Pol Seg Inf PNP

Código: PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión: 01
INFORMACIÓN DE LA POLICÍA NACIONAL
PÚBLICA DEL PERÚ Página: 1 de 34
POLICÍA NACIONAL DEL PERÚ
“POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA POLICÍA

NACIONAL DEL PERÚ”
Fases Responsable Visto Bueno y Sello
Oficial de Seguridad Digital de la Policía OS-368042

Elaborado por:
Nacional del Perú José A. VENTURA RUEDA
CAPITÁN S PNP
JEFE DEL DPTO. DE CIBERSEGURIDAD
DIRTIC PNP
--------------------------------------------------------
Jefe de la División de Informática-
Revisado por: OA-210464
DIRTIC PNP PEDRO RONALD CRUZ OSORIO
CRNL PNP
JEFE DE DIVISIÓN DE INFORMÁTICA
DIRTIC PNP
Director de Tecnología de la Información y --------------------------------------------------------

Aprobado por: Comunicaciones de la Policía Nacional del OA-222614
Perú Raúl Arnaldo SILVA OLIVERA
CORONEL PNP
DIRECTOR DE TECNOLOGÍA DE LA
INFORMACIÓN Y COMUNICACIONES PNP
Código PE-SGSI-PNP-01
Versión 01
DEL PERÚ
PÚBLICA Página 2 de 34
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA POLICÍA NACIONAL DEL

PERÚ
I. OBJETO
Establecer y dotar de instrumento normativo para proteger los activos de información de la

Policía Nacional del Perú y asegurar la confidencialidad, integridad y disponibilidad de la
información que se genera, procesa, almacena y transmite, alineado al Plan Estratégico
Institucional de la Policía Nacional del Perú, conforme a los requisitos tecnológicos,
operativos, legales, obligaciones y responsabilidades según las competencias establecidas en
las normas legales.
II. FINALIDAD
2.1 Fortalecer las capacidades de la Policía Nacional del Perú para enfrentar las amenazas
que atentan contra la seguridad de la información, creando un entorno y condiciones
necesarias que permitan proteger los activos de la información y los datos personales.
2.2 Promover la sensibilización a todos los funcionarios, colaboradores, proveedores,

contratistas y personas de interés general, acerca del uso racional y seguro de la
infraestructura informática, sistemas de información, servicios de red y canales de
comunicación.
2.3 Controlar, mitigar y/o prevenir impactos ocasionados por posibles eventos y/o
incidentes a la seguridad de la información.
2.4 Dar cumplimiento a la legislación vigente asociada a la seguridad de la información.
2.5 Mantener la confianza del personal de la Policía Nacional del Perú, los ciudadanos,
contratistas y proveedores, respecto al correcto manejo y protección de la información
que es gestionada y resguardada en la Policía Nacional del Perú.
III. ALCANCE
Las disposiciones y lineamientos contenidos en la presente política específica de seguridad

de la información es aplicable y de cumplimiento obligatorio del personal de la POLICÍA
NACIONAL DEL PERÚ a nivel nacional, ubicadas en las Macro Regiones, Regiones,
Direcciones Especializadas y Dependencias de la Policía Nacional del Perú, así como los
funcionarios públicos, Directivo Público, Servidor Civil de Carrera y Servidor de
Actividades Complementarias, colaboradores, proveedores, contratistas y partes interesadas,
que utilicen los activos de información administrados o de propiedad de la Policía Nacional
del Perú, en adelante denominados “Usuarios”.
IV. RESPONSABILIDADES
4.1. La Secretaría Ejecutiva (SECEJE) de la Policía Nacional del Perú es responsable de

supervisar el cumplimiento de las disposiciones de la presente política.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Versión 01
DEL PERÚ
4.2. La Dirección de Tecnología de la Información y Comunicaciones de la Policía

Nacional del Perú (DIRTIC PNP) es el órgano rector del sistema de tecnologías de la
información y comunicaciones de la Policía Nacional del Perú, y es responsable de la
orientación técnico - normativa para la ejecución de la presente política.
4.3. Las unidades de organización de la Policía Nacional del Perú son responsables del
estricto cumplimiento de las disposiciones contenidas en la presente política.
4.4. La Inspectoría General de la Policía Nacional del Perú, dispondrá las acciones
pertinentes de control que garanticen el estricto cumplimiento de la presente Directiva,
informando a la Comandancia General de la Policía Nacional del Perú mensualmente
del resultado de dichas acciones y las medidas adoptadas ante las transgresiones
constatadas.
V. BASE LEGAL
5.1 Ley 30714, Ley de Régimen disciplinario de la Policía Nacional del Perú.
5.2 Ley N° 30036, Ley que regula el teletrabajo.
5.3 Ley 27806, Ley de Transparencia y Acceso a la Información Pública.
5.4 Ley N° 29733, Ley de Protección de Datos Personales.
5.5 Ley N° 30096, Ley de Delitos Informáticos y su modificatoria Ley 30171.
5.6 Decreto Legislativo Nº 1094, promulga el Código Penal Militar Policial.
5.7 Decreto Legislativo Nº 1267, Ley de la Policía Nacional del Perú y sus modificatorias.
5.8 Decreto Legislativo Nº 1412, aprueba la Ley de Gobierno Digital.
5.9 Decreto Supremo Nº 026-2017-IN, aprueba el Reglamento del Decreto Legislativo Nº

1267, Ley de la Policía Nacional del Perú.
5.10 Resolución Ministerial Nº 004-2016-PCM, aprueba el uso obligatorio de la Norma

Técnica Peruana “NTP ISO/IEC 27001:2014 Tecnología de la Información. Técnicas
de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos. 2a.
Edición”, en todas las entidades integrantes del Sistema Nacional de Informática.
5.11 Resolución Ministerial Nº 041-2017-PCM, aprueban uso obligatorio de la Norma

Técnica Peruana “NTP-ISO/IEC 12207:2016- Ingeniería de Software y Sistemas.
Procesos del ciclo de vida del software. 3a Edición”, en todas las entidades integrantes
del Sistema Nacional de Informática.
previsto.”
Versión 01
DEL PERÚ
5.12 Decreto Supremo Nº 118-2018-PCM, declara de interés nacional el desarrollo del

Gobierno Digital, la innovación y la economía digital con enfoque territorial.
5.13 Decreto Supremo Nº 017-2015-TR de 02NOV2015, aprueba el Reglamento de la Ley

N° 30036, Ley que regula el teletrabajo.
5.14 Decreto de Urgencia N° 026-2020, establece diversas medidas excepcionales y

temporales para prevenir la propagación del coronavirus (covid-19) en el territorio
nacional.
5.15 Decreto de Urgencia Nº 006-2020, que crea el Sistema Nacional de Transformación

Digital.
5.16 Decreto de Urgencia Nº 007-2020, que aprueba el marco de confianza digital.
5.17 Resolución Ministerial Nº 119-2018-PCM, creación del Comité de Gobierno Digital

en cada entidad de administración pública.
5.18 Resolución Ministerial Nº 042-2018-IN, aprueba la Política General de Seguridad de

la Información en el Ministerio del Interior.
5.19 Resolución Ministerial Nº 276-2019-IN de 19FEB2019, aprueba los documentos

relacionados al Sistema de Gestión de Seguridad de la Información en el Ministerio
del Interior:
5.20 Resolución Ministerial Nº 426-2019-IN de 21MAR2019, aprueba los documentos

relacionados a la implementación del Sistema de Gestión de Seguridad de la
Información en el Ministerio del Interior:
VI. DISPOSICIONES GENERALES
6.1. La Política de Seguridad de la Información de la Policía Nacional del Perú es el

documento normativo donde se establecen las intenciones y lineamientos para
garantizar la confidencialidad, integridad y disponibilidad de la información, que se
genera, procesa, almacena y transmite.
6.2. La Policía Nacional del Perú considera que toda información utilizada para la gestión
interna, el fortalecimiento del orden público, orden interno y seguridad ciudadana,
independientemente del medio en el que se soporta, debe de ser protegida, evitando su
eliminación, destrucción, divulgación, modificación y utilización no autorizada.
6.3. La Policía Nacional del Perú se compromete a:

