad de acción correctiva;
c) identificar las oportunidades de acción preventiva
d) identificar las oportunidades de mejora continua;
e) comunicar el resultado de estas investigaciones
Cualquier necesidad identificada de acciónes correctivas u oportunidades de

acciónes preventivas se debe abordar de acuerdo con las partes pertinentes del
numeral 4.5.3.2
Las investigaciones de incidentes se deben llevar a cabo de manera oportuna y

sus resultados se deben documentar y mantener

procedimiento(s) para tratar la(s) no conformidad(es) real(es) y potencial(es), y
tomar acciónes correctivas y preventivas. El(los) procedimiento(s) debe(n) definir
los requisitos para:
a) identificar y corregir la(s) no conformidad(es), y tomar la(s) acción(es) para
mitigar sus consecuencias de S y SO;
b) investigar la(s) no conformidad(es), determinar su(s) causa(s), y tomar la(s)
acción(es) con el fin de evitar que ocurran nuevamente;
c) evaluar la necesidad de acción(es) para prevenir la(s) no conformidad(es) e
implementar las acciónes apropiadas definidas para evitar su ocurrencia;
d) registrar y comunicar los resultados de la(s) acción(es) correctiva(s) y la(s)
acción(es) preventiva(s) tomadas, y
e) revisar la eficacia de la(s) acción(es) correctiva(s) y la(s) acción(es) preventiva(s)
tomadas.
Cualquier acción correctiva o preventiva tomada para eliminar las causas de las no
conformidades reales o potenciales debe ser apropiada a la magnitud de los
problemas y proporcional al(los) riesgo(s) de S y SO encontrado(s).
Cuando la acción correctiva y la acción preventiva identifican peligros nuevos o
que han cambiado, o la necesidad de controles nuevos o modificados, el
procedimiento debe exigir que las acciónes propuestas sean revisadas a través del
proceso de valoración del riesgo antes de su implementación.
La organización debe asegurar que cualquier cambio necesario que surja de la

acción correctiva y de la preventiva se incluya en la documentación del sistema de
gestión de S y SO.
* Establecer y mantener los registros necesarios para demostrar conformidad con
los requisitos de su sistema de gestión de S y SO y de esta norma OHSAS y los
resultados logrados.
Establecer, implementar y mantener un(os) procedimiento(s) para la
identificación, el almacenamiento, la protección, la recuperación, la retención y la
disposición de los registros.
* Los registros deben ser y permanecer legibles, Identificables y trazables
La organización debe asegurar que las auditorías internas del sistema de gestión
de S y SO se lleven a cabo a intervalos planificados para:
a) determinar si el sistema de gestión de S y SO:
1) cumple las disposiciones planificadas para la gestión de S y SO, incluidos los
requisitos de esta norma OHSAS; y
2) ha sido implementado adecuadamente y se mantiene; y
3) es eficaz para cumplir con la política y objetivos de la organización;
b) suministrar información a la dirección sobre los resultados de las auditorías.
El (los) programa(s) de auditorías se deben planificar, establecer, implementar y

mantener por la organización, con base en los resultados de las valoraciones de
riesgo de las actividades de la organización, y en los resultados de las auditorías
previas.
El (los) procedimiento(s) de auditoría se deben establecer, implementar y

mantener de manera que se tengan en cuenta:
a) las responsabilidades, competencias y requisitos para planificar y realizar las
auditorías, reportar los resultados y conservar los registros asociados; y
b) la determinación de los criterios de auditoría, su alcance, frecuencia y métodos
La selección de los auditores y la realización de las auditorías deben asegurar la

objetividad y la imparcialidad del proceso de auditoría.
La alta dirección debe revisar el sistema de gestión de S y SO. a intervalos

definidos para asegurar su conveniencia, adecuación y eficacia continua.
Las revisiones deben incluir la evaluación de oportunidades de mejora, y la
necesidad de efectuar cambios al sistema de gestión de S y SO, incluyendo la
política y los objetivos de S y SO.
Se deben conservar los registros de las revisiones por la dirección. Los elementos
de entrada para estas revisiones deben incluir:
a) los resultados de las auditorías internas y las Evaluaciones de cumplimiento con
los requisitos legales aplicables y con los otros requisitos que la organización
suscriba;
b) los resultados de la participación y consulta (4.4.3);
c) la(s) comunicación(es) pertinentes de las partes interesadas externas, incluidas
las quejas;
d) el desempeño de S y SO de la organización;
e) el grado de cumplimiento de los objetivos
f) el estado de las investigaciones de incidentes, acciónes correctivas y acciónes
preventivas;
g) acciónes de seguimiento de revisiones anteriores de la dirección.
h) circunstancias cambiantes, incluidos los cambios en los requisitos legales y
otros relacionados con S y SO, y;
i) recomendaciones para la mejora
Las salidas de las revisiones por la dirección deben ser coherentes con el
compromiso de la organización con la mejora continua y deben incluir las
decisiones y acciónes relacionadas con los posibles cambios en:
a) desempeño en S y SO;
b) política y objetivos de S y SO;
c) recursos, y;
d) otros elementos del sistema de gestión de S y SO.
Las salidas pertinentes de la revisión por la dirección deben estar disponibles para
comunicación y consulta (4.4.3).
Documento con los principios y

valores de la entidad.
Acto administrativo que adopta
el documento con los principios
y valores de la entidad.
Estrategias de socialización permanente de los principios y
valores de la entidad. x
Manual de Funciones y competencias laborales.
Plan Institucional de Formación y Capacitación (Anual)
Programa de Inducción y reinducción.
Programa de Bienestar (Anual)
Plan de Incentivos (Anual)
Sistema de evaluación del desempeño
Planeación
La misión y visión institucionales
adoptados y divulgados
Objetivos institucionales
Planes, programas y proyectos
Establecimiento y divulgación de Mapa de procesos x x x
Establecimiento y divulgación de los procedimientos x x x
Proceso de seguimiento y evaluación que incluya la
evaluación de la satisfacción del
cliente y partes interesadas
Estructura organizacional de la
entidad que facilite la gestión
por procesos
Manual de Funciones y Competencias laborales adoptado y divulgado
Definición de indicadores de eficiencia y efectividad, que permiten medir y
evaluar el
avance en la ejecución de los
planes, programas y proyectos
x x x
Seguimiento de los indicadores
Revisión de la pertinencia y utilidad de los indicadores
Establecimiento y divulgación de las políticas de operación
Manual de operaciones o su equivalente adoptado y divulgado
Definición por parte de la alta Dirección de políticas para el manejo de los riesgos
Divulgación del mapa de riesgos institucional y sus políticas
Definición del contexto estratégico de la Entidad x x x

