MINISTERIO DE DEFENSA NACIONAL POLICIA NACIONAL DIRECCION GENERAL nesowuciénntmeno 083 1 0 ve 98 DIC 2015 “Por la cual se expide el Manual del Sistema de Gostién de Seguridad de la Informacion para la Polisia Nacional” EL DIRECTOR GENERAL DE LA POLICIA NACIONAL DE COLOMBIA En uso de las facuitaces legales, y en espacial de jas conferidas por el aniculo 2°, numeral 8 det Decrato 4222 de 2006, y, CONSIDERANDO: Que ef Deoreto 4222 del 23 de noviembre de 2008, modified parcialmente fa estructura del Ministerio de Defensa Nacional. Que el numeral 8 del erticulo 2° de fa norma’en cita, faculta el Director General de la Policia Nacional de Colombia, expedit resoluciones, manuales, reglamentos y demés actos administrativos neoesarios para administar la Policia Nacional en todo al ferrtorio nacional | ue 9 articulo 24 de ia norma ibidem, establece que el Director General de la Policia Nacional de Colombia podra crear y organizar, con cardcter permanente o transitorio, escuelas, unidades, areas funcionales y grupos de trabajo, determinando en el acto de cveacién de éstas, sus taroas, responsabilidades y las demas disposiciones necesarias para su funcionamiento y puede delegar esta funcién de conformidad con las normas legales vigentes. Que mediante Ia Ley 672 del 30 de diciembre de 2003, se cred el Sistema de Gestion de la Calidad en la Rama Ejecutiva del Poder Publico y on otras ontidades prostadoras de servicios, ‘como una herramienta de gestion sistematca y transparente para dirigir y evaluar ef desempeno insttucional, en términos de calidad y satistaccién social en la prestacién de los servicios a cargo de ‘as entidades y agentes obligadas, la cual estar enmarcada en los planes estratSgicos y de desarrollo de tales ertidades. Que a través de la Aasciucén 03049 del 24 dle agosto de 2012, se adoptd el Manual del Sisterna de Gestin de Seguridad de la informacién para la Policia Nacional. Que ‘@ Policia Nacional mediante la implementacién det Sistema de Gestion de Seguridad de fa Informacién, busca proteger los activos de la informacién como insumo fundamental pera ol ‘cumplimiento de la misiOn Y aseaurar la Supervivencia Ge la Institucion, arotegiendola a traves de le aplicacién efectiva de las mejores prdcticas y controles y garantizando la gobernabilidad det pais, Que’ en atencién a los preceptos normativos sobre el Sistema de Cestién de Seguridad de te Informacién, se hace necesario derogar la Resolucién 03049 del 24 de Agosto de 2012 ‘Manual dal Sistema de Gestiin de Seguridad de Ja Iniormacién para la Policia Nacional’, y expedir nuevos lineamientos enfocados a la preservacién de los actives de informacion, que pormitan a la voz Ie consulta de los deberes institucionales y orientacion a los tuncionerios en el uso de las buenas practicas para alcanzar jos estindares de calidad, seguridad y cicio de vida de la informacion, con | objeto de lograr mayor eficiencia, eficacia, efectividad y calidad da los actives de informacién mediante las préctioas que se deben utlizer dentro de la lnsttucion a través de la elaboracién y aplicacién de pautas para el desempofio do sus funcionas y alcance de ios cbjetivos on ta prestacicn del servicio de Poiica, Que es necesario establocer el Sistema Ge Gestién de Seguridad de la Informacién de ta Policia Nacional. el cual cuerta con herramientas que incluyen normas, protocclas y controles 2 fos activos Ge informacién, permitiondo hacer una adecuada gestién del riesgo y fortaleciendo la. institucién ante posibies amenazas que afecten su continuidad del negocio, para lo cual. 48 .AS_0001 Apeabacién 2n:04- 2044 verimoe, 083TH ae! 2 g NC 2018 HOJA N* 2 DE 49. “POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GEST« JE SEGURIDAD DE LA INFORMACION PARA LA POLIC/A NACIONAL” RESUELVE: ARTICULO 1. EXPEDICION. Expedir i Manual del Sistema de Gostion de Seguridad de la Informacion para la Policia Nacional ARTICULO 2, ESTRUCTURA DEL MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION, SGSI. La Estructura del Manual dei Sistema de Gestion de Seguridad de la Informackin; estaré compuesto por los siguientes capitulos y anexos, ast: CAPITULO! GENERALIDADES ARTICULO 3. ALCANCE DEL MANUAL. EI presente Manual es de cumplimienio para tos funcionarios de la Policia Nacional y personal externo que le proporcione algin bien 9 servicio; quienes estan obligados a adoptar los parametros aqui descritos y ios contrales adicionales que pueden implementa las diferentes unidades de acuerdo a su misionalided. La politica de Seguridad de ta Informacion busca cubrir toda la informacién impresa o eserita en papel, recopiiada electrénicamente en cualquier medio de almacenamiento actual 0 futuro, transmitida a través de medio electtonico actual o futuro: mostrada en videos 0 hablados, y todo lo considerado informacion de caracter institucional que se convierte en activos de informacién ARTICULO 4, ALCANCE DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION, SCSI, Las Unidades de Policia que se cortiiquen ¢ implementen el Sistema de Gestion de Seguiidad de la Informacion, deberan definir los limites del alcance y la deciaracén de aplicabilidad de acverdo a la Norma ISO 27001:2013, identificando tos siguientes requisitos: |, CONTEXTO DE LA ORGANIZACION: Determiner factores inierncs y externos que pueden afoctar la capacidad funcional de la Insttucén para lograr los objetivos delinides en cumpiimieato de 10s resultados previsios en el Sistema de Gestion de la Seguridad de la lnformacién A. FACTORES EXTERNOS: Se deben identificar ios siguientes elementos del contexto externo: ~ Avances tecnoidgicos accesibies. Cambios de pollticas. ~ Cambios normativos. Enigencias de la comunidad de Seguridad de la Informacion, 8. FACTORES INTERNOS: Para el Sisiema de Gestion de Seguridad de la Informaciin es importante tener en cuenta, algunos. conceptos contemplados en el marco estratégico institucional, asf: Mision Vision Mega Politicas institucionales: 1. Politieas institucionales Misionales, ~ Servicio de Policia. Unidad institucional, - Integridad Policia + Gestion humana y calidad de vida optima. Educacién ¢ Innovacién Policia - Comunicaciones Efectivas. ~ Buen Uso de los Recursos. 