6.3.1 Establecer, implementar y mantener actualizado un Sistema de Gestión de
Seguridad de la Información, para garantizar la confidencialidad, integridad y
disponibilidad de la información en la Policía Nacional del Perú.
6.3.2 Gestionar los recursos de infraestructura, equipamiento, tecnología y personal
para brindar servicios oportunos a las partes interesadas con altos niveles de
seguridad a través de una gestión de riesgos en la Policía Nacional del Perú.
previsto.”
Versión 01
DEL PERÚ
6.3.3 Gestionar los riesgos de seguridad de la información y la oportuna gestión de

incidentes que puedan afectar los servicios brindados por la Policía Nacional
del Perú.
6.3.4 Promover una cultura en seguridad de la información en la Policía Nacional
del Perú.
6.3.5 Mejorar continuamente el Sistema de Gestión de Seguridad de la Información
en la Policía Nacional del Perú, cumpliendo con la normatividad legal.
6.4. A fin de garantizar la aplicación de las medidas de seguridad de la información

establecidas en la PNP, así como optimizar su gestión, la entidad se soporta en el
Comité de Gobierno Digital de la Policía Nacional del Perú, Dirección de Tecnologías
de la Información y Comunicaciones, el Departamento de Ciberseguridad, los
propietarios de la información, los custodios de la información y el personal asignado
para cumplir roles relacionados a la Seguridad de la Información.
6.5. El personal indicado en el alcance de la presente política debe guardar secreto y

mantener la confidencialidad sobre toda la información y datos de carácter personal a
los que tenga acceso en virtud de su trabajo, obligación que subsiste incluso después
de finalizar su relación con la Policía Nacional del Perú por el plazo que indica la
normatividad legal vigente.
VII. DISPOSICIONES ESPECÍFICAS
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
7.1 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Define lineamientos para mantener la organización interna de seguridad que permita
prevenir, detectar y responder apropiadamente a eventos que pongan en riesgo la
seguridad de la información dentro de la Institución. Para ello se debe definir las
responsabilidades del personal de la PNP en relación a la Seguridad de la Información.
7.1.1. Las asignaciones de las responsabilidades de seguridad de la información se

establecen en el Manual de Perfiles de Puestos de la PNP.
7.1.2. Todas las unidades organizacionales de la Policía Nacional del Perú deben
segregar los deberes y responsabilidades que incluya el monitoreo,
seguimiento y supervisión de las actividades operativas relacionadas con la
seguridad de la información.
7.1.3. La DIRTIC PNP debe establecer procedimientos que especifiquen cuándo y

a qué autoridades se debe contactar y cómo se deberían informar los
incidentes de seguridad de la información identificados de manera oportuna.
previsto.”
Versión 01
DEL PERÚ
7.1.4. Con la finalidad de mejorar el conocimiento sobre las buenas prácticas de

seguridad de la información, se debe definir una lista de contactos de interés
especial.
7.1.5. En cada una de las fases de la gestión de proyectos independientemente del

tipo o tamaño, se deben identificar y establecer controles para gestionar los
riesgos de seguridad de la información.
7.2 SEGURIDAD DE RECURSOS HUMANOS

Define lineamientos para asegurar que el personal policial y civil comprendan sus
responsabilidades y que sean adecuados para los roles asignados para el cumplimiento
de sus funciones en los que se les ha contratado.
7.2.1. La Dirección de Recursos Humanos de la Policía Nacional del Perú debe

verificar los antecedentes de todos los postulantes o candidatos para el
empleo de acuerdo a las leyes, normativas y ética pertinentes; y debe ser
proporcional a los requisitos de las áreas solicitantes.

establecer los términos y condiciones en cuanto a la seguridad de la
información y asegurar que todo el personal policial que es dado de alta y
personal civil contratado para laborar en las Unidades de Organización de la
Policía Nacional del Perú, firmen un acuerdo de confidencialidad.
7.2.3. La Dirección de Recursos Humanos debe gestionar la concientización en

seguridad de la información para el personal nuevo que ingresa a laborar en
la Institución; así como la capacitación durante la prestación de servicios en
la Policía Nacional del Perú. Los Órganos de Control de la Policía Nacional
del Perú son los encargados de iniciar proceso disciplinario al personal
policial y civil que incumpla y/o viole la política de seguridad de la
información de la Policía Nacional del Perú.

reportar al área de Tecnologías de la Información, el retiro o movimiento
interno del personal policial y civil o terceros, para revocar o modificar las
credenciales de acceso otorgadas a diferentes servicios y sistemas de
información.

incluir en los términos y condiciones de empleo, la responsabilidad de
mantener la confidencialidad después que el personal policial y civil finalice
el servicio laboral en la Policía Nacional del Perú.
previsto.”
Versión 01
DEL PERÚ
7.3 GESTIÓN DE ACTIVOS

Define lineamientos para identificar los activos de información de la Institución y
establecer las responsabilidades para su adecuada protección.
7.3.1. Las Unidades de Organización de Policía Nacional del Perú deben mantener
un inventario de activos de información permanentemente actualizado,
cumpliendo con la metodología vigente establecida para dicho fin, con
apoyo de las correspondientes Oficinas de Tecnología de la Información y
Comunicaciones o las que hagan sus veces, quienes serán responsables de su
consolidación y tramitar su aprobación ante el Jefe de la Unidad respectiva.
A su vez, dicha información debe ser remitida a la Dirección de Tecnología
de la Información y Comunicaciones para su respectiva centralización.
7.3.2. Los activos de información deben ser utilizados solo para propósitos
relacionados con los servicios que presta a la PNP. Cualquier uso de los
activos de la información de la Institución con fines o efectos ilícitos, lesivos
a los derechos e intereses de terceros, ilegales, lucrativos, comerciales o
profesionales distintos a los permitidos, se encuentran estrictamente
prohibidos.
7.3.3. Comunicar inmediatamente a la Superioridad en caso de pérdida, hurto o

robo del equipo de tecnología de la información y comunicaciones (equipo
de cómputo, dispositivo móvil, radio, entre otros) o información
perteneciente a la Policía Nacional del Perú.
7.3.4. Terminada la relación laboral, todo personal policial y civil o tercero,

independientemente de la modalidad de contratación, debe devolver a la
Unidad Policial donde estuvo laborando o área correspondiente, todos los
activos de información asignados, tales como computadoras portátiles,
teléfonos móviles, documentos, entre otros.
7.3.5. La información que se genera, procesa, almacena y transmite en la Policía

nacional del Perú, en función de la criticidad de su contenido, se clasifica en:
7.3.5.1 Información pública: Es información relacionada a la

institución que dejó de ser secreta y/o reservada o que siempre
fue pública, de acuerdo a lo estipulado en la Ley de
Transparencia y Acceso a la Información Pública. Esta
Información debe ser publicada y/o entregada por la institución a
los interesados.
7.3.5.2 Información secreta: Es información relacionada a la
seguridad nacional, que además tenga como base fundamental
garantizar la seguridad de las personas y cuya revelación
originaría riesgo para la integridad territorial y/o
previsto.”
Versión 01
DEL PERÚ
subsistencia del sistema democrático, así como respecto a las

actividades de inteligencia y contrainteligencia.
7.3.5.3 Información reservada: Es información relacionada para

prevenir y reprimir la criminalidad en el país las cuales pudieran
comprender planes de operaciones policiales y de inteligencia,
información diplomática y consular cuya revelación no
autorizada originaría un riesgo a la seguridad e integridad
territorial del estado y la defensa nacional en el ámbito interno y
externo y/o la subsistencia del sistema democrático.
7.3.5.4 Información confidencial: Es información relacionada a la

institución; del tipo secreto bancario, industrial, tecnológico,
bursátil y datos personales, cuyo acceso y divulgación no
autorizada originaría riesgos asociados a incumplimientos
legales, operativos y reputaciones contra la institución; así como
la información referida a los datos personales cuya publicidad
constituya una invasión de la intimidad personal y familiar.
7.3.6. Para la ejecución de la gestión de riesgos de seguridad de la información, los

usuarios deben considerar la clasificación asignada a la información para
establecer los niveles de protección adecuados.
7.3.7. Etiquetar la información de acuerdo al esquema de clasificación de

información adoptado por la institución.
7.3.8. Conservar la información conforme a los requisitos legales, regulatorios o

contractuales.
7.3.9. Toda información clasificada (secreta, reservada o confidencial), que

requiera ser eliminada en cumplimiento a la regulación legal y normas
internas vigentes, debe ser destruida de modo que sea imposible su
recuperación.
7.3.10. Los medios que contienen información clasificada se deben almacenar

adecuadamente y cuando sea necesario eliminarla, debe realizarse de manera
segura, es decir, mediante la incineración, o la destrucción o bien a través del
borrado seguro de la información.
7.3.11. Para los medios que sean retirados fuera del local policial donde se labora, se
debe requerir una autorización por el área responsable y mantener los
registros de todos los retiros. Así mismo, deben establecerse los controles
adecuados para su transporte.
previsto.”
Versión 01
DEL PERÚ
7.4 CONTROL DE ACCESO

Define lineamientos para controlar el acceso a los datos, recursos de red, sistemas de
información e instalaciones de procesamiento y centro de datos de la PNP, para que
estos sean otorgados en función a las responsabilidades y de acuerdo a roles
establecidos:
7.4.1. El Jefe de la Unidad Policial debe solicitar para su personal por el conducto
regular ante la Dirección Policial correspondiente, lo siguiente:
7.4.1.1. El acceso a los servicios tecnológicos, recursos de red y/o

sistemas de información y comunicaciones que administran.
7.4.1.2. La suspensión o cancelación de los accesos otorgados a su

personal cuando ya no lo requiera, sea por motivo de
incapacidad, vacaciones, licencia, culminación de contrato
laboral, etc.
7.4.2. Las Áreas de Tecnología de la Información y Comunicaciones deben

definir, mantener actualizado y ejecutar el procedimiento de:
7.4.2.1. Gestión de cuentas de usuario para el acceso a los recursos y
servicios de red.
7.4.2.2. Gestión de usuarios de sistemas de información y
comunicaciones, aplicaciones y servicios web.
7.4.3. La revisión de privilegios de los usuarios de red y de sistemas de