Identificación de los factores internos y externos de riesgo x x x
Riesgos identificados por procesos que puedan afectar el cumplimiento de
objetivos de la entidad x x x
Análisis del riesgo - Documento de análisis del riesgo teniendo en cuenta su

probabilidad y factibilidad de ocurrencia y el posible impacto en caso de
materialización x x x
Evaluación de controles existentes -Documento dónde se evalúe si los
controles para valorar los riesgos son adecuados o no. x x x
Documento en el cual se analizan los riesgos frente a los controles existentes para
mitigar su impacto o su probabilidad de ocurrencia x x x
Se deben identificar controles correctivos y preventivos definidos para cada

proceso o actividad para mitigar la probabilidad e impacto de los Riesgos
x x x
Mapa de riesgos de proceso x x x
Mapa de riesgos institucional x x x
Actividades de sensibilización a los
servidores sobre la cultura de la
autoevaluación
Herramientas de autoevaluación
Procedimiento de auditoría
Interna
Programa de auditorías
Plan de Auditoría
Informe Ejecutivo Anual de
Control Interno
Herramientas de evaluación definidas para la elaboración del

plan de mejoramiento
Seguimiento al cumplimiento de
las acciónes definidas en el plan
de mejoramiento
Identificación de las fuentes de

información externa x
Fuentes internas de información
(manuales, informes, actas, actos
administrativos) sistematizada y de
fácil acceso
x
Rendición anual de cuentas con la
intervención de los distintos grupos
de interés, veedurías y ciudadanía.
Tablas de retención documental de

acuerdo con lo previsto en la
normatividad
Política de Comunicaciones x
Manejo organizado o sistematizado de la correspondencia x
Manejo organizado o sistematizado de los recursos físicos, humanos, financieros y
tecnológicos
Mecanismos de consulta con distintos grupos de interés para obtener información
sobre necesidades y prioridades en la
prestación del servicio
Medios de acceso a la información
con que cuenta la entidad x
Misión y visión de acuerdo con la norma de creación o reestructuración, según lo
definido en el SGC
Funciones y deberes
Organigrama, gráfica y legible, en formato accesible y usable
Descripción de la estructura orgánica, que contenga informacion general de cada
división o dependencia
Ubicación de sus sedes y áreas
Horario de atención al público
Presupuesto general asignado para la vigencia
Ejecución presupuestal histórica anual aprobada y ejecutada de ingresos y gastos
anuales (2 años anteriores al año en ejercicio, con corte a diciembre del periodo
respectivo y acorde con el reporte SIIF)
Estados financieros de las últimas dos vigencias, con corte a diciembre del año
respectivo
Planes de gasto público para cada año fiscal
A más tardar el 31 de Enero de cada año, se deberá publicar el Plan de Acción

para el siguiente año, en el cual se especificarán:
- Objetivos
- Estrategias
- Proyectos
- Metas y Responsables
- Los planes generales de compras
- Distribución presupuestal de proyectos de inversión junto a los indicadores de
gestión
- Informe de gestión del año inmediatamente anterior
- Presupuesto desagregado con modificaciones
Directorio de los servidores públicos y contratistas de prestación de servicios con
la siguiente información: x x x
- Nombres y apellidos completos x x x
- País, departamento y ciudad de nacimiento x x x
- Formación académica x x x
- Experiencia laboral y profesional x x x
- Empleo, cargo o actividad que desempeña x x x
- Dependencia en la que presta sus servicios a la entidad. x x x
- Dirección de correo electrónico institucional x x x
- Teléfono institucional x x x
- Escala salarial según las categorías para servidores públicos y/o empleados del
sector privado x x x
- Objeto, valor total de los honorarios, fecha de inicio y de terminación, cuando se
trate de contratos de prestación de servicios x x x
Listado de entidades que conforman el sector con enlace al sitio web de cada una
de estas x x x
Listado de las principales agremiaciones o asociaciones relacionadas con la
actividad propia institucional, con enlace al sitio web de cada una de estas. Así
mismo, los datos de contacto de los principales grupos de interés y/u
organizaciones sociales o poblacionales
x x x
Ofertas de empleos. Si los empleos son provistos a través de concursos liderados
por la CNSC, espcificar el listado de cargos que estan en concurso y el enlace a la
página web de la CNSC x x x
Normas generales y reglamentarias
Políticas y lineamientos sectoriales e institucionales
Manuales
Planes estratégicos, sectoriales e institucionales
Plan de Rendición de Cuentas (cuando aplique)
Plan de Servicio al Ciudadano (cuando aplique)
Plan Antitrámites (cuando aplique)
Programas y proyectos de inversión a ejecutarse en la vigencia, ordenados según

la fecha de inscripción en el Banco de Programas y Proyectos. Así mismo, los
avances de su ejecución, mínimo cada tres meses
Metas y objetivos de las unidades administrativas de conformidad con programas

operativos. Así mismo, los avances de su ejecución, mínimo cada tres meses
Indicadores de gestión y/o desempeño de conformidad con programas

operativos. Así mismo, los avances de su ejecución, mínimo cada tres meses
Plan Anticorrupción y de Atención al Ciudadano
(Mapa de riesgos de corrupción en la respectiva entidad, las medidas concretas

para mitigar esos riesgos, las estrategias antitrámites y los mecanismos para
mejorar la atención al ciudadano)
x
Descripción de los procedimientos para la toma de las decisiones en las diferentes
áreas x x x
Contenido de las decisiones y/o políticas adoptadas que afecten al público, con
sus fundamentos y toda interpretación autorizada de ellas
Mecanismo o procedimiento para la participación ciudadana en la formulación de

la política o el ejercicio de las facultades institucionales, indicando: los sujetos que
pueden participar, los medios presenciales y electrónicos y las áreas responsables
de la orientación y vigilancia para su cumplimiento
Informes de empalme del representante legal cuando haya cambio del mismo,
previo a su desvinculación.
Plan Anual de Adquisiciones (Plan de Compras Anual) de los recursos a ejecutar
en el año. Enlace a SECOP que direccione a esta información
Contrataciones adjudicadas para la vigencia en lo relacionado con funcionamiento

e inversión, las obras públicas, los bienes adquiridos, arrendados y en caso de los
servicios o estudios e investigaciones, señalar el tema específico
Contratos de prestación de servicios con personas naturales: objeto, monto de

honorarios y direcciones de correo electrónico x x x
Plazo de cumplimiento de los contratos x x x
Contrataciones en curso y vínculo al sistema electrónico para la contratación
pública (SECOP), a través del cual podrá accederse a la información
correspondiente al proceso contractual.
Los documentos y los actos administrativos del proceso de contratación deben

publicarse dentro de los (3) días siguientes a su expedición
Procedimientos, lineamientos y políticas en materia de adquisiciones y compras