2. Pollicas institucionales de Sisternas de Gestion + Principios y valores étioos institucionaales 2 COMPRENSION DE LAS NEGESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS: Son aquellos factores que configuran la razén de ser de las diferentes unidades de la Policia Nacional, es decir, sectores sociales 0 clientes hacia los que la Institucén focaliza sus esfuerzos y pretende atender de forma eficiente, por lo tanto cada unidad de acuerdo a su misionalidad debe identficar los clentes (partes interesadas) que impactan con su TOS-RS- vont Aaptobacén: 28.04.20fy. RESOLUCION N°. 8834 u del DIC Wh Hosanes be «0. | "POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA LA POLICIA NACIONAL” funeién, y que con las actividades que realizan deben tener en cuenta el cumpiimient de las politicas del Sistema de Gestion de Seguridad de la Informacién, GRUPOS SOCIALES OBJETIVO O CLIENTES = Poblacion Generat ‘Gremios, asociaciones y sector productive Organizada Medios de comunicacién Poliolas de otros paises Internacional Organismos muttiaterates Eleoutiva Ramas del poder| pubblico Jucicial Legislative, Organos de Control Grganas de Control Personal Active: Usuarios Personal on uso do buen retro y pensionacos, 3. PARTES INTERESADAS: estan definidas como: A. COMUNIDAD: Grupo social, colomblanos y extranjeros que se encuentren en el terror. nacional a quienes la Policia Nacional brinda servicios de proteccion La relacién que existe entre la Policia Nacional y la comunidad, es la de crear condiciones necesarias para la convivancia y la seguridad, asi mismo la de garartizer ta integridad policial, la transparencia y la veeduria social | B. ESTADO: La relacién de a Policia Nacional y el Estado se fundamenta con el principio cconstiwucional de garaniizar ja seguridad de todos los habiantes del teritorio nacional, por | le tanto el compromiso de la Insttuctn es respetar y promover el Estado Social de Derecho, cumpliendo todos los requistos legales, contractuales y regulatorios que sean de aplicacién pera a Seguridad de la Informacién Cumpiimients normative: - Ley 80 del 28/70/1993 “Estatuto general de contratacion de la administracion publica Ley 87 del 26/11/1993 ‘Control interno en los organiamos del estado’ + Ley 827 del 18/08/1998 "Comercio electronico” + Ley 594 del 14/07/2000 "Ley General de archivo” = Ley 599 de} 2417/2000 “Cédigo penal colombiano” ~ Ley 603 de 2000 “Control de Legalidad del Software” - Ley 734 del 05/02/2002 *Cdigo Disciplinario Unico” = Ley 952 de 2005 "Simplifcacion y Racionalizacion de Tramite Atributos de seguridad en la informacién electronica de entidades piblicas,” = Ley 1018 del 07/02/2008 “Récimen Disciplinario pera fa Policia Nacional” = Ley 1150 de 2007 "Seguridad de ta informacion electronica en contretacién en tinea Ley 1286 del 31/12/2008 "Por lo cual se dictan disposiciones generales del habeas data y se regula el manajo de la informacion’ ~ Ley 1273 del 05/01/2009 “Proteccion de la informacion y de fos datos’ = Ley 1341 de 2009 “Tecnologias de fa Informacién y apicacion de seguridad” = Ley 1480 de 2011 “Proteccion al consumidor por medios electronicos, Seguridad en transacciones electrénicas’. = Ley 1581 del 17/10/2012 “Por fa cual se dictan disposiciones generales para la proteceion dates personales" y su decreto regiamentario 1377 del 27 de junio de 2013. = Ley 1821 del 17/04/2013 "inteligencia y Contrainteligencia” 105 -AS -0008 Aprabarién 26.08.2014 VER!mesouconm OSS TO) ca 78 DIC 2019 howans oe 00. “POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA LA POLICIA NACIONAL” = Ley 1772 del 05/03/2014 “Por medio de la cual se crea la Ley de Transparencia y dol Derecho de Acceso 2 la Informacién Publica Nacional y se dictan otras disposiciones’ = Decreto Ley 019 de 2012 “Racionalizacion de tramites 2 través de medias electrénicos. Criterio de seguridad’. = Decreto 103 de! 20'01/2016 “por el cual se regiamenta parcialmenie la Ley 1712 de 2014 y se dician otras disposiciones’ + Decreto 1970 de 2015 del 26/05/2015 ‘por el cual se expide el Decreto Unico Reglamentanio del Sector Administrative de Defensa" - Manual para la implementacién de la estrategia de gobiemo en tinea en las entidades del ‘orden nacional de fa Republica de Colombia. = Documento CONPES 3854 11/04/2016 ‘Politica Nacional de Seguridad Digital” > Norma técnica Colombiana NTC-ISONEC 27000. = Metodoiogia para endlisis y evaluacién de riesgos do la Policia Nacional. = Directiva 18 del 19/06/2014 Ministero de Defensa Nacional “Poitticas de Seguridad de fa Informacion para el Sector Defensa’ ‘Asi mismo se daré cumplimiento a las nuevas Leyes, Decrelos y Normies emitidas por las autoridades