información de la PNP deben ser periódico o cuando las circunstancias de
seguridad de la información lo ameriten.
7.4.4. Para acceder a la red privada y/o a los sistemas de información policial se
debe:
7.4.4.1. Contar con la autorización del responsable de la gestión del
acceso, conforme a las normas internas vigentes.
7.4.4.2. Emplear autenticación robusta y multifactor (ya sea usuario y
contraseña, token, control biométrico, tarjeta inteligente u otros).
7.4.5. Las credenciales de acceso a la red privada y/o a los sistemas de información
policial deben:
7.4.5.1. Ser validadas en un máximo de tres intentos, en caso contrario
será deshabilitada.
7.4.5.2. Estar asociado al nivel de acceso, perfil, rol, funciones
específicas a realizar, y al principio del menor privilegio posible;
los que deben ser previamente definidos y aprobados por el Jefe
de la Unidad.
previsto.”
Versión 01
DEL PERÚ
7.4.5.3. Tener mecanismos que impidan ser visualizadas cuando son

ingresadas.
7.4.5.4. Ser deshabilitada cuando no ha sido utilizada en los últimos
CUARENTA (40) días.
7.4.5.5. Cifradas durante su transmisión, evitando su transferencia
mediante servicios de mensajería electrónica instantánea y por vía
telefónica.
7.4.5.6. Tener mecanismos de autenticación robusta y segura.
7.4.6. El sistema de información no debe proporcionar mensajes en el inicio de

sesión, modificación o recuperación de contraseña que ayuden a un intruso a
un acceso no autorizado.
7.4.7. cuenta de usuario que no ha sido utilizada en los últimos noventa días debe
ser inhabilitada, para su análisis y posterior eliminación de ser necesario.
7.4.8. La credencial de usuario con nivel de administrador, deben ser dejadas en

custodia en sobre sellado en el área segura donde designe el Jefe responsable
del Centro de Datos.
7.4.9. Mantener el registro de los eventos que realizan los usuarios que acceden a
la red privada y sistemas de información policial.
7.4.10. Se debe restringir, registrar y supervisar periódicamente el acceso a:

7.4.10.1. Los códigos fuente de los programas, bibliotecas, componentes y
librerías del sistema de información, así como la documentación
asociada a ellos.
7.4.10.2. Los archivos ejecutables de los programas, componentes y
librerías del sistema de información, ya sea en ambientes de
desarrollo, pruebas y producción.
7.4.11. Todos los equipos de cómputo (servidores, estaciones de trabajo,

computadora de escritorio, computadora portátil) que tienen acceso a la red
de la Policía Nacional del Perú deben ser parte del Directorio Activo o en su
defecto, implementar controles complementarios para asegurar que cumplan
con las políticas de control de acceso implementadas.
7.4.12. Las credenciales de acceso (usuario y contraseña) son de uso personal e

intransferible (no debe compartirse), su uso es de responsabilidad de la
persona a quien fue otorgada y deben ser empleada solamente para el
cumplimiento de las funciones asignadas.
previsto.”
Versión 01
DEL PERÚ
7.4.13. No se debe acceder o intentar acceder a la red privada y/o sistemas de

información policial utilizando las credenciales de acceso de otra persona
autorizada.
7.4.14. No se debe almacenar la credencial de acceso en formato legible en archivos

digitales (batch, script, de texto u otros), macros de software, teclas de
función, computadores sin control de acceso, o en sitios donde personas no
autorizadas puedan ubicarla y utilizarla.
7.4.15. La contraseña de acceso a la red privada y/o sistemas de información policial

debe:
7.4.15.1 Tener como mínimo DIEZ (10) caracteres que contengan
combinaciones de símbolos, caracteres alfanuméricos mayúsculas
y minúsculas.
7.4.15.2 Cambiarse como mínimo cada trimestre o cuando presuma que ha
sido comprometida, y la nueva contraseña debe ser diferente a las
contraseñas anteriores.
7.4.15.3 Ser modificada en la brevedad posible si son entregadas para ser
cambiadas en el primer inicio de sesión.
7.4.15.4 Ser mantenida confidencial tomando las medidas de seguridad
del caso, incluso ante cámaras de video dentro del ambiente de
trabajo.
7.4.15.5 La contraseña de acceso a la red privada y sistemas de
información policial no debe:
- Mencionarse y/o digitarse cuando alguna persona se
encuentre en nuestro alrededor.
- Ser digitada en cuentas de correos personales, redes sociales,
en cuestionarios, reportes, formularios, propaganda o avisos
publicitarios.
7.4.15.6 Debe existir una funcionalidad para modificar y recuperar la
contraseña de manera segura. No debe aceptarse repeticiones de
la contraseña cuando sea modificada.
7.4.16. Las contraseñas referentes a las cuentas “predefinidas” incluidas en los

equipos y sistemas de información adquiridos deben ser desactivados o
eliminados de ser necesario. De no ser posible su desactivación, las
contraseñas deben ser cambiadas después de la instalación del producto.
7.4.17. En caso de acceso remoto entre Centros de Datos y locales policiales que
cuenten con conectividad segura se debe realizar a través de la red privada
policial. Para el caso que la conexión sea realizada a través de una red
pública como Internet, se realizarán mediante el uso de túnel de Red Virtual
Privada (VPN por las siglas en inglés de Virtual Private Network), la que
deben emplear protocolos de cifrado seguro.
previsto.”
Versión 01
DEL PERÚ
7.4.18. Se debe limitar la capacidad de almacenar, descargar o copiar datos e

información cuando se realice acceso interno o remoto a los servicios
tecnológicos, recursos de red y/o sistemas de información y comunicaciones.
7.4.19. El usuario debe generar solo una sesión de inicio e invalidarse cuando se
cierra la sesión.
7.4.20. Terminar las sesiones inactivas en un máximo de 15 minutos y terminar la

sesión luego DOS (02) horas desde el inicio de la sesión.
7.4.21. T odas las páginas que requieren autenticación deben poseer acceso fácil y
visible a la funcionalidad de cierre de sesión.
7.4.22. El identificador de sesión nunca debe revelarse en URLs, mensajes de error

o registros de bitácora.
7.4.23. Toda autenticación exitosa y re autenticaciones deben generar un nuevo

identificador de sesión y reconocido como activo por el sistema de
información, el cual debe ser lo suficientemente largo, aleatorio y único.
7.4.24. Todos los atributos de usuario, datos e información de los controles de

acceso no deben ser manipulados por usuarios finales.
7.4.25. Se debe proteger contra el acceso permanente o no autorizado a funciones

aseguradas, activos, recursos o datos.
7.5 CONTROLES CRIPTOGRÁFICOS

Define lineamientos para asegurar el uso apropiado y efectivo de la criptografía para
proteger la confidencialidad, integridad y/o autenticidad de la información de la
Institución.
7.5.1. Hacer uso de controles criptográficos en toda la organización en base a una

evaluación de riesgos de seguridad de la información, identificando el nivel
de protección necesario considerando el tipo, la fortaleza y la calidad del
algoritmo de cifrado necesario.
7.5.2. Hacer uso de algoritmos criptográficos, longitudes de las claves y las

prácticas de uso de acuerdo a la clasificación que tenga la información a
proteger.
7.5.3. Proteger la información que se transporta a través de medios móviles o

extraíbles o a través de líneas de comunicación mediante el cifrado de la
misma.
previsto.”
Versión 01
DEL PERÚ
7.5.4. Usar métodos para la protección de claves criptográficas y la recuperación

de la información cifrada en caso de claves perdidas, comprometidas o
dañadas.
7.5.5. Asignar funciones y responsabilidades de quienes implementan los

procedimientos, administran y generan las claves criptográficas.
7.5.6. Gestionar las claves criptográficas a través de todo su ciclo de vida incluida
la generación, el almacenamiento, el archivo, la recuperación, la
distribución, el retiro, respaldo o archivado y la destrucción de claves
mediante procesos seguros.
7.5.7. Proteger las claves criptográficas contra la modificación, las pérdidas, uso no
autorizado o divulgación.
7.5.8. Proteger físicamente los equipos que se utilizan para generar, almacenar y
archivar claves.
7.6 SEGURIDAD FÍSICA Y AMBIENTAL

Define los lineamientos para proteger las instalaciones físicas donde se almacena y
procesa información de la PNP y para prevenir los accesos no autorizados a los
ambientes físicos.
7.6.1. Restringir el acceso de personas externas o no autorizadas a las instalaciones

de procesamiento de datos y las oficinas que almacenan información
clasificada, para lo cual deben establecer el registro de visitas a los
ambientes respectivos.
7.6.2. Los visitantes a las instalaciones deben portar siempre visible su carné o
documento de identificación (fotocheck, carnet de identificación policial,
etc.) establecido por la Unidad Policial.
7.6.3. Si por necesidad del servicio una persona requiera acceder a un área
restringida de un local policial, debe contar con la autorización respectiva
del Jefe de la Unidad y estar acompañado por un efectivo policial.
7.6.4. Guardar en un ambiente seguro y controlado toda documentación (impresa o

escrita) clasificada, así como la información contenida en dispositivos de
almacenamiento (CD, DVD, memoria USB, otros).
7.6.5. Los equipos ubicados cerca a zonas de atención al público o tránsito de

personas ajenas deben colocarse o protegerse de tal forma que las pantallas
no puedan ser visualizadas por personas no autorizadas.
previsto.”
Versión 01
DEL PERÚ
7.6.6. Las medidas de protección contra amenazas externas y ambientales en las

instalaciones de procesamiento de datos y las oficinas que almacenan
información clasificada deben incluir:
7.6.6.1. Controles de acceso y de seguridad física.
7.6.6.2. Detectores de humo y detectores de aniego.
7.6.6.3. Extintores y sistema de protección contra incendios.
7.6.6.4. Sistemas de acondicionamiento de temperatura, humedad y
filtrado de aire.
7.6.6.5. Sistema de video vigilancia.
7.6.6.6. Sistema de alimentación ininterrumpida
7.6.6.7. Sistema de puesta a tierra.
7.6.7. No realizar la captura de imágenes y/o grabación de video en las