(Manual de Contratación conforme a directrices de Colombia Compra Eficiente)
Datos de adjudicación y ejecución de contratos, incluidos concursos, licitaciones y

demás modalidades de contratación pública.
Además, información sobre la ejecución de contratos: aprobaciones,

autorizaciones, requerimientos o informes del supervisor o del interventor, que
prueben la ejecución del contrato
Resultados de las auditorías al ejercicio presupuestal

Los informes de gestión, evaluación y auditoría:
- Informe enviado al Congreso dentro del mismo mes de envío
- Informe de rendición de cuentas a la Contraloría General de la República de

acuerdo con la periodicidad definida, dentro del mismo mes de envío
- Informe de rendición de cuentas a los ciudadanos, incluyendo las respuestas a

las solicitudes realizadas a los ciudadanos, antes y durante el ejercicio de
rendición, dentro del mismo mes de realizado el evento
- Informes a organismos de inspección, vigilancia y control
Entidades que vigilan a la organización, así como todos los mecanismos internos y
externos de supervisión, notificación y vigilancia. Indicar como mínimo el tipo de
control que se ejecuta al interior y exterior (fiscal, social, político, etc.)
Informe pormenorizado del estado del control interno de acuerdo con lo señalado
en el artículo 9 de la Ley 1474 de 2011. Cada cuatro meses
Planes de mejoramiento vigentes exigidos por entes de control internos o

externos, dentro del mismo mes de su envío. Así mismo, enlace al sitio web del
organismo de control en donde se encuentren los informes que éste ha elaborado
sobre la entidad
Normas, políticas, programas y proyectos dirigidos a población vulnerable

(madres de cabeza de familia, desplazados, víctimas del conflicto armado,
personas en condición de discapacidad, familias en condición de pobreza, niños,
adulto mayor, etnias y reinsertados), de acuerdo con misión y normativa aplicable
Informe sobre las demandas contra la entidad, incluyendo: número de demandas,
estado en que se encuentra, pretensión o cuantía de la demanda y riesgo de
pérdida. Trimestralmente.
Podrá hacerse enlace a la información que publique la Agencia de Defensa

Jurídica de la Nación, siempre y cuando ésta permita identificar los elementos
enunciados
x
Detalles de los trámites y servicios brindados directamente al público o que se
pueden agotar en la entidad, indicando y facilitando aquellos disponibles en línea,
incluyendo: x
- Normativa x
- Formatos o Formularios x
- Protocolos de atención x
- Procesos y procedimientos x
- Costos x
Todo mecanismo de presentación directa de solicitudes, quejas y reclamos a

disposición del público (medios de comunicación física y otros canales de
comunicación habilitados para la recepción de solicitudes de información pública:
números telefónicos, direcciones físicas, direcciones electrónicas y formulario
electrónico). También informar la manera como un particular puede comunicar
una irregularidad ante los entes que ejercen control sobre la entidad (dirección,
correo electrónico, teléfono o enlace al sistema de denuncias)
x
Informe de todas las peticiones, quejas, reclamos, denuncias y solicitudes de
acceso a la información recibidas y los tiempos de respuesta relacionados, junto
con un análisis resumido de este mismo tema. Indicar en el esquema de
publicación la periodicidad
Formulario electrónico el cual debe contener como mínimo los siguientes campos:
tipo de solicitud, tipo de solicitante, primer nombre, segundo nombre (opcional),
primer apellido, segundo apellido (opcional), tipo de identificación, número de
identificación, razón social, NIT, país, departamento, municipio, dirección, correo
electrónico, teléfono fijo, teléfono móvil, contenido de la solicitud, archivos o
documentos, opción para elegir el medio de respuesta, información sobre
posibles costos asociados a la respuesta
x
Correo electrónico para notificaciones judiciales, disponible en el pie de página de
la página web principal así como en la sección de atención a la ciudadanía. Debe
enviar acuse de recibo de manera automática x
Informe de las Solicitudes de Acceso a la Información, el cual debe discriminar:
- Número de solicitudes recibidas

- Número de solicitudes que fueron trasladadas a otra institución
- Tiempo de respuesta a cada solicitud
- Número de solicitudes en las que se negó el acceso a la información
Número o código que permita hacer seguimiento al estado de la solicitud de
información, fecha de recepción y medios por los cuales puede hacer seguimiento
Formulario electrónico para el registro de la recepción y trámite de solicitudes de

información pública bajo el procedimiento especial con identificación reservada
(adicional a los medios ordinarios de recepción de solicitudes de acceso a la
información)
Registro de publicaciones que contenga los documentos publicados de

conformidad con la ley y automáticamente disponibles
Atender lineamientos en materia de Datos Abiertos disponibles en

www.datosabiertos.gov.co
Publicar datos abiertos contemplando las excepciones establecidas en el título 3

de la Ley 1712 de 2014
Esquema de Publicación. Debe contener como mínimo los siguientes datos:

nombre o titulo de la información, idioma, medio de conservación y/o soporte,
formato, fecha de generación de la información, frecuencia de actualización, lugar
de consulta, nombre del responsable de la producción de la información y
nombre del responsable de la información, para cada uno de los siguientes
componentes:
- Lista de información mínima publicada, conforme a lo previsto en los artículos

9,10, y 11 de la Ley 1712 de 2014
- Lista de información publicada adicional, definida por otras normas distintas a la

Ley de Transparencia y del Decreto al Acceso a la información Pública Nacional
- Información publicada originada en la solicitud de información divulgada con

anterioridad, de que trata el articulo 14 de la Ley 1712 de 2014
- Información de interés para la ciudadanía, interesados o usuarios, publicada de

manera proactiva, relacionada con la actividad misional y objetivos estratégicos
- Clases de información publicada de manera proactiva y que en todo caso deberá

comprender la información mínima obligatoria.
- Manera en la cual publicará la información
- Recomendaciones adicionales establecidas por el Ministerio Público
- Periodicidad de la divulgación
- Cuadros de clasificación documental que faciliten la consulta de los documentos
públicos que se conservan en los archivos, de acuerdo con reglamentación del
AGN
Procedimiento participativo para la adopción y actualización del Esquema de
Publicación (mecanismos de consulta a ciudadanos, interesados o usuarios en los
procesos de adopción y actualización del Esquema de Publicación para identificar
información que pueda publicarse de manera proactiva y establecer formatos
alternativos que faciliten la accesibilidad a poblaciones específica)
x
Registro de Activos de Información (RAI). Debe contener como mínimo los
siguientes datos: nombre o titulo de la categoría de información, descripción del
contenido de la categoría de la información, idioma, medio de conservación,
formato e información publicada disponible para cada uno de los siguientes
componentes:
x
- Todas las categorías de información publicada x
- Todo registro publicado x
- Todo registro disponible para ser solicitado por solicitado por el público x
Acceso a información previamente divulgada (medios, formatos y plazos para la
conservación de la información publicada con anterioridad para permitir su
acceso luego de retirada la publicación) x
Programa de Gestión Documental, el cual deberá contener:
- Procesos y procedimientos necesarios para la producción, distribución,
organización, consulta y conservación de los documentos
- Integración con las funciones administrativas
Procedimientos para la creación, gestión, organización y conservación de archivos
Ventanilla de acceso a la información de interés público en formatos y lenguajes