competentes que involucren @ las entidades piblicas reiacionadas con Seguridad de la Informactén y proteccisn de datos, ©. COMUNIDAD POLICIAL: Los funcionarios de la Policia Nacionat son todos aquellos quienes con su talento, compromiso, responsabilidad y liderazgo gerantizan el orden publico de la nacion. La responeabiidad ante o| Sistema de Gostién de Seguridad de la Informacion fs velar por la proteccicn de ta informacion a la cual se tiene acceso en cumplimiente de sus funciones. INTERFACES Y DEPENDENCIAS DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION: Cada unidad de Policia debe identificar las dependencias que desarrollan actividades que interactUan con otras organizaciones y unidades de Policia, con el fin de dar apicabilidad al SGSi en la proteccién de los actives de informacion, ARTICULO 5. LIDERAZGO Y COMPROMISO. La Polic’a Nacional demuestra su apoyo y ‘compromiso con la proteccién de fa informacion institucional a través de: La aprobacion y establecimionto de la Politica de Seguridad de la informacién, cuyos objetivos sian alineados con las directrices estratégicas de fa Insttucién: La disposioi6n de los recursos neceserios para la adecuada oparacién del Sistema de Gostisn de Seguridad de la Informacion. El aseguramierto del cuiplimiento de tos abjetives definidos para la Gestion de Seguridad ce ta Informacién, . La elta gerencia de cada unidad en donde se tiene implementado un Sistema de Seguridad de la Informacién ha de comunicar |a importancia del cumplimiento de los controles establecidos para la protecoion de 10s actvos de informacion. Los lineamiontos inetitucionates que apoyan al personal que soporta la gestién de Seguridad de la Informacion dentro de ‘a Institucion. La mejora continua, CAPITULO II POLITICA DE SEGURIDAD DE LA INFORMACION PARA LA POLICIA NACIONAL ARTICULO 6, POLITICA DE SEGURIDAD DE LA INFORMACION. La Policia Nacional de Colombia se compromete a salvaguardar sus actives de informacion con el fin de protegerios de las amenazas que se ciemen sobre ellos, « través de la impiementacion de un Sistema de Gestisn de Seguridad de la informac In que permita ia adecuada gestién del riesgo, la generacion de estrategias de seguridad baseda en las mejores practicas y contioles, el cumplimiento de jus ‘equisitos legales, la oporiuna gestiSn de los incidentes, y el compromiso institucional de mejora continua ARTICULO 7, OBJETIVOS DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION. Con el fin de minimizar ia materializacic del riesgo frente a los activos de informacion de la Policia Nacional se han establecido los siguientes objetives del SGSI, asi Crear una cultura de Seguridad de ta Informacién en cada Unidad Policial mediante sensibiizaciones y capacttacones en cuanto 2 las mejores précticas para avitar la materializacién de riesgos ascciados al SCSI, ios 001 pecan: e.na.2016 vere tRESOLUCION N' del HOJA N° 5 DE 40. “POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA LA POLICIA NACIONAL” + identticar mediante una adecuada evalvacion del riesgo, el valor dala informacion asi come las vulnerabilidades y las amenazes a las que esté expuesias. + Dar un vatamiento efectvo a los incidentes ce seguridad, con el fin de identificar sus causas y realizar fas acciones cortectivas, + Implementar y mantener el Sistema ce Gestion de Segurided de la informacion promoviendo la mejora continua. ARTICULO 8. REVISION DE LA POLITICA DE SEGURIDAD DE LA INFORMACION. El Comité de Seguridad de la Informacién serd el responsable de realizar las revisiones ce la politica cel 'SGSI y lo har al menos una vez al aio o cuando ocurran cambios en ©} entorno organizacional, marco legal o ambiente tecnico. CAPITULO II ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION ARTICULO 9. ROLES Y RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMAGION. La Policia Nacional, con el ‘in de realizar un adecuado aseguramiento de la administracién del Sisterna de Gostién de Seguridad de la informacién (SGSI), define los siguientes roles de quienes deben apoyar'y cumplir esta politics, asi COMITE DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION DE LA POLIGIA NACIONAL: El Comité del Sistema de Gestion de Seguridad de la Informacion de la Policia Nacional laren orienta, gestiona los recursos, implemente y reallza seguimiento del SGS\, realizando actividades {de andlisis de riesgos, implementacién de controles con el fin de evitar la materiaizacion de acoiones que afecten los pares de seauridad de la informacién (confidencialidad, integricad, isponivildad), asi mismo la realizaciin de acuerdos de nivelos de servicio enire las unidades ceftticadas y la Oftona de Telematica 4.4 INTEGRANTES COMITE DEL SGSI: - dete det Grupo del Equipo de Respuesta a Incidents. de Seguridad Informatica ‘CSIRT - PONAL" o quien haga sus veces - Jefe de Centro de Proteccién de Dates ‘CPD" o encargados del Sistama de Gestion de Seguridad de fa Intormacién (SG!) de cada Direccién. ~ dete Grupo Direccionamiento institucional de 12 Oticina de Planeacién (Encargado de Sistema de Gestion de Calidad (S20), + Invitades 4.2 FUNCIONES COMITE DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION DE LA POLICIA NACIONAL: + Lidecar y definir las actividades tendientes al fortalecimiento y mejora continua de la Seguridad dela Informacién en las unidades certficadas. ‘+ Promover el cumplimiento, por parte del personal de la unidad, de las polticas de