Dependencias Policiales o del personal que labora en ellas, sin previa
autorización del Jefe de la Dirección o Macro Región Policial PNP donde se
encuentre la Dependencia Policial.
7.6.8. Las imágenes y/o grabación de video de las cámaras de videovigilancia

instalados en las Dependencias Policiales, deben ser monitoreados y
almacenados en medios durante el tiempo que estipule la normatividad legal,
a falta de ésta por lo establecido en las normas internas y es siendo
responsabilidad del personal policial designado y en cumplimiento de sus
funciones asignadas.
7.6.9. Proteger los equipos de tecnología de la información de fallas por falta de

suministro de energía y otras anomalías eléctricas.
7.6.10. El cableado de la red de comunicaciones y de suministro de energía debe

estar debidamente canalizado, etiquetado, identificado y actualizado;
debiendo protegerse adecuadamente conforme a estándares internacionales
para evitar su intercepción o daño.
7.6.11. Los equipos de comunicaciones (router, switch) y de seguridad informática

deben ser instalados en gabinetes cuyo acceso es restringido y para su
funcionamiento continuo, asegurar que cuenten con suministro de energía
eléctrica permanentemente.
7.6.12. Formular y ejecutar el plan de mantenimiento preventivo y correctivo de los

equipos de tecnología de información y de los sistemas de
acondicionamiento de temperatura, humedad y filtrado de aire, sistemas de
energía ininterrumpida (UPS) y sistemas de detección y extinción de fuego,
aniego entre otros, según las especificaciones del fabricante, manteniendo un
registro de todas fallas sospechosas o reales.
previsto.”
Versión 01
DEL PERÚ
7.6.13. Asegurar los equipos portátiles empleando mecanismos de seguridad física,

por ejemplo, cable de acero con candado de seguridad.
7.6.14. Cuando los medios magnéticos, propiedad de la PNP, terminen su ciclo de

vida o requiera su reutilización por otra área, deben ser destruido o pasar por
un proceso adecuado de borrado seguro, respectivamente.
7.6.15. Cerrar bajo llave las cajas fuertes, gabinetes, archivadores, cajones y/o
escritorios que contengan documentos o medios removibles con información
de la Policía Nacional del Perú y guardar las respectivas llaves en un lugar
seguro.
7.6.16. Las computadoras de los usuarios y/o dispositivos móviles serán

suspendidas o desactivadas automáticamente si superan un tiempo de
inactividad determinada en cada caso, según el nivel del riesgo que
corresponda.
7.6.17. Bloquear manualmente el equipo de cómputo y/o dispositivos móviles cada

vez que se retiren temporalmente de su puesto de trabajo.
7.6.18. No consumir alimentos, ni bebidas en los puestos de trabajo, porque pueden

originar el deterioro de los equipos de cómputo y de la documentación.
7.6.19. Al retirarse de su centro de trabajo, la persona debe apagar los equipos

informáticos, cargador de celular, equipos de protección eléctrica
(estabilizador de voltaje, UPS) asignados para su uso.
7.6.20. Conservar el escritorio ordenado y libre de información propia de la

Institución, con el fin de evitar que personal no autorizado tenga acceso a la
misma. Asimismo, conservar la pantalla del escritorio del equipo de cómputo
despejada de archivos de cualquier extensión, los cuales podrían ser
copiados, utilizados o estar al alcance de terceros o por personal que no
tenga autorización para su uso o conocimiento.
7.6.21. Si no se tiene información de su procedencia o es de fuente no confiable, no

conectar en los equipos de cómputo y móviles de la PNP, dispositivos como
memoria USB (Universal Serial Bus), discos externos, Disco Compacto (CD
por las siglas en inglés de Compact Disc) o Disco Versátil Digital (DVD por
las siglas en inglés de Digital Versátiles Disc).
7.7 SEGURIDAD DE LAS OPERACIONES

Define los lineamientos para asegurar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de datos, protección ante software
previsto.”
Versión 01
DEL PERÚ
malicioso, respaldo de información, gestionar los registros, asegurar la

confidencialidad, integridad y disponibilidad de los sistemas de información y
comunicación, prevenir la explotación de vulnerabilidades y auditar los sistemas
operacionales.
7.7.1. Mantener los procedimientos operacionales actualizados, aprobados y

disponibles para su ejecución por el personal responsable, para garantizar la
operación y óptimo funcionamiento de los equipos tecnológicos.
7.7.2. Cualquier modificación en los sistemas de información o infraestructura

tecnológica en producción, debe realizarse a través de un procedimiento de
control de cambios, el mismo que debe contar con los niveles de
autorización y registro apropiado.
7.7.3. El rendimiento de los activos de información debe ser monitoreado para

optimizar los recursos, y proyectado a las necesidades futuras para
planificar, gestionar y ejecutar su repotenciación o reposición, y asegurar su
desempeño eficaz.
7.7.4. Con relación a los ambientes de desarrollo, pruebas y producción de los

sistemas de información policiales, se debe:
7.7.4.1. Separar los ambientes con el fin de reducir los riesgos de los
accesos o cambios no autorizados.
7.7.4.2. Restringir el acceso a los tres ambientes solo para el personal
autorizado.
7.7.5. Implementar las medidas necesarias para la prevención, detección y

eliminación de malware en la red de datos, equipos de cómputo, dispositivos
móviles (teléfonos inteligentes o smartphones, tableta y otros), entre ellos:
7.7.5.1. Instalar software antivirus y contra amenazas avanzadas

persistentes y con capacidad de actualización automática.
7.7.5.2. No cambiar o eliminar la configuración del software antivirus y
de protección avanzada contra malware, por lo tanto, solo pueden
realizar tareas de escaneo.
7.7.6. Desconectar o aislar de la red de datos los equipos de cómputo del Internet
y/o de la Policía Nacional del Perú (Intranet PNP) cuando sospechen o
detecten la acción de un software malicioso y luego deben comunicarlo a la
Oficina de Tecnología de la Información y Comunicaciones o la que hagan
sus veces para que le brinde soporte técnico. La Oficina de Tecnología de la
Información y Comunicaciones coordina con el Equipo de Respuesta ante
Incidentes de Seguridad Informática de la Policía Nacional del Perú (CSIRT
PNP).
previsto.”
Versión 01
DEL PERÚ
7.7.7. El software empleado en los equipos de cómputo, equipos de seguridad y

dispositivos móviles de la Policía Nacional del Perú debe:
7.7.7.1. Ser de la última versión vigente y disponible en el mercado.

7.7.7.2. Contar con su respectiva licencia de uso.
7.7.7.3. Autorizado por la DIRTIC PNP.
7.7.7.4. Tener las últimas actualizaciones de seguridad (parches) con
capacidad de actualización automática, a fin de evitar de
explotación de vulnerabilidades técnicas.
7.7.8. Solo los efectivos policiales pertenecientes a la Dirección de Tecnología de

la Información y Comunicaciones de la Policía Nacional del Perú (DIRTIC
PNP) y Oficinas de Tecnología de la Información y Comunicaciones o las
que hagan sus veces, y en el marco de sus funciones, deben instalar el
software autorizado que cuente con su licencia de uso; así como configurar
los equipos de cómputo y dispositivos móviles.
7.7.9. Implementar medidas de control de software malicioso a nivel de perímetro

de la red de datos policial.
7.7.10. No se debe utilizar el acceso a Internet y/o la red privada policial (Intranet
PNP), para ingresar a páginas de ocio, juego, contenido malicioso,
pornográfico, de dudosa reputación, software ilegal, de descarga de música,
etc.; salvo que el desempeño de la función policial lo requiera, para lo cual
debe ser debidamente autorizado por los responsables de los servicios de
acceso a internet.
7.7.11. Solo el personal autorizado en estricto cumplimiento de sus funciones

asignadas, está permitido acceder la red profunda y oscura (Deep y Dark
Web) y mediante equipos de cómputo totalmente aislados y separados de la
red de datos de la PNP.
7.7.12. Antes de usar archivos electrónicos, verificar que estos estén libres de
software malicioso.
7.7.13. Habilitar la funcionalidad de firewall de los sistemas operativos y software

antivirus en los equipos de cómputo y dispositivos móviles.
7.7.14. Se debe establecer, aprobar y ejecutar un procedimiento de copia de respaldo

y recuperación de la información.
7.7.15. La copia de respaldo de información clasificada debe ser cifrada empleando

protocolo, algoritmo y contraseña robusta.
previsto.”
Versión 01
DEL PERÚ
7.7.16. Contar con un sistema de generación de copias de respaldo (en disco, cintas
y/o medio óptico) documentado, el cual permita crear, salvaguardar y
recuperar copias de respaldo de los datos de los sistemas de información,
equipos de cómputo, código fuente de aplicaciones, equipos de
comunicación, equipos de seguridad y otros que se consideren críticos para
la función policial.
7.7.17. Se deben generar como mínimo dos copias de respaldo, una de ellas se debe
almacenar en el local donde fue generada, y al menos, la otra copia de la
misma debe almacenarse en un lugar externo al local, en ambos casos deben
contar con controles de acceso físico y condiciones ambientales adecuadas
para su conservación.
7.7.18. Las copias de respaldo de la información, del software y de las imágenes de