comprensibles.
(Ventanilla electrónica, sitio web oficial y medio electrónico se entenderán como

equivalentes)
Índice de Información Clasificada o Reservada, el cual indicará para cada caso lo

siguiente:
- Nombre o titulo de la categoría de información
- Nombre o titulo de la información
- Idioma
- Medio de conservación y/o soporte
- Fecha de generación de la información
- Nombre del responsable de la producción de la información
- Nombre del responsable de la información
- Objetivo legítimo de la excepción
- Fundamento constitucional o legal
- Fundamento jurídico de la excepción
- Excepción total o parcial
- Fecha de la calificación
- Plazo de clasificación o reserva
Tablas de Retención Documental
(Seguir lineamientos del Archivo General de la Nación

www.archivogeneral.gov.co/trd)
Costos de reproducción de la información pública (valores directos que son

necesarios para obtener la información pública solicitada, de acuerdo con el
formato y medio de almacenamiento: fotocopias, medios magnéticos o
electrónicos, memorias USB, discos compactos DVD u otros) con su respectiva
motivación (acto administrativo o documento equivalente)
Enlace que dirija a las políticas de seguridad de la información además de la

publicación de las condiciones de uso de la información referente a la protección
de datos personales
Estudios, investigaciones y otro tipo de publicaciones de interés para ciudadanos,

usuarios y grupos de interés, definiendo su periodicidad
Convocatorias dirigidas a ciudadanos, usuarios y grupos de interés, especificando

objetivos, requisitos y fechas de participación en dichos espacios
x
Lista de preguntas frecuentes con las respectivas respuestas, relacionadas con su
gestión y los servicios y trámites que presta. Debe actualizarse periódicamente de
acuerdo con las consultas realizadas x
Glosario del conjunto de términos que usa la entidad o que tiene relación con su
actividad x
Sección que contenga las noticias más relevantes para los usuarios, ciudadanos y
grupos de interés y que estén relacionadas con la actividad institucional
x
Calendario de eventos y fechas clave relacionadas con los procesos misionales
x
Información sobre servicios o actividades dirigida a niños, niñas y adolescentes de
manera didáctica x
Información general o adicional que resulte útil para los usuarios, ciudadanos o
grupos de interés x
El decreto único reglamentario sectorial, que contempla todas las normas
reglamentarias del sector vigentes, debe aparecer como el documento principal;
el cual debe hacer referencia a todos los actos que lo adicionen, modifiquen o
deroguen (máximo 15 días siguientes a la expedición de la norma modificatoria).
Por medio de este se debe generar el acceso a las normas compiladas a través de
hipervínculos, toda referencia a leyes, decretos o normas deben contar con
enlaces a estas normas específicas. Debe ser descargable y estar en un formato
que facilite la búsqueda dentro del texto así como su continua actualización.
Las decisiones judiciales que declaren la nulidad de apartes del decreto único
deberán ser incorporadas en ejercicio de la actualización a través de hipervínculos
(máximo 15 días siguientes a la publicación de la decisión)
Decretos no compilados como los de estructura, salarios, decretos que

desarrollan leyes marco, entre otros, deben aparecer de manera diferenciada.
Debe ser descargable.
Si existen resoluciones, circulares u otros tipos de actos administrativos de

carácter general, se debe publicar un listado que indique el tipo de acto, fecha de
expedición y una descripción corta del mismo, así como el enlace para su
descarga. Esta información se debe organizar por tipo de norma, temática y fecha
de expedición de la más reciente a la más antigua
Forma, tamaño o modo en la que se presenta la información pública o se permite

su visualización o consulta para los grupos étnicos y culturales del país y para las
personas en situación de discapacidad, en aplicación del criterio diferencial de
accesibilidad
x
Cumplimiento a lineamientos de accesibilidad establecidos a través del Marco de

Referencia de Arquitectura entidadrial disponibles en el portal de Estrategia de
Gobierno en Línea www.estrategia.gobiernoenlinea.gov.co
La Entidad DEBE realizar seguimiento al uso de los conjuntos de datos publicados.
La Entidad debe implementar Sistemas de información / aplicativos interactivos

para la consulta y gestión de la información, como mapas, gráficas, sistemas de
georeferenciación u otros
El sitio web de la entidad debe cumplir con los siguientes criterios de
accesibilidad:
1. Contenido no textual
2. Información y relaciones
3. Sugerencia significativa
4. Características sensoriales
5. Uso del color
6. Teclado
7. Sin trampas para el foco del teclado
8. Tiempo ajustable
9. Poner en pausa, detener, ocultar
10. Evitar bloques
11. Titulado de páginas
12. Orden del foco
13. Propósito de los enlaces (en contexto)
14. Idioma de la página
15. Al recibir el foco
16. Al recibir entradas
17. Identificación de errores
18. Etiquetas o instrucciones
19. Procesamiento
20. Nombre, función, valor
x
El sitio web de la entidad debe cumplir con las siguientes directrices de
usabilidad:
1. Diseño ordenado y limpio
2. Ruta de migas
3. Interfaces en movimiento
4. URL limpios
5. Navegación global consistente
6. Uso adecuado de espacios en blanco
7. Navegación de contexto
8. Vínculo a página de inicio
9. Independencia de navegador
10. Enlaces bien formulados
11. Ventanas emergentes
12. Botón atrás
13. Títulos y encabezados
14. No vínculos rotos
15. Justificación del texto
16. Ancho del cuerpo de texto
17. Texto subrayado
18. Desplazamiento horizontal
19. Hojas de estilo para diferentes formatos
20. Vínculos visitados
21. Campos obligatorios
22. Asociación de etiquetas y campos
23. Ejemplos en los campos de formulario
24. Listas
La entidad debe asignar presupuesto para Tecnologías de la Información en cada

vigencia
La entidad debe tener plan estratégico de TI (PETI) actualizado.
El plan estratégico de TI (PETI) de la entidad debe contener:

1. Portafolio o mapa de ruta de proyectos
2. Proyección del Presupuesto
3. Entendimiento estratégico
4. Análisis de la situación actual
5. Plan de Comunicaciones del PETI
6. Todos los dominios del Marco de Referencia
La entidad debe cumplir con los objetivos estratégicos establecidos en el plan
estratégico de TI
El catálogo de servicios de TI, la Entidad los debe tenerlo actualizado
En relación con el monitoreo y evaluación del Plan Estratégico de TI (PETI), la

entidad debe Definir indicadores , realizar medición de los indicadores y generar
acciónes de mejora a partir de los resultados de la medición.
Del catalogó de componentes de información la entidad debe documentar de

acuerdo con el Marco de Referencia de Arquitectura entidadrial:
1. Catálogo o directorio de datos (abiertos y georreferenciados)
2. Catalogo de Información
3. Catalogo de Servicios de información
4. Catalogo de Flujos de información
Con relación a la gestión y planeación de los componentes de información la

entidad debe:
1. Definir un esquema de Gobierno de los componentes de información
2. Definir una metodología para el diseño de los componentes de información
3. Definir un esquema para el análisis y aprovechamiento de los componentes de
información.
La Entidad debe tener control respecto al suministro y/o consumo de servicios de

información a través de:
1. Servicios estandarizados bajo los lineamientos del Marco de Interoperabilidad
2. Otros servicios de intercambio de información
3. No suministra ni consume servicios de información de otras entidades públicas
Para cumplir con los linemientos establecidos por GEL.
La entidad debe usar el estándar GEL-XML en la implementación de servicios para

el intercambio de información con otras entidades
Con respecto a la calidad de los componentes de información la Entidad debe:
1. Definir un programa y/o estrategia de calidad de los componentes de
información institucional.
2. Implementar y realizar seguimiento del programa y/o estrategia de calidad de
los componentes de información definido.
3. Implementar los controles de calidad de los datos en los sistemas de
información
4. Definir los indicadores y métricas para medir la calidad de los componentes de
información
5. Realizar ejercicios de diagnóstico y perfilamiento de la calidad de datos.
6. Definir y aplicar metodologías para medir la calidad de los componentes de
información.
La Entidad debe incorporados en el esquema de gobierno de TI los siguientes

aspectos:
1. Políticas TI
2. Procesos TI
3. Indicadores de TI
4. Instancias de decisión de TI
5. Roles y responsabilidades de TI
6. Estructura organizacional del area de TI
Con respecto a la optimización de las compras de TI, la entidad debe:

1. Utilizar Acuerdos Marco de Precios para bienes y servicios de TI
2. Utilizó contratos de Agregación de demanda para bienes y servicios de TI.
3. Aplicar metodologías y criterios para la selección y/o evaluación de soluciones
de TI
La Entidad debe utilizar una metodología para la gestión de proyectos de TI
Es importante saber si hubo transferencia de conocimiento de los proveedores

y/o contratistas de TI hacia su Entidad.
La Entidad debe poseer mecanismos para asegurar la trazabilidad sobre las

transacciónes realizadas en los sistemas de información (políticas y
parametrización en mas del 90% de Sistemas de Información).
La entidad debe implementar dentro de sus sistemas de información la guía de
estilo y las especificaciones tecnicas de usabilidad definidas por la Entidad y el
Ministerio de TIC en:
1. Sistemas de información misionales
2. Sistemas de información de soporte
3. Sistemas de información estratégicos
4. portales digitales
Es conveniente saber si la Entidad ha incorporado dentro de los contratos de

desarrollo de sistemas de información, claúsulas que obliguen a realizar
transferencia de derechos de autor a su favor
Los sistemas de información de la Entidad deben tener habilitadas caracteristicas

que permitan la apertura de sus datos
Con respecto a la gestión del ciclo de vida de los sistemas de información, la

entidad debe:
1. Definir y aplicar metodologías para el diseño, desarrollo, implementación y
despliegue de los sistemas de información.
2. Implementr actividades para la gestión del control de cambios sobre los
sistemas de información.
3. Realizar mantenimientos preventivos y correctivos sobre los sistemas de
información.
4. Establecer ambientes de pruebas y producción independientes, para asegurar
la correcta funcionalidad de los sistemas de información.
Con respecto a la arquitectura de sistemas de información, la entidad debe:

1. Elaborar el catálogo de sistemas de información
2. Definir los diagramas de interacción e interoperabilidad de sus sistemas de
información.
3. Documentar las arquitecturas de solución de sus sistemas de información.
Los sistemas de información deben cumplir con los requerimientos de calidad y

seguridad establecidos de acuerdo a las necesidades de la Entidad.
La Entidad debe poseer una arquitectura de servicios tecnológicos (arquitectura

de infrestructura tecnológica) documentada y actualizada.
Con relación a los mecanismos de monitoreo de la continuidad y disponibilidad
los servicios tecnológicos, la entidad debe:
1. Definir acuerdos de Nivel de servicio para los servicios tecnologicos prestados
por terceros.
2. Definió y realizó seguimiento a los acuerdos de Nivel de servicio de los servicios
tecnologicos prestados por terceros.
3. Implementó herramientas de gestión para el monitoreo y genereación de
alarmas tempranas sobre la continuidad y disponibilidad de lo servicios.
4. Realizó proyección de la capacidad de los servicios tecnologícos.
Con relación a los procesos de operación y mantenimiento preventivo y correctivo

de los servicios tecnológicos, la Entidad debe implementar una mesa de servicios
para el soporte y atención de incidentes y problemas de los servicios tecnológicos.
Con respecto a la gestión y control de la calidad y seguridad de los servicios

tecnológicos, la entidad debe:
1. Definir controles de calidad para los servicios tecnológicos.
2. Definir controles de seguridad para los servicios tecnologicos.
3. Implemento controles de calidad para los servicios tecnológicos.
4. Implemento controles de seguridad para los servicios tecnológicos.
5. Definio indicadores para el seguimiento de la efectividad de los controles de
calidad de los servicios tecnologicos.
6. Definio indicadores para el seguimineto de la efectividad de los controles de
seguridad de los servicios tecnologicos.
La Entidad debe aplicadr metodologías de evaluación de alternativas de solución

y/o tendencias tecnológicas para la adquisición de servicios y/o soluciones de TI.
Con respecto a la estrategia de uso y apropiación de TI, la entidad debe:

1. Realizar un diagnostico del uso y apropiación de TI en la entidad.
2. Realizar la caracterización de los grupos de interés internos y externos.
3. Implemento estrategias de gestión del cambio para los proyectos de TI.
4. Definió indicadores para la medición del impacto del uso y apropiación de TI en
la entidad.
5. Realizar capacitación para todos los grupos de interés con relación a los temas
de TI.
La Entidad debe identificar las mejoras que generó el desarrollo de capacidades
de Gestión de TI en la prestación de servicios a los grupos de interés, en cuanto a:
1. Reducción de tiempo y recursos para la Entidad.
2. Reducción de tiempo y recursos para el ciudadano o funcionario.
3. Aumentó la calidad del servicio.
4. Reducción de incidentes relacionados con temas de seguridad y privacidad de
la información.
5. Reducción en los tiempos de despliegue de nuevos servicios.
6. Aumentó la capacidad de reacción de la Entidad para crear o mantener
ventajas competitivas ante los retos que presenta su entorno.
7. Incremento en la cobertura de la población beneficiada.
8. Aumentaron los niveles de inclusión social.
9. Si aumentó la oferta de servicios a los beneficiarios de la Entidad.
10. Incremento de los niveles de transparencia y participación ciudadana.
La Entidad debe divulgar y comunicar internamente los proyectos de TI
La entidad de automatizar:
1. Procesos.
2. Procedimientos.
La Entidad para incorporar soluciones tecnológicas para la gestión debe tener en

cuenta:
1. El análisis de los procesos de la Entidad.
2. La reducción del uso del papel.
3. El programa de gestión documental de la Entidad.
4. Criterios de seguridad, disponibilidad y conservación de los documentos.
Direccionamiento
X
X
X
X
Estratégico
Evaluación
X
X
Independiente
Generación de
Productos y Servicios
para la Gestión Pública
Gestión de Recursos
Gestión del
conocimiento y Grupos
de Valor
Gestión del Talento
Proceso al cual aplica
Humano
X
X
X
X
X
X Gestión Documental
Gestión Internacional
Política en Función
MATRIZ DE REQUERIMIENTOS APLICABLES
Pública
Seguimiento y
X
X
Evaluación a la Gestión
Tecnologías de la
X
X
X
X
X
X
X
X
X
Información
X X X X
X X X
X X
X X X X X X X X X X X X
X X
X X X
X
X
X
X X X
X X X
X X X
X X X
X X X
X X X X
X X X X
X X X X
X X X X
X X X X
X X X X
X X X X
X X X X
X X X X
X X X X
X X X X
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x
x x
x x
x x
x x
x x
x x
x x
x x
x x
x x
x x
x x
X X X
X X X
X X X
X X X
X X
X X
X X
X X X
X X X
X X
X X
X X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X
X X X
X X
X X X
x x x
x x x
x x
x x
x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x x x x x x x x x x
x x
x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x
x x
x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x
x x
x x x
x x x
x x x
x x x
x x x x
x x x
x x x x
x x x x
x x
x x x x x x
x x x
x x
x x x
x x x
x x x x
x x x
x x x x
x x
x
x x X x
x x X x
x x x
x x x
x x x
x x x
x x x x x x x x x x x
x x x
x x x
x x
x x x
x x x
x x x
x x
x x
x x
x x x x
x x x x
x
x
x
x x
x x x x
x x
x x x x
x
x
x
x
x
x x x x
x x x x
x x x
x x x
x x
x x
x x x x
x x x x
x x x x
x x x x
X
x
x x xx x x x x x x x x
x x xx x x x x x x x x
x
x
x x
x x
x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x x x
x x x
x x x
x x x x x
x x x x x
x x x x x
x x x x x
x x x x x x
x x x
x x x x
x x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x x x
x x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x
x x
x x
x x
x
x
x
x
x x x
x
x
x
x
x
x x
x x
x x
x x
x x
x x
x x
x x
x x
x
x
x
x x x x
x x x x
x x
x x
x x
x x x
X
x x
x x
x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x x
x x
x x
x
x
x x
x x
x x
x x
x x x
x x x
x x
x x x x
x x x x
x x x x
x x
x x
x x
x x
x x
X X
X X
x x x x x
x x x x x
x x x x x
x x x x x
x x x x x
x x x x x
x x x x x
x x x x x
x x x x x
x x x x x
x x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
x x x
x
x
x
x x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x x
x x
x x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Evidencias de cumplimiento requeridas
Mapa de riesgos contexto estratégico
*Plan Estratégico de Tecnologías de la Información y las Comunicaciones

*Política de operaciones procesos
*Procedimiento administración archivos
*Plan Estratégico de Tecnologías de la Información y las Comunicaciones

*Política de operación
Mapa de riesgos
Plan Estratégico de Tecnologías de la Información y las Comunicaciones
Proceso Tecnologías de la información
Actas Comité Directivo
Política de operación
Plan Estratégico de Tecnologías de la Información y las Comunicaciones, SGI
Sistema integrado de Gestión
Plan de Mejoramiento
Política seguridad de la información, política de operación proceso de tecnologías de la información
Plan Estratégico de Tecnologías de la Información y las Comunicaciones, Plan de mejoramiento
Intranet, Proceso de tecnologías de la información

Resolución 1013 de 2015. Por la cual se reorganizan y conforman los grupos internos de trabajo del DAFP.
Decreto 430 de 2016. Por el cual se modifica la estructura del DAFP.
Mapa de riesgos institucionales, política de riesgos

Plan de acción anual

Mapa de riesgos
Mapa de riesgos institucionales, plan de mejoramiento
Plan de mejoramiento
Mapa de riesgos
Mapa de riesgos
Política de riesgos
Mapa de riesgos
Mapa de riesgos
Mapa de riesgos continuidad del negocio
Mapa de riesgos
Mapa de riesgos
Mapa de riesgos
Mapa de riesgos

Mapa de riesgos
Mapa de riesgos
Mapa de riesgos
Mapa de riesgos
Mapa de riesgos
Plan de contingencia
Mapa de riesgos
Política de seguridad de la información

PETIC
Módulo de riesgos en SGI

Correo electrónico
Intranet


Manual de Funciones y Competencias Laborales
Manual de Funciones y Competencias Laborales
Plan de mejoramiento individual
Hoja de vida
Estrategia de comunicación. Campañas pedagógicas sobre sistemas de seguridad de la información. Encuentros con la directo
Estrategia de comunicación.
Comité directivo
Seguimiento Comité Directivo
Procedimientos, manuales, guías, formatos
Procedimientos, manuales, guías, formatos estandarizados
Formato Control de cambios-intranet
Procedimientos, manuales, guías, formatos publicados en la intranet

Documentos archivados en yaksa

Intranet
TRD
Trazabilidad del documento

TRD
proceso gestión documental, proceso seguimiento y evaluación
Plan anual de auditorías
TRD
Seguimiento Comité Directivo
Mapa de riesgos
Mapa de riesgos
Mapa de riesgos, Guía de Backup: Copias de seguridad de la información, PINAR
Mapa de riesgos, Guía de Backup: Copias de seguridad de la información, PINAR
Plan de mejoramiento, actas de revisión por la dirección, informes de gestión, PETIC, PINER
Módulo indicadores SGI, Indicadores de proceso

Módulo indicadores SGI, Indicadores de proceso, ficha de indicadores
Programa anual de auditorías y seguimientos
PETIC, PINAR
Carta de compromiso auditoría
Notificación SGI asignando auditor por la Oficina de Control Interno
TRD
Revisión por la Dirección, informes de gestión
informes de auditorías y plan de mejoramiento
Mapa de Riesgos (Contexto estratégico)