Seguridad de la Informacién Institucionei + Definir, evaluar e implementar en la unided los controles preventives alineados @ la 18027001:2073 y el Manual de Seguridad de la Informacion de la Institucion. * Evaluar y dar tramite a las conductas contrarias que afecian la polttica de Seguridad de la Informacion de ta Polici * Vetiicar y aprobar el inventario de los activos de informacion 10S RS act Aprotaaién: 29:04.2 VERYRESOLUCION N tssio del FIG HOJAN* 6 DE 40. “POR LA CUAL SE EXPIDE EL MANUAL DEL SISTE! IE GESTION DE SEGURIDAD DE LA INFORMACION PARA LA POLICIA NACIONAL” * Realizar Seguimiento a los acverdos de nivel de servicios entre la Oficina de Telematica y las Unidades cerificadas. = Gestionar los riesgos de Seguridad de la Informacion de la unidad a través del seguimianto al tratamiento de riesgo institucional que atecte la Seguridad de la Informacion + Resolver las controversias y contlctos entre ta entidad de certifcacion (PKI, Infraestuciura de lave publica de ta Policia Nacional) y sus suscriptores, cuya {uncion seré resolver cualquier controversia o diferencia que pudiera surgir entre le PKI-PONAL y sus suscriptores, en ratacion con la interpratacién y/o apiicacion do ta Declaracién de Prdcticas de Certficacién Digital — DPC, que no pueda ser resuatta, dentro de los treinta (80) dias calendario siguientes al ‘momento en que dicha controversia 0 diterencia haya sido planteada. 4.3 PERIODICIDAD DE CONVOCATORIA: El Comité del Sistema de Gestién de Seguridad de la informacién de le Policia Nacional os presidide y convocado por et Jefe Grupo Seguridad de la Informacién 0 quien haga sus veces, deberd reunirse sernestvaimente 0 cuando se requiera extraordinariamente. 2, COMITE INTERNO DE SEGURIDAD DE LA INFORMACION. Es el Comite interno de Seguridad ce la Informacién conformado en tas unidades ce Policia, en et cual se planea, orienta, gestiona los recurscs, implementa y realiza seguimiente del SCSI, realizando actividades de concientzacion sobre las mejores practioas, gestn ce activos de informacion, gestion de! riesgo y atencién de los incidentes de seguridad con el fin de gerantizar el fortalacimiento de la politica de seguridad de la informacién. 2.4 INTEGRANTES COMITE INTERNO DEL SCSI. DIRECCIONES, OFICINAS ASESORAS, ESCUELAS: Director 0 Subdirector. Jefe Planeacién. Jefe Administrativo, Jefe Comunicaciones Estratégicas (COEST). Jefe Grupo Telematica, ele Centro Proteccién de Datos, CPD (donde este creado) 0 su delegaco. Jete Seguridad e Instalaciones, ‘Jefe Grupo Talento Humano. Jefe Gestién Documental. ‘Analista de Seguridad de la informacion ‘Asesor Uuridico. DEPARTAMENTOS y METROPOLITANAS: ‘Comandante o Subcomandante. Jefe Planeacién. Jefe Administrative. Jefe Comunicaciones Esiratégices (COEST), Jofo Grupo Totomatica. {Jefe Seguridad ce Instalacionas o Comandante de Guardia, Jefe Grupo Talento Humanc. ‘Jefe Gestion Documental. ‘Asesor Juriico. ‘Analista de Seguridad de la Informacion, Jefe Seccional de Investigacién Criminal, SIN. ‘Jefe Seccianal de Inteligencia Policial, SIPOL. En las rouniones del Comité interno dé Seguridad de la Informacién en ease de no aéietir él ttuter debera hacer su delegaco. 2.2 FUNCIONES DEL COMITE INTERNO DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION: + Liderar-y defini fas actividades tendientes al fortalecimiente y mejora continua de la Seguridad de la Informacion en la unidad. + Promover el cumplimiento, por parte del personal de te unidad, de las politices de Seguridad de la Informacion institucional 10g-RS- 0001 Aprabaciin: 28:08 9004 VERT28 Og RESOLUGION NP 8 8340 del HOUAN®? DE 40. “POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD OE LA INFORMACION PARA LA POLICIA NACIONAL’ ~ Despleger las pollicas de Seguridad de fa Informacion delinides por el Come Ge Seguridad de la informacidn de la Policia Nacional + Defini, evaluar e implementar en la unidad los controles preventivos alineados a la 180270012013 y el Manual de Seguridad de la informacidn de la Institucién, + Oivuigar y realizar campanas pedagogicas a los funcionavios y cantratistas de la unidad sobre las mejores practicas en la gestion de actives de informacion + Evaluar y dar trémite a las conductas contrarlas que afectan la polltica de Seguridad de la Intormacién de la Policia * Veriicar y aprobar el inventario de los actives de informacion realizado por él analista de seguridad de la informacién de la unidad o quien haga sus veces + Resolver las contovarsias y confictos entre la entidad de certicacén (PKI, Infraestructura de llave publica de la Policia Nacional) y sus suscriptores, cuya funcion sera resoiver cualquier controversia o diferencia que pudiera surgir entre a PKLPONAL y sus suscrppiores, en relacién con la interpretacién y/o aplicacién de la Deciaracion de Practicas de Centficacion Digital - DPC, que no pueda ser resuelta, dentro de los treinta (80) dias calendar siguientes ‘al momento en que dicha contioversia o diferencia haya sido planteada, 2.3 PERIODICIDAD DE CONVOCATORIA: El Comité de Seguridad de ia informacion es presidido y convocado por el sefior Director o ‘Subdirector, Comandante 0 Subcomandante sagin sea el caso, coberd reunirse trimestralmente 0 cuando se requiera extraordinaramente. 