los sistemas de los servidores deben ser realizadas, registradas y controladas
periódicamente.
7.7.19. Rotular las copias de respaldo utilizando etiquetas que permitan determinar a
qué sistema de información o servidor pertenece, fecha y hora de la
realización de la copia, u otro dato que la identifique.
7.7.20. Realizar pruebas de restauración periódicas a las copias de respaldo, a fin de

asegurar que se pueda obtener correctamente la información almacenada al
momento que sea requerida.
7.7.21. Los medios de almacenamiento que contengan copias de respaldo y

requieran ser eliminados deben realizarse ejecutando el procedimiento de
borrado seguro y su posterior eliminación o destrucción cumpliendo con la
normatividad vigente
7.7.22. Registrar, mantener y revisar periódicamente los eventos (logs) de

actividades, excepciones, fallas, y alertas que se generan en los equipos de
comunicaciones, equipos de seguridad informática, equipos de cómputo,
sistemas operativos, software de red y sistemas de información.
7.7.23. Proteger los registros de eventos de actividades, excepciones, fallas, y

alertas, contra la adulteración y el acceso no autorizado.
7.7.24. Registrar, proteger y revisar periódicamente las actividades del

administrador y operador de los sistemas de información y comunicaciones
de la institución.
7.7.25. Sincronizar los relojes de tiempo de todos los sistemas de información y

comunicaciones con una fuente de tiempo de referencia única.
previsto.”
Versión 01
DEL PERÚ
7.7.26. La DIRTIC PNP y las Oficinas de Tecnologías de la Información y

Comunicaciones o las que hagan sus veces deben establecer:
7.7.26.1. Mecanismos y herramientas para gestionar las vulnerabilidades

técnicas para los sistemas de información e infraestructura
tecnológica.
7.7.26.2. La programación de revisiones de vulnerabilidades técnicas
regulares, como mínimo una vez al año, así como revisiones
extraordinarias cuando el caso lo amerite.
7.7.27. Planificar y realizar auditorías periódicamente a los sistemas de información

y comunicaciones, con el fin de minimizar las interrupciones en los procesos
operacionales.
7.8 SEGURIDAD DE LAS COMUNICACIONES

Define lineamientos para asegurar la protección de la información en las redes y sus
instalaciones de procesamiento de información, para lo cual define los siguientes
controles:
7.8.1. Establecer controles (cifrado, firma digital, otros) para salvaguardar la

confidencialidad e integridad de los datos que pasan a través de redes
públicas o de redes inalámbricas y proteger los sistemas conectados.
7.8.2. Se debe monitorear permanentemente la red interna y externa,

implementando las herramientas que le permitan detectar, prevenir y
recuperarse de acciones que podrían afectar la seguridad de la información.
7.8.3. Las conexiones a los sistemas de red deben ser restringidos y deben ser
autenticados y autorizados de acuerdo a roles establecidos.
7.8.4. Las redes de comunicaciones deben ser segmentadas de acuerdo a criterios

de uso, de modo que se puedan gestionar adecuadamente.
7.8.5. Se deben implementar mecanismos que regulen los diferentes tipos de

transferencia de información, ya sea a través de la red de comunicaciones o
dispositivos de almacenamiento.
7.8.6. Las Unidades de Organización que hayan suscrito acuerdos de intercambio

de información con otras Direcciones PNP o terceros, deben ser
comunicados a la Dirección de Tecnología de la Información y
Comunicaciones de la Policía Nacional del Perú (DIRTIC PNP), así como el
incumplimiento de los acuerdos; a fin de ser tramitados a la Comandancia
General de la PNP.
previsto.”
Versión 01
DEL PERÚ
7.8.7. Para realizar el intercambio de información debe existir un documento de

aceptación de las políticas de seguridad y uso adecuado de información entre
las partes que garantice la disponibilidad, confidencialidad e integridad.
7.8.8. Para el intercambio de información establecida por ley o convenios con

entidades gubernamentales, se debe registrar la norma que aplique y un
documento formal de trabajo que se realizará en conjunto para tal fin, en el
cual se deben definir los mecanismos o protocolos a usar.
7.8.9. Se deben implementar controles (cifrado, firma digital, otros) para la

protección de mensajería electrónica para prevenir accesos no autorizados,
modificación o denegación de servicio acorde con el esquema de
clasificación adoptado por la PNP.
7.8.10. Para gestionar las redes sociales que involucra la identidad online e imagen
institucional de la Policía Nacional del Perú, el órgano competente debe
designar el Administrador(es) de Comunidad (Community Manager), quien
estará a cargo de operar y administrar las diferentes redes sociales de
acuerdo a los procesos y normativas internas.
7.8.11. El Administrador (es) de Comunidad debe conocer la institución, la política,

normativa, buenas prácticas y las reglas definidas, los usos permitidos de las
redes sociales y las posibles sanciones de un uso indebido.
7.8.12. En las cuentas de redes sociales de la PNP se deben configurar los

parámetros de restricción de seguridad y privacidad.
7.8.13. No se debe publicar información clasificada en medios de comunicación

digital, salvo previa autorización del comando.
7.8.14. No se debe realizar publicaciones de fotos, audios, videos u otros en medios

de comunicación digital relacionados a la función policial que pueda ser
usada en contra de la imagen institucional o los intereses de la PNP.
7.9 DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

Establece los lineamientos para asegurar que todos los sistemas de información
actuales y nuevos incluyan requerimientos de seguridad en todo el ciclo de vida, con
la finalidad de proteger la confidencialidad, integridad y disponibilidad de los
datos que procesan. Ellos son:
7.9.1. La seguridad de la información debe ser parte integral del ciclo de desarrollo
de sistemas de información, ya sea cuando es realizado por
previsto.”
Versión 01
DEL PERÚ
personal de la institución, se adquiere a una entidad externa o se recibe en

donación.
7.9.2. Se debe evaluar los riesgos de seguridad de la información en el desarrollo,

implementación y mantenimiento de sistemas de información a fin de
identificar e implementar controles de seguridad de la información
necesarios.
7.9.3. La DIRTIC PNP debe establecer la metodología para todo ciclo de desarrollo
de software y sistemas de información, debiendo considerar pautas de
programación segura.
7.9.4. Para el desarrollo de sistemas de información en la PNP debe emplearse la

metodología para el ciclo de desarrollo de software establecida por la
DIRTIC PNP.
7.9.5. Se debe emplear la nomenclatura establecida como parte de la metodología

del ciclo de Desarrollo de software definido por la DIRTIC PNP para la:
7.9.5.1. Designación de nombres de bases de datos y en los objetos

contenidos dentro de ellas (tablas, vistas, procedimientos
almacenados, triggers, foreign key, etc.), así como en los
nombres y rutas de los archivos.
7.9.5.2. Definición de funciones, procedimientos, clases y objetos.
7.9.6. Todo sistema de información o aplicativos a desarrollar y/o adquirir debe ir

acompañado de un informe técnico de aprobación de parte de la Dirección de
Tecnología de la Información y Comunicaciones. El código fuente de los
programas de los sistemas de información que sean desarrollados por
personal policial o a través de contratos con terceros para tal fin, es de
propiedad de la Policía Nacional del Perú.
7.9.7. Se debe establecer acuerdo de uso licencias de software, propiedad de

código del software y derechos de propiedad intelectual con las empresas y
personal que desarrollen software para la Policía Nacional del Perú.
7.9.8. Los servicios web de la Institución que son publicados por sistemas de
información o interconexión con aplicaciones de entidades externas deben
implementar controles definidos en la metodología del ciclo de desarrollo de
software establecidos por la DIRTIC para protegerlos de ataques
informáticos internos y externos.
7.9.9. Las transacciones en línea entre sistemas de información deben realizarse a

través de protocolos seguros, comunicación cifrada entre las partes
involucradas, asegurando que la transacción finalice con éxito, preservando
la integridad y confidencialidad de la información.
previsto.”
Versión 01
DEL PERÚ
7.9.10. La interconexión con sistemas internos o externos debe cumplir con los
controles adecuados para mantener de confidencialidad, integridad y
disponibilidad, además de definir los niveles de acuerdo del servicio.
7.9.11. Se debe establecer, documentar, mantener y aplicar los principios para la

ingeniería de sistemas seguros para cualquier implementación de sistemas de
información en la Policía Nacional del Perú, definido en la metodología para
el ciclo de desarrollo de software.
7.9.12. La interface administrativa del sistema de información no debe ser accesible

a personal no autorizado.
7.9.13. Se debe mantener por separado los ambientes de desarrollo, pruebas y

producción y en cada uno de ellos mantendrá únicamente los elementos que
se consideren adecuados con el fin de mitigar riesgos.
7.9.14. El servidor de aplicaciones debe ubicarse en una red separada, en

contenedor o aislado para retrasar y disuadir a los intrusos de atacar a otras
aplicaciones; y la conexión con el servidor de base de datos debe estar
fuertemente cifrada.
7.9.15. Los datos e información de producción no deben ser copiados en los

entornos de desarrollo y prueba, de requerir información para los ambientes
de prueba y desarrollo, éstas deben pasar por un proceso de transformación
lógica para no exponer información de los ambientes de producción.
7.9.16. Los datos de prueba de los ambientes de desarrollo y prueba no pueden ser
utilizados o copiados para uso fuera de la PNP.
7.9.17. Crear diferentes roles de acceso a los servidores, considerando siempre el

principio de menor privilegio para el cumplimiento de sus funciones.
7.9.18. Todos los sistemas de información y servicios tecnológicos deben contar un

módulo de seguridad y auditoría, que permita la trazabilidad completa
(almacenar los registros de acceso y transacciones) del usuario que hace uso
del servicio.
7.9.19. No escribir, generar, compilar, copiar, coleccionar, propagar, ejecutar o

introducir cualquier tipo de código (programa) malicioso; diseñados para
dañar, afectar el desempeño o acceso a los equipos de tecnología de la
información, redes o información de la Policía Nacional del Perú.
7.9.20. Antes de su puesta en producción, analizar todos los sistemas y aplicaciones

desarrolladas por la Policía Nacional del Perú y/o terceros, mediante un
analizador de vulnerabilidades web y de código fuente.
previsto.”
Versión 01
DEL PERÚ
7.10 SEGURIDAD EN RELACIONES CON LOS PROVEEDORES