Plan de mejoramiento, informe de auditoría
Mapa de riesgos institucionales
Plan de mejoramiento, * Ficha de productos y servicios (ANS)



Notificación SGI asignando auditor por la Oficina de Control Interno para revisar la eficacia de las acciones correctivas
Revisión por la dirección

Plan estratégico de TIC
Protocolo de seguridad, administración de usuarios y roles de SIGEP
Responsabilidades del líder funcional y el líder técnico
Guía de Backup: Copias de seguridad de la información
Instructivo administración de las bases de datos
Instructivo para administración de cuentas del Directorio Activo del DAFP
Guía de administración de cuentas de usuario
guía de copias de seguridad







*guía de copias de seguridad
* Instructivo administración de las bases de datos,
*Instructivo para administración de cuentas del Directorio Activo del DAFP
*Instructivo de la Política para el Tratamiento de Datos Personales
*Sistema gestión en seguridad y salud en el trabajo




























Procedimiento de Gestión de Requerimientos formulados ante la Función Pública. Formatos de Acceso a la información públic
ampliación de términos por siniestro
Procedimiento de Gestión de Requerimientos formulados ante la Función Pública. Formatos de Acceso a la información públic
*Procedimiento Representación Judicial del DAFP
*proceso servicio al ciudadano
*Proceso de defensa jurídica
*proceso gestión del talento humano


























*procedimiento Cobro de obligaciones a favor del DAFP mediante jurisdicción coactiva
*Nivel de autoridad y responsabilidad modulo sgi
*Subproceso Gestión Financiera

*Subproceso Gestión Contractual






























Plan de gestión ambiental - valoración del entorno y analisis del uso y manejo de los recursos
Plan de gestión ambiental - Mapa de procesos, Marco normativo, valoración del entorno
Plan de gestión ambiental - valoración del entorno y analisis del uso y manejo de los recursos
Plan de gestión ambiental
Encuentros con la directora

Revisión por la dirección
Plan de gestión ambiental - política de gestión ambiental
Matriz de responsabilidades
Manual de funciones y responsabilidades
Procedimientos
Políticas de Operación
Modulo de Riesgos SGI

Plan de manejo ambiental - Matriz de aspectos e Impactos ambientales
Normograma
Plan de gestión ambiental - Estructura del plan
Plan de gestión ambiental - Objetivos
Presupuesto de la Entidad
Manual de perfiles
Manuales de Funciones y responsabilidad en materia ambiental
Evaluaciónes de desempeño
Charlas de Sensibilización ambiental

Comunicaciones internas de la Entidad en materia ambiental
Charlas con la directora
Registros de capacitación
Página Web
Redes sociales
Intranet
Procedimientos Intranet
Lineamientos documentales
Plan de gestión ambiental difundido por Intranet
Soportes docuemntales de la gestión ambiental realizada.

Plan de Continuidad de la Entidad en materia ambiental
Simulacros
Informes de gestión, riesgos, indicadores, planes de mejoramiento

Publicacion Página web e intranet de informes de gestión para socializacion
Plan de gestión ambiental - etapas de seguimiento, medición y evaluación
Procedimiento de auditorías
lídery Equipo Auditor competentes
Plan de auditorías
Acta de apertura auditoría
auditorías Internas ejecutadas
Evidencias encontradas desarrollo de la auditoría
Soporte documental de Plan de auditoría
Acta de cierre
Informe de auditorías
Hallazgos encontrados
acciónes definidas plan de mejoramiento
Actas revisión por la dirección

Informes de cumplimiento de objetivos
Informe de riesgos, Indicadores y Plan de Mejoramiento
Informe de auditoría externa e internas anteriores
Informe seguimiento a proveedores
acciónes definidas informe revisión por la dirección
Plan de mejoramiento modulo SGI

acciónes definidas hallazgos de plan de mejoramiento
auditorías al proceso
Evidencia cierre con efectividad hallazgos de plan de mejoramiento
acciónes definidas informe revisión por la dirección
Sistema gestión en seguridad y salud en el trabajo

Sistema gestión en seguridad y salud en el trabajo
*Política administración del riesgo
*Mapa de riesgos institucionales
*acciones preventivas
*Plan de Acción Institucional


*Normas asociadas a cada proceso.

*Normograma.
*matriz de requisitos aplicables

*Normograma.

*Normograma.
*Proceso Direccionamiento estratétigico
*Proceso de seguimiento y evaluación a gestion
*Proceso de Evaluación Independiente
*auditorías internas a los procesos
*Plan de mejoramiento
*Herramientas SGI

*Herramientas SGI

*Herramientas SGI

*Herramientas SGI

*Herramientas SGI
*Herramientas SGI
*Decálogo de Ética
*Manual Específico de Funciones y Competencias Laborales de la Planta Temporal
*Guía inducción y reinducción
*Programa de Bienestar e Incentivos
*Plan de Actividades del Sistema de Gestión de la Seguridad y Salud en el trabajo
*Plan Institucional de Capacitación (PIC)
*Guía gestión de comisiones de servicios y desplazamientos de contratistas
*procesos de la entidad
*niveles de responsabilidad
*políticas de operación de cada proceso
*riesgos documentados para cada proceso, plan de continuidad, inversión.
*Ficha de producto ANS para cada proceso
*acta de reunión (mesas de trabajo)
*Ficha de control de cambios

*trazabilidad intranet


*Ficha documentación riesgos institucionales
*acciónes preventivas definidas para cada uno de los riesgos considaderados para le entidada
*seguimiento resporte riesgos institucionales en el SGI

*Proceso Seguimiento y evaluación a la Gestión
*Proceso Direccionamiento estratégico
*Mapa de Riesgos
*Matriz Institucional de indicadores
*Proceso Seguimiento y evaluación a la Gestión

*Proceso Direccionamiento estratégico
*Mapa de Riesgos
*Matriz Institucional de indicadores
*Plan de mejoramiento Continuo

*Plan anual de auditorías
*Plan anual de auditorías

*procedimiento auditorías basada en riesgos
plan de mejoramiento
Modulo SGI
Modulo SGI

*Informes de auditoría
*Informes de auditoría
Decálogo de etica
Acta
Actas de socialización
Manual específico de funciones y competencias laborales

Plan Institucional de capacitación
Guía de inducción y reinducción
Programa de bienestar e incentivos
Programa de bienestar e incentivos
Evaluación del desempeño
Manual de Operaciones y de Calidad

Actas de socialización, mapa de procesos (intranet)
Actas de socialización, mapa de procesos (intranet)
Encuesta Percepción del Servicio o Producto
Organigrama
Manual específico de funciones y competencias laborales
Indicadores establecidos en el proceso, módulo de indicadores SGI, Ficha de indicadores para cada proceso
Seguimiento en el SGI
Actas de reunión revisando los indicadores
Políticas de operación estructuradas y socializadas
política de Riesgo, Mapa de riesgos institucionales, Módulo de riesgos SGI.