3. RESPONSABILIDADES INDIVIDUALES: Los roles y tesponsabiidades de quienes deben apoyer y cumpli la Polltca de Seguridad de ta Informacién jos. cuales son resporsables de la implementacién del Sistema de Gestion de Seguridad de la Informacién, veritcando la efectividad y eficiencia del Sistema acorde con los objativos de la Policia Nacional, tomando las acciones correctivas que hubiese lugar, seran ios siguientes: . Oficina de Telematica, Administra las herramientas tecnologicas de la Policia Nacional que son gestionadas desde el Nivel Central, asi mismo electia las tareas de desarrolo y mantenimiento de Sistemas de Informacién, siguiendo una metodologia de ciclo de vida, la cual debe contemplar medidas de seguridad. b. Grupo de Seguridad de fa Informacion: La Oficina de Telematica lidera e} desarralio, implementacién, mantenimiento y actvalizacién del Sistema de Gestién de Seguridad de ta Informacién, ©. Propictarios de los actives de informacién: Son todos aquellos funcionarios que idontiican, elaboran, ciasttican y gestionan el riesgo de ios actos de informacion de acuerdo al grado de sensibilidad de la misma. | J. Direccién de incorporacién: Tiene como funcién seleccionar el talento humano de planta Ue tal manera que se cortifique quo el aspirante poses competoncias que cumplan con el perfil del cargo al cual se postula de acuerdo al protocolo de seleccion del Talento Humane para la Policia Nacional 2. Inspeccién General: investiga las conductas contrarias que afectan la Politica de Seguridad de fa Informactén. ‘+ Area de Control interno: Neva y varia el cumplimiento dela presente Resolucin. a Wav | de las auditorias programadas a las unidades, asi mismo 4 aquelias que cuenten con un Sistema de Seguridad de la Informacion. | Pardgralo: Para las unidades que no cuentan con un Sistema de Seguridad de informacion, al Area | de Contro| interno rovisaré y verkicara ol cumpimiorto do los controles transvercalos, asi Seguridad del cabieado. Mantenimiento de los equipos. ‘Seguridad de los equipos fuera de las instalaciones. Destruccién o reutilizacién segura de equipos. Normas de escritorios y pantallas limpias Retiro de bienes de las instzlaciones. L 208 -AS- oot Aonebisiin’ 8208-2084 VER tFESOLUOION NE Ng to geo VR DIC TUTE nova 8 0e «0. =POR LA CUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA LA POLICIA NACIONAL" Suminsiro de eneroia. Seguridad de los equipos. Controles de fas rede. ‘Seguridad de los servicios de red. Manejo de los medios de almacenamiento. Mensajeria electronica. Fiesponsabilidad de los usuaties Icentificacion y autenticacion de usuarios. Sensitilzacion y concienciacion a tuncionarios y tereeras. Avencién de incidentes de seguridad de la informacion, Disponibilidad de cariales de comunicaciones. Antivirus 9. Secretaria General: Asesora en materia legal los aspectes pertinentes a Seguridad de la informacion. h. Equipo de respuesta a incidentes de seguridad informatica “CSIRT PONAL.” - Computer ‘Security Incident Response Team: Atiende e investiga los incidentes de Seguridad de la InformaciSn institucional y propende por el restablecimiento del servicio en caso de verse atectado. iL Centro Cibernético Policial, CCP; investiga los incidentes que se sospachan constituyen un delto, a través del contial y lidorazgo do la Direceién de Investigacion Criminal e Interpol (Duin). j. Funcionarios: Todo el personel que labora o realiza actividades para la Policia Nacional. son responsabies por el cumplimiento de la presente Resolusion y es deber informar cualquier incidente de Seguridad de la Informacion que se tenga concimiento. ARTICULO 10. SEPARACION DE DEBERES. En los cargos donde se realiven labores sensibles 0 ‘sean identificados como poreeptives a corrupsién, se debe realizar la separacién de tareas entre distintos funcionarios 0 contratistas con e! fin de reducir el mal uso de los sistemas e inforaciones deliberadas o acciones por negigencia. ARTICULO 41. CONTACTO CON LAS AUTORIDADES. Las ciferentes unidades de la Policia Nacional, realizan un listado de contacto con las autoridades la cual debe incluir a las empresas de servicios piblicos, servicios de emergencia, proveedores de electicidad, salud y seguridad ARTIGULO 12. CONTACTO GON GRUPOS DE INTERES ESPECIAL. Ei Equipo de Respuesta a incidertes de Seguridad informatica “CSIRT'-PONAL, serd el encargado de mantener las | membrecias con grupos o foros ce interés especial como un medio para: ‘+ Obtener et conocimianto sobre las mejores précticas y permanecer actualizado can ta informacion sobre seguridad informatica pertinente. + Recibir advertencias tempranas de jas alertas, avisos y actualizaciones acerca de ataques y yulnerebilidades, + Compertir © intoreambiar iniormacién acerca de nuevas tecnologias, productos, amanazas 0 vulnerabilidades. + Brinday los enlaces adecuados cuando se trala de incidentes que atectan ia Seguridad de la Informacién, + Emit ls respectives botetines con ol fin de mantener al dia al personal de la Policia Nacional sobre los incidentes de Seguridad Informatica y de esta manera difundir las recomendaciones para adoptar las mejores practices. ARTICULO 43. SEGURIDAD DE LA INFORMACION EN GESTION DE PROYECTOS. Cada vez que la Policia Nacional planee, desarrolle, ejecute 2 implemente nuevos proyectos de acquisicion o mejora de recursos tecnolégices, fisicos 0 de cuaiquier indole, hace el estudio de conveniencia y oportunidad en ol cual debera considerar los riesgos juridicos y operativos del proyecto, asi coma realizar tm Indusién. de cilusuias de fhm de acuorics de confvenceftad y‘eouxtoe de contiabilidas 19S FIS 0004 Aprebacién: 