Define lineamientos para asegurar la protección de los activos de información que es
accedida por los proveedores establece los siguientes lineamientos de seguridad:
7.10.1. Las Unidades de Organización de la Policía Nacional del Perú que son
propietarios de los activos de información, antes de permitir el acceso o la
entrega de información a un proveedor como parte de un servicio, deben
realizar la gestión de riesgos de seguridad de la información, con el fin de
establecer los niveles de acceso a la información que permita salvaguardar la
confidencialidad, integridad y disponibilidad de la información.
7.10.2. Todos los contratos con proveedores que, como parte del servicio a ejecutar
requieran acceder a información o servicios tecnológicos de la PNP, debe
tener claramente definidos los acuerdos de confidencialidad y niveles de
servicios, los cuales deben y ser incluidos como un numeral de las
especificaciones técnicas o términos de referencia para su contratación.
7.10.3. Diligenciar y hacer firmar el acuerdo de confidencialidad con el proveedor y

a todos los trabajadores del proveedor, que utilicen o accedan a los activos
de información de propiedad y/o administrados por la Policía Nacional del
Perú como parte del servicio contratado.
7.10.4. Monitorear y supervisar periódicamente las actividades que desarrollan los

proveedores que tiene acceso o hacen uso de los activos de información
como parte de los servicios contratados.
7.10.5. La Policía Nacional del Perú se reserva el derecho de efectuar auditorias

periódicas a los proveedores y solicitar reportes de seguridad para verificar
el cumplimiento de los acuerdos definidos en los contratos referente a la
protección y uso de la información de la PNP.
7.10.6. Cualquier cambio a ejecutar por el proveedor como parte del servicio
contratado, previamente debe realizar una gestión de riesgos de seguridad de
la información, a fin de identificar los impactos que podría generar dicho
cambio a la infraestructura tecnológica o procesos de la PNP.
7.11 GESTION DE INCIDENTES

Define lineamientos para la adecuada gestión de incidentes de seguridad de la
información y la comunicación sobre eventos de seguridad y debilidades del mismo a
través de los siguientes controles:
7.11.1. Establecer responsabilidades de gestión y los procedimientos para asegurar

una respuesta rápida, efectiva y ordenada a los incidentes de seguridad de la
información.
previsto.”
Versión 01
DEL PERÚ
7.11.2. Reportar los eventos de seguridad de la información a través de los canales

formales y aprobados por la Institución tan rápido como sea posible.
7.11.3. Los empleados y contratistas que usan los sistemas y servicios de

información de la PNP deben de advertir y reportar cualquier debilidad
observada o sospechosa referida a la seguridad de la información de la
Institución.
7.11.4. Evaluar los eventos de seguridad de la información y clasificarlos como

incidentes de seguridad de la información de acuerdo a los criterios
establecidos.
7.11.5. Tomar acción oportuna a los incidentes de seguridad de la información de

acuerdo con los procedimientos documentados.
7.11.6. Utilizar el conocimiento adquirido del análisis y solución de incidentes de

seguridad de la información para reducir la probabilidad o el impacto de
incidentes futuros.
7.11.7. Definir y aplicar procedimientos para la identificación, recolección,

adquisición y preservación de información que pueda servir como evidencia.
7.12 CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION

Define lineamientos para asegurar que la confidencialidad, integridad y disponibilidad
de su información no se vea afectado por la ocurrencia de un evento catastrófico de
origen natural, tecnológico o por factores humanos, ante ello la continuidad de la
seguridad de la información debe estar embebida en la continuidad operativa de la
Institución.
7.12.1. Determinar los requisitos de seguridad de la información al planificar la

continuidad operativa y la recuperación ante desastres.
7.12.2. Establecer, implementar y mantener procesos, procedimientos y controles

para asegurar el nivel requerido de continuidad de seguridad de la
información durante la ocurrencia de un evento adverso.
7.12.3. Verificar los controles de continuidad de seguridad de la información

establecidos e implementados en intervalos regulares y asegurar que sean
válidos y eficaces durante la ocurrencia de eventos adversos.
7.12.4. Implementar redundancias en las instalaciones de procesamiento de

información para asegurar la disponibilidad de los servicios.
7.12.5. Los sistemas, infraestructura y locaciones redundantes no deben de estar

ubicados físicamente en el mismo edificio o perímetro del sitio principal. Se
deben establecer ambientes redundantes que cumplan con estándares de
seguridad física y lógica.
previsto.”
Versión 01
DEL PERÚ
7.13 CONFERENCIA Y/O REUNIÓN VIRTUAL

Define lineamientos base para la realización de la conferencia y/o reunión virtual, para
lo cual establece los siguientes lineamientos:
7.13.1. La realización de conferencia y/o reunión virtual deben ser debidamente

autorizadas por el Jefe de la Unidad o Jefe de División, quien debe designar
responsables para la coordinación con los organizadores, administradores de
las plataformas y participantes; del tratamiento de la información a transmitir
previa clasificación y de ser el caso, de la grabación de la conferencia y/o
reunión virtual; asimismo, definir si se emplea el sistema administrado por la
Dirección de Tecnología de la Información y Comunicaciones PNP
(coordinar con el Departamento de Telefonía y Satélite de la División de
Telecomunicaciones de la Dirección de Tecnología de la Información y
Comunicaciones PNP) o a través de plataformas contratadas a terceros.
7.13.2. Cuando se emplee plataformas de conferencia y/o reunión virtual, se debe

mantener la confidencialidad de la reunión si se transmite información
clasificada (secreto, reservado y confidencial) y realizar las siguientes
actividades:
7.13.2.1 Se debe utilizar la última versión disponible del software de

conferencias y/o reuniones virtuales, debiéndose mantener
actualizada en todo momento, en lo posible usar la interfaz web,
evitando instalar el software en la computadora o dispositivo
móvil.
7.13.2.2 Si el software para realizar la conferencia y/o reunión virtual se

va instalar en una computadora se debe descargar solo desde la
página web oficial del programa y para un dispositivo móvil,
desde App Store, Play Store o Google Play.
7.13.2.3 Cifrar el canal de comunicación empleando un protocolo

robusto.
7.13.2.4 Realizar pruebas de conexión con anticipación.
7.13.2.5 Configurar la sala de reunión para que acceda únicamente el

participante registrado, tener control total del micrófono y
cámara del participante; deshabilitar la opción de “unirse antes
que el anfitrión” y si el software lo permite, se debe activar la
funcionalidad de sala de espera.
7.13.2.6 Registrar al participante empleando su cuenta de correo

electrónico institucional y comunicar por ese único medio,
previsto.”
Versión 01
DEL PERÚ
el enlace y/o credenciales de acceso para el ingreso a la

videoconferencia.
7.13.2.7 Se debe establecer un lugar adecuado para el correcto desarrollo

de la videoconferencia, evitando interrupciones, ruidos molestos
y mostrar información no necesaria para la conferencia y/o
reunión virtual.
7.13.2.8 Durante la participación en la conferencia y/o reunión virtual, se
debe evitar mostrar contenidos inapropiados e información
clasificada a fin de mantener la confidencialidad de la reunión,
asimismo restringir el uso de la cámara, de no ser necesario y
solo se debe activar el micrófono cuando el usuario requiera
intervenir, de lo contrario, debe apagarlo.
7.13.2.9 No se debe compartir información a través del software de
conferencia y/o reunión virtual. De ser necesario el compartir
información se debe emplear el correo institucional.
7.13.2.10 Una vez finalizada la conferencia y/o reunión virtual se debe

cubrir la cámara cuando el sistema no está en uso y cerrar sesión
del programa, finalizándola correctamente.
7.13.3. La información que se almacene antes, durante y después de la realización

de la conferencia y/o reunión virtual es propiedad de la Policía Nacional del
Perú.
7.14 CUMPLIMIENTO DE REQUISITOS LEGALES