Módulo SGI
Campaña de apropiación del modelo de gestión
Encuestas, Indicadores institucionales, planes de mejoramiento, auditorías internas
Procedimiento Auditoría basada en riesgos
Formato Programa Anual de auditorías y Seguimientos

Formato Plan de Auditoría Interna
Informes de auditorías
Plan de Mejoramiento SGI
Seguimiento SGI Plan de Mejoramiento
Gestores territoriales, procedimiento de creación de contenidos informativos, caracetrización de grupos de valor, campañas d
Portal Web e Intranet
Rendición de cuentas anual
Tablas de Retención Documental
política de operación proceso comunicación

ORFEO
Procedimientos de los procesos de Gestión de Recursos, Gestión de Talento Humano y TIC. Proactiva net, SIGEP y SECOP II
Caracterización grupos de valor

Plan de Acción Integral
Necesidades detectadas en la Planeación Institucional
Página web, correo electrónico,
Manual de Operaciones y de calidad
Organigrama publicado Página web

Funciones generales publicadas en la Página web
Página web
Página web
Página web (Información financiera y contable)
Página web (Información financiera y contable)
Página web (estados financieros)
Página web (Planeación)

Ejecución presupuestal
Informes de Gestión
Ejecución presupuestal
Directorio de servidores y contratistas

Página web (sigep)
Página web (sigep)
Página web (sigep)
Página web (sigep)
Página web (sigep)
Página web (sigep)
Página web (sigep)
Página web (sigep)
Gestión Institucional (Entidades del sector)
Gestión Institucional (Agremiaciones y asociaciones)

Gestión Institucional (Selección de Gerentes Públicos)
Plan Anticorrupción y de Atención al Ciudadano
Procedimientos
Rendición de cuentas anual
Informe de empalme
Página web (Plan anual de adquisiones)
Página web información financiera y contable (Contratación)
Página web (Directorio de Servidores y Contratistas)
Página web (Directorio de Servidores y Contratistas)

SECOP
Manual de contratación
Página web información financiera y contable (Contratación)
Informe al Congreso
Informe rendición de cuentas
Informe rendición de cuentas
Informes entes de control
Informe pormenorizado de control interno
Planes de mejoramiento
Informe de procesos judiciales
PQRS, mesa de radicación, orfeo
Página web (Servicio al Ciudadano)
Informe PQRSD
ORFEO, PQRS, Denuncuas (Página web)

(Página web)
(Página web)
(Página web)
(Página web)
(Página web)
(Página web)
(Página web)
(Página web)
(Página web)
(Página web)
(Página web)
PINAR, Políticas de operación

proceso de comunicaciones
Procedimiento administraciónd e correspondencia, atención al usuario

Enlace politicas operación
Manuales, guías, instructivosy presentaciones técnicas
Chat eva
Pagina web (Preguntas frecuentes)
Pagina web (Glosario)
Pagina web
Pagina web (Calendario de actividades)
Pagina web (Función Pública para niños)
Pagina web
Eva (Novedades jurídicas)
Eva (Gestor normativo)
Eva (Gestor normativo)
Lineamientos imagen institucional
Plan estratégico Tecnologías de la Información y las Comunicaciones - PETIC (sectorial e institucional)
*Proceso Tecnologías de a información

*Procedimientos proceso
*PETIC
*Proyectos de TIC
*Portafolio de productos y servicios de TIC.

*PETIC
*Proyectos de TIC
*PETIC
*Proyectos de TIC
*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC
*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC
*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC
*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC
*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC
*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC

*PETIC
*Proyectos de TIC
%
Nivel de Cumplimiento
Cumple
Actual
Estado
Registro
directora. Capacitaciones de entidades competentes en el tema.

pañas de cultura estadística

Matriz Requisitos Sistema Integrado Gestion

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Matriz Requisitos Sistema Integrado Gestion

Cargado por

Copyright:

Formatos disponibles

Norma Numeral/Articulo/Literal

ISO 27001 4 Contexto de la Organización

ISO 27001 4.1 Conocimiento de la Organización y su contexto

4.2 Comprensión de las necesidades y expectativas de

ISO 27001 4.2 a)

ISO 27001 4.2 b)

ISO 27001 4.3 Determinación del alcance del Sistema de Gestión

ISO 27001 4.3 c)

ISO 27001 4.3 Determinación del alcance del Sistema de Gestión

4.4 Sistema de Gestión de la Seguridad de la

ISO 27001 5 Liderazgo

ISO 27001 5.1 Liderazgo y Compromiso

ISO 27001 5.1 a)

ISO 27001 5.1 c)

ISO 27001 5.1 d)

ISO 27001 5.1 e)

ISO 27001 5.1 f)

ISO 27001 5.1 g)

ISO 27001 5.1 h)

ISO 27001 5.2 Política

ISO 27001 5.2 a)

ISO 27001 5.2 b)

ISO 27001 5.2 c)

ISO 27001 5.2 d)

ISO 27001 5.2 Política

5.3 Roles, responsabilidades y Autoridades en la

ISO 27001 5.3 Roles, responsabilidades y Autoridades en la

ISO 27001 5.3 a)

ISO 27001 5.3 b)

ISO 27001 6 Planificación

ISO 27001 6.1.1 Generalidades

ISO 27001 6.1.1 a)

ISO 27001 6.1.1 e) 1)

ISO 27001 6.1.1 e) 2)

ISO 27001 6.1.2 a)

ISO 27001 6.1.2 a) 1)

ISO 27001 6.1.2 a) 2)

6.1.2 Valoración de riesgos de la seguridad de la

ISO 27001 6.1.2 b)

6.1.2 Valoración de riesgos de la seguridad de la

ISO 27001 6.1.2 c) 1)

ISO 27001 6.1.2 c) 2)

ISO 27001 6.1.2 d) 1)

ISO 27001 6.1.2 d) 2)

ISO 27001 6.1.2 d) 3)

ISO 27001 6.1.2 e) 1)

ISO 27001 6.1.2 e) 2)

ISO 27001 6.1.3 a)

ISO 27001 6.1.3 b)

ISO 27001 6.1.3 c)

ISO 27001 6.1.3 d)

ISO 27001 6.1.3 e)

ISO 27001 6.1.3 f)

6.2 Objetivos de Seguridad de la Información y planes

ISO 27001 6.2 c)

ISO 27001 6.2 d)

6.2 Cuando se hace la planificación para lograr sus

ISO 27001 7 Soporte

ISO 27001 7.1 Recursos

ISO 27001 7.2 Competencia

ISO 27001 7.2 b)

ISO 27001 7.2 c)

ISO 27001 7.2 d)