28.04:2014 VEAYRESOLUCION NP. OSS To det #8 DIC 16 HOJAN®9 DE 40. “POR LA CUAL SE EXF'DI MAN DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA LA POLICIA NACIONAL” {a adauisicion de nuevos recursos y servicios eanclGolcos Ge IWformacion COMUTIGGCONES, AST como software y hardware asociado, sorin autorizades Unicamente por ol proceso de Direccionamiento Tecnoldcico de fa Policia Nacional de Colombia. ARTICULO 14. PLANIFICACION. La Policia Nacional se basa en los aspéctos determinados on el contexto de la organizacién y una agertada gestién de fos riesgos asociados a la informacén, |o cual parmite determinar el impacto para la institucién y sus procesos on caso que se produzca una situaci6n de pérdida de confidencalidad, integricad 0 Gisponibiidad en la informacon, La adecuada Kdentiicacién de riesgos sobre ‘a: informacion permitra a la Irstitucion tomar decisiones y priorizar las acciones sobre los mismos, enfocdndose en requerimientos de seguridad de la informacién (inversion, priorizacion de necesidades, etc.), La metodologia de riesgos definida por la Policia Nacional para el Sistema de Gestion de Seguridad de la informacién incluye: 1. Criterios de aveptacion y evaluacion de riesgos. 2. Ideniificar los riesgos de Seguridad de la Informacion (incluyendo las fases de identiticacion y evaluacén dei riesgo relacionados con la pérdida de confidencialidad, integridad y isponibiidad de la informacion). 3, Definicién de fos responsables de la informacién como duefios del riesgo. 4, Categorizacion del impacto, probabilidad de ocurrencia y as consecuencias poteniaies sobre la Insttucién si se materializeran, 5, Definicién de tratamiento de riesgos de sequtidad de la informacion y la aprobacidn de los isms por parte del dusfio det riesgo. (Una vez concluido el analss de riesgos y generados los planes de tratamiento tal como lo describe la metodotogia de riesgos de la Policia Nacional, se debe generar 0 actualizar (segin sea el caso) la deciaracion de aplicabilidad de la unidad, en la que se incluyan los controles necesarios y la iusiiicacion de las inclusiones, ya sea que se impiementen 0 no, y la justificacion para las exclusions de los controlas conforms al anaxe A de la norma técnica de calidad ISO 27001:2013. Esta declaracién de aplicabilidad debe contener como mininio fa siguiente informacion: Numeral y Control de ta norma, Nombre de! control Responsable. Descripcion Razén para la seleccién yo justificackin para exclusién, Tipo de controk: automatico © manual. ‘Aplica: SI.0 No. Formato 0 procedimiento asociado. Cémo se aplica. ‘Antes de definir la Declaracién de Aplicabilidad, es importante que cada unidad realice las siguientes actividades, con el fin de determinar tes activos de informacion a prateger. 1. Lovantamiento ¢ inventario de actives de informacién (de acuerdo a la guia 1DT-GU.0011 identticacion y valoracién de actives de informacion) 2. Realizacién endlisis de riesgcs. 3. Realizacién de planes de tratamiento de riesgo. 4. Implementacion controles. ARTICULO 15. RECURSOS. La Policia Nacional, consciente ce la importancia de la seguridad de Ja informacién, prevé los recursos de acuerdo 2 la disponiblidad presupuestai para el establecmiento, impiementacion, mantenimiento y mejora continua del Sistema de Gestion de Seguridad de la Informaciin a través de la inclusion en el Plan Anual de Necesidades, dentro del cual se consideran los requerimientos necesarios para la implementacién de contrales técnicos- administrtivos. ARTICULO 16. CONOCIMIENTO, El Sistema de Geston de la Seguridad de la Informacion de ta Policia Necional, define y mentiene programas de formacién, planes de sensibifizacién y toma de conciencia a través de los Grupos de Telematica El plan de sersibilizacién se raviserd, definird y sjecutaré da acuerdo con las necesidades y on coordinacién con los demas sistemas de gestion de la Insttucion. Estas actividades de cefinicion estaran coordinadas entie el Grupo de Seguridad de la informacion de la Oficina de Telernatica y, las areas encargadas de la generacién de compstencias en e! talento humano y en al manejo de ta cultura y ta gestion det cambio organizacional 308- AS 0001 ‘Aprobaciin 28 04 2041 VER tRESOLUCION 5 3 J ca 2B DIC 2015 rosan: 1008 40. SOF LA GUAL SE EXPIDE EL MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA LA POLICIA NACIONAL” Dentro de la sensiblizacién se deberdn incluir como minimo los siguientes temas Notmativided, incluyendo la Politica de Seguridad de fa Informacién de la Insitucion. La importancia y los beneficios del Sistema de Gestion de Seguiided de le Informacién, Elaporte de cada uno de los funcionarios al sistema desde su cargo 0 rol. Las Implicacionas de la no conformidad con los requisites descritos en la norma ISO 27001:2015 para el Sistema de Gestion de Seguridad de la Informacion, ARTICULO 17. GOMUNIGAGION. La Policia Nacional cuenta con la Oficina Asesora de Comunicaciones Estratégicas (COEST), a través de la cual se socializan y difunden los diferentes componentes del Sistema, entie ellos e Manual del Sistema ce Gesttin de Seguridad de le Informacion, las poiiticas, los protocolos, guies que lo soportan y los elementos nacesarios para la sensibilizacién de los funcionanos de la Policia Nacional. Por Jo tanto se debe realizar las coordinaciones necesarias con los responsables de COEST para Ja comunicasion de los temas relacionados con e! Sistema de Gestion de