Define lineamientos para asegurar el cumplimiento de las normativas de seguridad de
la información y la Ley de Protección de Datos Personales, para lo cual establece los
siguientes lineamientos:
7.14.1 Lineamientos de cumplimiento
7.14.1.1 Todas las legislaciones, regulaciones y requerimientos

contractuales en lo referente a la seguridad de la información,
deben ser identificadas, documentadas y cumplirse.
7.14.1.2 Se debe aplicar controles para la instalación de software
autorizado y productos bajo licencia a fin de asegurar el
cumplimiento de los derechos de autor, así mismo debe mantener
los documentos que acrediten la propiedad de las licencias para
su uso, llevando el control respectivo.
7.14.1.3 Proteger los derechos de autor de la información de la PNP
proporcionada a una entidad externa o que sea obtenida a través
de las publicaciones impresas y en portales web de la Policía
Nacional del Perú, por lo que se debe citar como fuente de
información a la Policía Nacional del Perú.
7.14.1.4 Solo personal autorizado y en cumplimiento de sus funciones,

podrá realizar copia de software, ya sea adquirido
previsto.”
Versión 01
DEL PERÚ
o desarrollado por la Policía Nacional del Perú, la misma que debe ser
debidamente sustentada.
7.14.1.5 Los sistemas desarrollados por los efectivos policiales, usuarios o

personal externo contratado para tal fin, son de propiedad
intelectual de la Policía Nacional del Perú.
7.14.1.6 Se deben proteger todos los registros contra pérdidas,

destrucción, falsificación, acceso no autorizado y publicación no
autorizada de acuerdo con los requisitos normativos y
contractuales vigentes.
7.14.1.7 No destruir o eliminar registros o información, sin la aprobación

respectiva de los propietarios de la información y en
cumplimiento de la normatividad legal.
7.14.2 Lineamientos de Protección de Datos Personales
7.14.2.1 Garantizar el cumplimiento de la Protección de Datos Personales

en estricto respeto a la privacidad de las personas en el marco del
cumplimiento a la Ley 29733 “Ley de Protección de Datos
Personales” y su Reglamento, estableciendo mecanismos que
faciliten su ejercicio.
7.14.2.2 En la PNP la protección de los datos de carácter personal se rige

por principios rectores establecidos en la Normativa de
Protección de Datos Personales, estos son: el principio de
legalidad, el principio de consentimiento, el principio de
finalidad, el principio de proporcionalidad, el principio de
calidad, el principio de seguridad, el principio de disposición de
recurso y el principio de nivel de protección adecuado, conforme
lo establece la Ley.
7.14.2.3 La PNP realizará el tratamiento de los datos personales que

provienen de diversas categorías de titulares, tales como:
 Personal Policial
 Personal Civil contratado
 Contratistas de Bienes y servicios
 Ciudadanía en general
7.14.2.3 Los titulares de los datos personales podrán ejercer los siguientes
derechos, que es prioridad de la PNP para su cumplimiento:
Derecho de Información, derecho de acceso, derecho de
actualización, inclusión, rectificación y supresión, derecho de
oposición, derecho de tratamiento objetivo, derecho a la tutela.
7.14.2.3 Producto de los lineamientos definidos en la presente política, la

PNP adopta una serie de medidas de seguridad orientadas a
proteger la información bajo su responsabilidad, incluyendo, por
consiguiente, los datos
previsto.”
Versión 01
DEL PERÚ
personales. Como parte ello se definen las siguientes medidas

específicas que deben aplicarse inequívocamente sobre el
tratamiento de los datos en los sistemas informáticos que
manejen bancos de datos personales:
 Gestión de accesos y privilegios respetando los
lineamientos detallados en el presente documento.
 Control de registros que provean evidencia sobre las
interacciones con los datos.
7.14.2.3 Los ambientes y espacios físicos donde se procese, almacenen o

trasmita datos personales deben operar bajo estrictas medidas de
seguridad que permitan evitar potenciales daños a las
instalaciones y prevenir accesos no autorizados.
7.14.2.3 Se efectúa copias de respaldo de los bancos de datos personales,

además deben implementarse procedimientos de restauración que
permitan garantizar la integridad de los datos y su disponibilidad
oportuna.
7.14.2.3 La transferencia lógica o electrónica de los datos personales hacia

ambientes externos de la PNP, se realizara bajo las condiciones
de seguridad necesarias para garantizar su confidencialidad,
integridad y disponibilidad.
7.14.2.3 El traslado de información que contenga datos personales será

efectuado adoptando las medidas pertinentes para impedir el
acceso o manipulación de personal no autorizado.
7.14.2.3 La eliminación de medios que contengan datos personales se

realizará bajo medidas estrictas de seguridad, de forma que se
evite el acceso a la información contenida en los mismos o su
recuperación posterior.
7.13.3 Revisiones de la Seguridad de la información
7.13.3.1. El Sistema de Seguridad de la Información debe revisarse de

forma independiente a intervalos planificados para asegurar el
cumplimiento de las políticas de seguridad de la información de
la PNP.
7.13.3.2. Realizar las revisiones periódicas de la política de seguridad y

normas de seguridad de la información.
7.13.3.3. Evaluar el cumplimiento de las políticas y normas de seguridad

de la información aplicables a la PNP.
VIII. DISPOSICIONES COMPLEMENTARIAS
8.1 La Dirección de Tecnología de la Información y Comunicaciones de la Policía

Nacional del Perú revisa la Política de Seguridad de la Información una vez al año o
cuando ocurre cambios significativos en el contexto interno y externo en
previsto.”
Versión 01
DEL PERÚ
el cual se desenvuelve la Policía Nacional del Perú, para garantizar su idoneidad,

adecuación y efectividad continua.
8.2 Las unidades de organización de la Policía Nacional del Perú deben asegurarse que la
política de seguridad de la información sea comunicada al personal comprendido en el
alcance.
IX. VIGENCIA
La presente política entra en vigencia al día siguiente de su publicación en la página web

Institucional de la Policía Nacional del Perú y en la página web del Sistema Integrado de la
Carrera Policial de la Dirección de Recursos Humanos de la Policía Nacional del Perú.
X. ANEXO
ANEXO I GLOSARIO DE TÉRMINOS.
previsto.”
Versión 01
DEL PERÚ
ANEXO I
GLOSARIO DE TÉRMINOS
Los términos y definiciones que se indican líneas abajo, son aquellas que se encuentran detalladas
en las normas emitidas por la Organización Internacional para la Estandarización.
1. Aceptación de riesgo
Decisión informada de asumir un riesgo en particular.
Nota 1 La aceptación del riesgo puede ocurrir sin tratamiento de riesgo o durante el proceso de
tratamiento de riesgo.
Nota 2 Los riesgos aceptados están sujetos a monitoreo y revisión.
2. Activo
Algo que tiene valor para una organización.
Nota 1 Activos incluyen, pero no limitados a personas, equipos, información, recursos
intangibles y ambientales.
3. Activo de información
Es todo aquello que procesa, almacena, transmite y/o sirve de soporte de la información,
necesaria para la operación y el cumplimiento de los objetivos de la organización. Los tipos
de activos de la información son:
- Arquitectura del sistema
- Datos/Información
- Claves criptográficas
- Servicios
- Software – Aplicaciones informáticas
- Equipamiento (hardware)
- Redes de comunicaciones
- Soportes de información
- Equipamiento auxiliar
- Instalaciones
- Personal
4. Amenaza
Causa potencial de un incidente no deseado, que puede resultar en daños para un sistema u
organización.
5. Ataque
Intento de destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o
hacer un uso no autorizado de un activo.
6. Auditoría
Proceso sistemático, independiente y documentado para obtener evidencias de auditoría y
evaluarlas de manera objetiva, con el fin de determinar el grado en el que se cumplen los
criterios de auditoría.
Nota 1 Una auditoría puede ser una auditoría interna (primera parte) o una auditoría externa
(segunda parte o tercera parte), y puede ser una auditoría combinada (combinando dos o más
disciplinas).
Nota 2 Una auditoría interna es realizada por la propia organización o por una parte externa
en su nombre.
previsto.”
Versión 01
DEL PERÚ
7. Autenticación
Aportación de garantías de que son correctas las características que una entidad reivindica para
sí misma.
8. Confiabilidad
Propiedad de un comportamiento planeado consistente y resultado.
9. Confidencialidad
Propiedad de la información por la que se mantiene inaccesible y no se revela a personas,
entidades o procesos no autorizados.
10. Conformidad
Cumplimiento de un requisito.
11. Continuidad de la seguridad de la información

Procesos y procedimientos para garantizar las operaciones continuas de seguridad de la
información.
12. Control
Medida que modifica un riesgo.
Nota 1 Los controles incluyen cualquier proceso, política, dispositivo, práctica u otras acciones que
modifiquen el riesgo.
Nota 2 Es posible que los controles no siempre ejerzan el efecto de modificación previsto o
supuesto.
13. Control de acceso

Medios para asegurar que el acceso a los activos esté autorizado y restringido en función de los
requerimientos del negocio y de seguridad.
14. Criptografía
Arte de escribir con clave secreta o de un modo enigmático.
15. Datos
Conjunto de valores asociados a medidas básicas, medidas derivadas y/o indicadores.
16. Disconformidad
Incumplimiento de un requisito.
17. Disponibilidad
Propiedad de ser accesible y utilizable bajo demanda de una entidad autorizada.
18. Dueño o propietario del riesgo

Persona o entidad que tiene la responsabilidad y autoridad para gestionar el riesgo.
19. Evaluación del riesgo

Proceso de comparar los resultados del análisis de riesgo con los criterios de riesgo para
determinar si el riesgo y/o su magnitud son aceptable o tolerable.
Nota 1 La evaluación de riesgos ayuda en la decisión acerca del tratamiento de riesgo.
20. Evento
previsto.”
Versión 01
DEL PERÚ
Ocurrencia o cambio de un conjunto particular de circunstancias.
21. Evento de seguridad de la información

Ocurrencia identificada de un sistema, servicio o estado de la red indicando una posible
infracción de la política de seguridad de la información o falla de los controles, o una
situación previamente desconocida que pueda ser relevante para la seguridad.
22. Gestión de incidentes de seguridad de información