Seguridad ce la loformacién. ARTICULO 18. INFORMACION DOCUMENTADA. Todas las decisiones y acciones on cuanto al Sistema de Gestion de Seguridad da la Informacion estaran documentadas. Para ello se llevard registro de las decisiones tomadas por la Direccién de cada unidad y de los demas documentos ‘que represanton un registro para el SGSi (reportes de incidentes, valoraciones de eticacia de tos, controles, actas, entre otros). En cuanto a los documentos relacionados con el SGSI, también Geben estar protegidos y diapanibles en sus dikimas versiones. Para car cumplimiento a fo anterior, ‘se debe considerar lo siguiente: 4. Creacién y actualizacién de documentos: Se realiza de acuerdo oon las tablas de retencion documenta (TRO) Cetinidas para cada una de las Direcciones y Oficines Asesoras (dando cumplimiento a la Ley 594 de 2000 Ley general de archive), liderado por el area de Archive de la Secretaria General Denito de las TRD se dascribe ol cédigo, nombre y tiempo de retencon de la informacion detinida por ios productores de la informacion. 2 Control de fa informacion documentada: E! control de la informacion recibiday envieda por la Inettucion es administrado por la aplicacién do Gestién de Contenidos Policiaies (GECOP), a través da la cual se tiene una clasificacion inicial de la informacién que Incluye un rive! bdsico de confidencialidad. ARTICULO 19, EVALUACION DEL DESEMPENO. La Policia Nacional ha definido dentro del ‘alcance la medicién de indicadores, la evaluacién dei desempefio de la Seguridad de lz Informacion y la eficacia del Sistema de Gestion de Seguridad de fa informacion, La definictin de los indicadores del SGS! se descrite en e| documiento 1DS-GU-0013 Gula de Herramientas de Seguimiento y Medicién en la Policia Nacional, en donde se establece. 1. Las acciones, procesos y controles de Seguridad de la informacion a las que se debe Hacer Seguimiento, 2. Los métodes de seguimiento, medicién, analisis y evaluation, sepiin sea aplicable, para asegurar la mejora continua. Cuando se deben levar a cabo el seguimiento y la madicion. Quien debe llevar a cabo el sequimiento y la medicion. Cuando 26 deben analizar y evaluar los resuttados del seguimiento y de la medicién Quien debe anaiizar y evaluar estos resutados. ARTICULO 20. AUDITORIA INTERNA. Para ei monitoreo del Sistema de Gestion de Seguridad de fa Inforracién, se incluyé los lineamientos de Seguridad ce la Informacién dentro del alcance dat procedimiento de auditorias internas. Este procedimiento se encuentra documantaco en el documento 1C-GU-0002 guia para realizar aucitories interas, en esta se felaciona el desarrollo y la ejecucién del programa de auditorias, estableciendo las responsabiidades de las unidades sujeto de auditoria y se establecen los parametros para que las Unidades audtadas elaboren y ejecuten ef Plan de Mejoramitenta interno por procesos en la Policia Nacional. Para las auditorias al Sistema de Gestion de Seguridad de la informacién SGS\ se debe validar si las actividades de gestisn y cumplimiento se encuentran en los siguientes items: 19s-RS-eoot Avrebacén: 2-08.2016 VER:RESOLUGION Ne ORS Th ao 28 DIC 2016 Hoa 11 Devo. *POR LA CUAL SE E: JAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA LA POLICIA NACIONAL” 7, Son comforme con a. Los propios requisitos do la Institucién. bb. Los requisites de la Norma ISO 270012013, 2. Esta implementado y su mantenimianto se realiza eficazmente, ARTICULO 21. REVISION POR LA DIRECCION. La Direccién General de fa Policia Nacional deberd revisar el Sistema de Gestion de Seguridad de la Informacién como minimo una vez cada ‘afio, para ratiicar su conveniancia, adecuacién y eficacie siguiendo la Guia de Revision por la Direcci6n. La revision de seguridad de la informacién cede: 1. Identficar cambios en tos nivoles de riesgo, nuevas amenazas y vuilnerablidades. 2. Identinicar cambios en la Insttucien, 3. Identificar cambios en la Legisiacin. 4. Revisar el estado cel sistema y su implementacin 5. Analizar el cumplimiento de los objetivos de seguridad. & Anaiizar la efectividad de los controles implementados (evolution del estado de la seguridad) 7. Establecer acciones preventivas, correctivas y de mejora. 8, Rotroalimentar sobre | desomperio de la Seguridad de la Informacién (no conformidades, acciones correctivas, seguimiento y resultadcs de medicion, auditorias) 9. Disponer de los registros que evicencien las revisiones. 40.\dentifcar y solicitar ia implementacién de oportunidades é@ mejora continua Para conocer ol estado de implementacién de los controles y su evolucién en el tiempo, se aplicard la escala de madurez de acuerdo a fos objetivos de control para la informacion y tecnologias relacionadas ce la guia COBIT v4.1 Como resultado de esta revision se establecen las cesisiones relacionadas con las oportunidades do mejora continua y custquier necesidad del cambio del Sistema de Gestion de Seguridad de la Informacion Escala de Madurez Neo Er Cus al (sues umer reais Los procesos han sido tlevados al nivel de mejores Practicas, con base en los resultados de ta mejora continua. Gestionado %6 ES posible hacer seguimiento y medir et cumpimiento de los protocolos, asi como tomar acciones corractivas 0 Preventivas cuando se detectan fallas y hacer sequimiento dichas acciones. Es posibie hacer seguimiento y medir el cumplimiento de Jos protocolos, aunque no es constante que se tomen | acciones correctivas 0 preventivas. Los pracesos se encuentran totalmente dacumentacias pi Definido ta responsabilidad del cumpimieato recae en cada individuo ¥ 88 poco probable que se detecten desviaciones a jos esténdares establectdos. Los progesos se han desarrollado hasta un punio en el cual petite protocolos similares son utilizados por personas diferentes para llevar @ cabo la misina tarea, aun cuando estos no se encuentran totalmente documentados: Se ha identiicado una stuacién que debe ser tratada y se Inicial han implementado acciones aun cuando no hay directivas 0 procesos documentados relacionados con dichas acciones, Medible Carencia total de procesos relacionados con e SGSI. Inexistente La organizaion no ha |dentificado una situacién que debe ser trataca. ARTICULO 22, NO CONFORMIDADES Y ACCIONES CORRECTIVAS. De acuerdo con lo establecico en el Manual del Sistema de Gestién integral de fa Policia Nacional se han definido jos siguientes procedimientos: + Procedimiento accién corroctiva y procedimiento accién preventiva: se encuentra documentado con el cédigo 1MC-PA-C005 “Ejecutar accidn correctiva, preventiva y correccion™ 182AS 000) Aptchacibn; 2208-2014 vertRESOLUCION Ne. dot HOJA N42 DE 40. "POR LA CUAL SE EXPIOE EL MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA LA POLICIA NACIONAL” ‘Bh donde se establece la metodologia para la dentificacion y tratamiento de las oportunidades: de mejoramiento que surgen en el desarrollo del Sistema, Asi mismo les acciones cotrectives deben ser aprobadas por los dueios de proceso de acuerdo a los efectos de ias no conformicades encontradas. Adicionalmente les registros generados por osta gestion deben ser almacenados por el Grupo de ‘Segurdad de la Informacion quienes son los encargados ce realizar ei seguimienio y hacer la medicion correspondiente de su etectividad. i Sistema de Gestion de Seguridad de la Informacion de la Policia Nacional sera revisaco para su actualizacién anualmente y/o extraordinariamente cuando sea necesario atendiendo las nacesidades de mejora continua. ARTICULO 23. EXCEPCIONES. Las excepciones son exclusiones permanertes 0 transitonas a Jos coniroles descritos en este documento que obligan a Ie aceptacién de riesgos Inherentes a dicha exclusién, por lo que se debe quardar registro que contenga como minimo fecha de solicitud, solictante, nombre del control excluido, persone que autoriza, fiempo de la exclusion, a quien aplica le exclusién, dopendoncia y justificacion La autorizacién de une exclusién sera responsabilidad del duefio dal proceso. ARTICULO 24. TERMINOS Y DEFINIGIONES. Para dar claridad a fos términos utiizados-en e) presente manual se enuncian las siguientes definiciones: ‘Active de informacion. Dé acuerdo con ta noma ISO 27001, un activo de informacién es ‘cualquier cosa que tenga valor para /a orgarizacién y en consecuencia deba ser protegido, No obstante, este concepto es bastante amplio, y debe ser limtado por una serie de consideraciones, asi © El impacto que para la Institucion supone la pérdida de confdencialidad, integnaad o disponibiiéad de cada activo, + Eltipe do informacion que maneja en términos de su sersbbilidad y erticidad y sus productores y consumideres, + Los actos de informacién se traducen en dispositives tecnolSgices, archivos, bases de dates, documentacién fisisa, personas, sistemas de informacion, entre otros. Acuerdos de confidencialidad. Son documentos an los que jos funcionarios de la Policia Nacional 0. los provistos por terceres partes manifiestan su voluntad de mantener la confidencialidad de la informacién de la Institucién, comprometiéndose a no divulgar, usar 0 ‘expbotar la informacion contidencial a la que tengan acceso en virtud de la labor que desarrolan, ‘Acuerdios de intercambio de informacién. Son documentos constituides entre (a Policia Nacional yy entidades externas de origen nacional 0 extranjero en conde se concretan las condiciones cel intorcambio de informacion, los compromisos de los terceros de mantener la confidencialidad y la integndad de la informacion a la que tengan acceso, las vigencas y las limitaciones a dichos acuerdos. ‘Acuerdos de niveles de servicio ANS (Service Level Agreement -SLA). Es un protocolo plasmado normaimente en un documento de cardcter iegal, por lo ganeral un contrato; por el que tuna organizacion que presta un servicio a otta se compromete a prestar el mismo bajo unas eterminades condiciones y con unas prestaciones minimas. Anélisis de riesgos de Seguridad de la Informacién. Proceso sistemético de identifcacién de fuentes, estimacion de impactos, probabilidades y comparacion de dichas variables contra crterios ge evaluacion para determinar las conszcuencas potenciales de pérdida de Confidencialided, Integridad y Disponibiiidad de la informacién, APN (Access Point Name). Es el nombre de un punto de acceso para GPRS que permite la conexién a internet desde un dispositive movil celular. |Arquitectura de software. Es un conjunto de patrones y abstracciones coherentes que | proporcionan el marco de referencia necesario para gular la construccion del software para un | sistema de informacion, Estas guias indican la estructura, funcionamiento ¢ interaccién entre las | partes del software. Autenticacién. Es el protoeslo de comprobacién de la identidad de un usuario 0 recurso teonolégjoo al tratar de acceder a un recurso de procesamiento o sistema de informacién, 1eS- AS 000 Aprovecibn: 2808-2014 VER |