Conjunto de procesos para detectar, reportar, evaluar (estimar), responder, tratar y aprender
de incidentes de seguridad de la información.
23. Gestión de riesgos

Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
24. Incidente de seguridad de la información

Uno o una serie de eventos de seguridad de la información no deseados o inesperados que
tienen una probabilidad significativa de comprometer las operaciones comerciales y
amenazar la seguridad de la información.
25. Indicador
Medida que proporciona una estimación o una evaluación de determinados atributos usando
un modelo analítico para satisfacer unas determinadas necesidades de información.
26. Integridad
Propiedad de exactitud y completitud.
27. Mejora continua

Actividad recurrente para mejorar el rendimiento.
28. Parte interesada

Persona u organización que puede afectar, estar afectada o percibir que está afectada por una
decisión o actividad.
29. Política
Intenciones y dirección de una organización, formalmente expresado por la alta dirección.
30. Proceso
Conjunto de actividades interrelacionadas o que interactúan, que transforma elementos de
entrada en elementos de salida.
31. Propietario del activo

Tanto las personas como otros órganos que hayan sido autorizados por la Unidad Policial
como competencialmente aptos para la gestión del ciclo de los activos, pueden ser
designados como propietarios de activos.
El propietario del activo no tiene necesariamente que tener derechos de propiedad sobre el
activo.
32. Revisión
Actividad realizada para determinar la idoneidad, adecuación y efectividad de la materia
para alcanzar los objetivos establecidos.
previsto.”
Versión 01
DEL PERÚ
33. Riesgo
Efecto de la incertidumbre sobre la consecución de los objetivos.
Nota 1 Un efecto es una desviación de lo esperado, positivo o negativa, respecto a lo
previsto.
Nota 2 La incertidumbre es el estado, incluso parcial, de deficiencia en la información
relativa a la comprensión o al conocimiento de un suceso, de sus consecuencias o de su
probabilidad.
Nota 3 Con frecuencia, el riesgo se caracteriza por referencia a sucesos potenciales y a sus
consecuencias o una combinación de ambos.
Nota 4 Con frecuencia, el riesgo se expresa en términos de combinación de las
consecuencias de un suceso (incluyendo los cambios en las circunstancias) y de su
probabilidad.
Nota 5 En el contexto de sistemas de gestión de seguridad de la información, los riesgos de
seguridad de la información pueden ser expresados como un efecto de incertidumbre sobre
los objetivos de seguridad de la información.
Nota 6 El riesgo de seguridad de la información está asociado con el potencial de que las
amenazas exploten las vulnerabilidades de un activo de información o grupo de activos de
información y, por lo tanto, causen daño a una organización.
34. Seguridad de información

Preservación de la confidencialidad, integridad y disponibilidad de la información. Nota 1
Además, otras propiedades, como autenticidad, responsabilidad, no repudio y confiabilidad
también pueden estar involucradas.
35. Sistema de información

Conjunto de aplicaciones, servicios, activos de tecnología de la información u otros
componentes de manejo de la información.
36. Vulnerabilidad
Debilidad de un activo o control que puede ser explotado por una o más amenazas.
37. Banco de Datos personales

Conjunto organizado de datos personales, automatizado o no, independientemente del
soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuera la
forma o modalidad de su creación, formación, almacenamiento, organización y acceso.
38. Datos personales

Es aquella información numérica, alfabética, grafica, fotográfica, acústica, sobre hábitos
personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o
las hace identificables a través de medios que puedan ser razonablemente utilizados.
39. Datos personales sensibles

Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar
al titular, datos referidos al origen racial y étnico; ingresos económicos, opiniones o
convicciones lineamientos religiosas, filosóficas o morales; afiliación sindical; e información
relacionada a la salud o a la vida sexual.
40. Titular de datos personales
previsto.”
Versión 01
DEL PERÚ
Persona natural a quien corresponden los datos personales. Si la persona natural es externa a
la institución se refieren a ciudadanos, si es interna se referirá a personal de la PNP y sus
proveedores.
41. Titular del banco de datos personales

Persona natural, persona jurídica de derecho privado o entidad pública que determina la
finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de
seguridad, que debe ser designada por la Jefatura de la Entidad.
42. Tratamiento de datos personales

Cualquier operación o procedimiento técnico, automatizado o no, que permite la
recopilación, registro, organización, almacenamiento, conversación elaboración,
modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por
transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso,
correlación o interconexión de los datos.
previsto.”

Pol Seg Inf PNP

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Pol Seg Inf PNP

Cargado por

Copyright:

Formatos disponibles

Código: PE-SGSI-PNP-01

POLICÍA NACIONAL DEL PERÚ

“POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA POLICÍA

Fases Responsable Visto Bueno y Sello

Oficial de Seguridad Digital de la Policía OS-368042

Director de Tecnología de la Información y --------------------------------------------------------

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA POLICÍA NACIONAL DEL

Establecer y dotar de instrumento normativo para proteger los activos de información de la

2.2 Promover la sensibilización a todos los funcionarios, colaboradores, proveedores,

2.4 Dar cumplimiento a la legislación vigente asociada a la seguridad de la información.

Las disposiciones y lineamientos contenidos en la presente política específica de seguridad

4.1. La Secretaría Ejecutiva (SECEJE) de la Policía Nacional del Perú es responsable de

4.2. La Dirección de Tecnología de la Información y Comunicaciones de la Policía

5.2 Ley N° 30036, Ley que regula el teletrabajo.

5.3 Ley 27806, Ley de Transparencia y Acceso a la Información Pública.

5.4 Ley N° 29733, Ley de Protección de Datos Personales.

5.5 Ley N° 30096, Ley de Delitos Informáticos y su modificatoria Ley 30171.

5.6 Decreto Legislativo Nº 1094, promulga el Código Penal Militar Policial.

5.8 Decreto Legislativo Nº 1412, aprueba la Ley de Gobierno Digital.

5.9 Decreto Supremo Nº 026-2017-IN, aprueba el Reglamento del Decreto Legislativo Nº

5.10 Resolución Ministerial Nº 004-2016-PCM, aprueba el uso obligatorio de la Norma

5.11 Resolución Ministerial Nº 041-2017-PCM, aprueban uso obligatorio de la Norma

5.12 Decreto Supremo Nº 118-2018-PCM, declara de interés nacional el desarrollo del

5.13 Decreto Supremo Nº 017-2015-TR de 02NOV2015, aprueba el Reglamento de la Ley

5.14 Decreto de Urgencia N° 026-2020, establece diversas medidas excepcionales y

5.15 Decreto de Urgencia Nº 006-2020, que crea el Sistema Nacional de Transformación

5.16 Decreto de Urgencia Nº 007-2020, que aprueba el marco de confianza digital.

5.17 Resolución Ministerial Nº 119-2018-PCM, creación del Comité de Gobierno Digital

5.18 Resolución Ministerial Nº 042-2018-IN, aprueba la Política General de Seguridad de

5.19 Resolución Ministerial Nº 276-2019-IN de 19FEB2019, aprueba los documentos

5.20 Resolución Ministerial Nº 426-2019-IN de 21MAR2019, aprueba los documentos

VI. DISPOSICIONES GENERALES

6.1. La Política de Seguridad de la Información de la Policía Nacional del Perú es el

6.3. La Policía Nacional del Perú se compromete a:

6.3.3 Gestionar los riesgos de seguridad de la información y la oportuna gestión de

6.4. A fin de garantizar la aplicación de las medidas de seguridad de la información

6.5. El personal indicado en el alcance de la presente política debe guardar secreto y

VII. DISPOSICIONES ESPECÍFICAS

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

7.1 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

7.1.1. Las asignaciones de las responsabilidades de seguridad de la información se

7.1.3. La DIRTIC PNP debe establecer procedimientos que especifiquen cuándo y

7.1.4. Con la finalidad de mejorar el conocimiento sobre las buenas prácticas de

7.1.5. En cada una de las fases de la gestión de proyectos independientemente del

7.2 SEGURIDAD DE RECURSOS HUMANOS

7.2.1. La Dirección de Recursos Humanos de la Policía Nacional del Perú debe

7.2.2. La Dirección de Recursos Humanos de la Policía Nacional del Perú debe

7.2.3. La Dirección de Recursos Humanos debe gestionar la concientización en

7.2.4. La Dirección de Recursos Humanos de la Policía Nacional del Perú debe

7.2.5. La Dirección de Recursos Humanos de la Policía Nacional del Perú debe

7.3 GESTIÓN DE ACTIVOS

7.3.3. Comunicar inmediatamente a la Superioridad en caso de pérdida, hurto o

7.3.4. Terminada la relación laboral, todo personal policial y civil o tercero,

7.3.5. La información que se genera, procesa, almacena y transmite en la Policía

7.3.5.1 Información pública: Es información relacionada a la

subsistencia del sistema democrático, así como respecto a las

7.3.5.3 Información reservada: Es información relacionada para

7.3.5.4 Información confidencial: Es información relacionada a la

7.3.6. Para la ejecución de la gestión de riesgos de seguridad de la información, los

7.3.7. Etiquetar la información de acuerdo al esquema de clasificación de

7.3.8. Conservar la información conforme a los requisitos legales, regulatorios o

7.3.9. Toda información clasificada (secreta, reservada o confidencial), que

7.3.10. Los medios que contienen información clasificada se deben almacenar