Documentos de Académico
Documentos de Profesional
Documentos de Cultura
POLÍTICA DE SEGURIDAD DE LA
Versión: 01
INFORMACIÓN DE LA POLICÍA NACIONAL
PÚBLICA DEL PERÚ Página: 1 de 34
--------------------------------------------------------
Jefe de la División de Informática-
Revisado por: OA-210464
DIRTIC PNP PEDRO RONALD CRUZ OSORIO
CRNL PNP
JEFE DE DIVISIÓN DE INFORMÁTICA
DIRTIC PNP
I. OBJETO
II. FINALIDAD
2.1 Fortalecer las capacidades de la Policía Nacional del Perú para enfrentar las amenazas
que atentan contra la seguridad de la información, creando un entorno y condiciones
necesarias que permitan proteger los activos de la información y los datos personales.
2.3 Controlar, mitigar y/o prevenir impactos ocasionados por posibles eventos y/o
incidentes a la seguridad de la información.
2.5 Mantener la confianza del personal de la Policía Nacional del Perú, los ciudadanos,
contratistas y proveedores, respecto al correcto manejo y protección de la información
que es gestionada y resguardada en la Policía Nacional del Perú.
III. ALCANCE
IV. RESPONSABILIDADES
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
4.3. Las unidades de organización de la Policía Nacional del Perú son responsables del
estricto cumplimiento de las disposiciones contenidas en la presente política.
4.4. La Inspectoría General de la Policía Nacional del Perú, dispondrá las acciones
pertinentes de control que garanticen el estricto cumplimiento de la presente Directiva,
informando a la Comandancia General de la Policía Nacional del Perú mensualmente
del resultado de dichas acciones y las medidas adoptadas ante las transgresiones
constatadas.
V. BASE LEGAL
5.1 Ley 30714, Ley de Régimen disciplinario de la Policía Nacional del Perú.
5.7 Decreto Legislativo Nº 1267, Ley de la Policía Nacional del Perú y sus modificatorias.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
6.2. La Policía Nacional del Perú considera que toda información utilizada para la gestión
interna, el fortalecimiento del orden público, orden interno y seguridad ciudadana,
independientemente del medio en el que se soporta, debe de ser protegida, evitando su
eliminación, destrucción, divulgación, modificación y utilización no autorizada.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.3.1. Las Unidades de Organización de Policía Nacional del Perú deben mantener
un inventario de activos de información permanentemente actualizado,
cumpliendo con la metodología vigente establecida para dicho fin, con
apoyo de las correspondientes Oficinas de Tecnología de la Información y
Comunicaciones o las que hagan sus veces, quienes serán responsables de su
consolidación y tramitar su aprobación ante el Jefe de la Unidad respectiva.
A su vez, dicha información debe ser remitida a la Dirección de Tecnología
de la Información y Comunicaciones para su respectiva centralización.
7.3.2. Los activos de información deben ser utilizados solo para propósitos
relacionados con los servicios que presta a la PNP. Cualquier uso de los
activos de la información de la Institución con fines o efectos ilícitos, lesivos
a los derechos e intereses de terceros, ilegales, lucrativos, comerciales o
profesionales distintos a los permitidos, se encuentran estrictamente
prohibidos.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.3.11. Para los medios que sean retirados fuera del local policial donde se labora, se
debe requerir una autorización por el área responsable y mantener los
registros de todos los retiros. Así mismo, deben establecerse los controles
adecuados para su transporte.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.4.1. El Jefe de la Unidad Policial debe solicitar para su personal por el conducto
regular ante la Dirección Policial correspondiente, lo siguiente:
7.4.4. Para acceder a la red privada y/o a los sistemas de información policial se
debe:
7.4.4.1. Contar con la autorización del responsable de la gestión del
acceso, conforme a las normas internas vigentes.
7.4.4.2. Emplear autenticación robusta y multifactor (ya sea usuario y
contraseña, token, control biométrico, tarjeta inteligente u otros).
7.4.5. Las credenciales de acceso a la red privada y/o a los sistemas de información
policial deben:
7.4.5.1. Ser validadas en un máximo de tres intentos, en caso contrario
será deshabilitada.
7.4.5.2. Estar asociado al nivel de acceso, perfil, rol, funciones
específicas a realizar, y al principio del menor privilegio posible;
los que deben ser previamente definidos y aprobados por el Jefe
de la Unidad.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.4.7. cuenta de usuario que no ha sido utilizada en los últimos noventa días debe
ser inhabilitada, para su análisis y posterior eliminación de ser necesario.
7.4.9. Mantener el registro de los eventos que realizan los usuarios que acceden a
la red privada y sistemas de información policial.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.4.17. En caso de acceso remoto entre Centros de Datos y locales policiales que
cuenten con conectividad segura se debe realizar a través de la red privada
policial. Para el caso que la conexión sea realizada a través de una red
pública como Internet, se realizarán mediante el uso de túnel de Red Virtual
Privada (VPN por las siglas en inglés de Virtual Private Network), la que
deben emplear protocolos de cifrado seguro.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.4.19. El usuario debe generar solo una sesión de inicio e invalidarse cuando se
cierra la sesión.
7.4.21. T odas las páginas que requieren autenticación deben poseer acceso fácil y
visible a la funcionalidad de cierre de sesión.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.5.6. Gestionar las claves criptográficas a través de todo su ciclo de vida incluida
la generación, el almacenamiento, el archivo, la recuperación, la
distribución, el retiro, respaldo o archivado y la destrucción de claves
mediante procesos seguros.
7.5.7. Proteger las claves criptográficas contra la modificación, las pérdidas, uso no
autorizado o divulgación.
7.5.8. Proteger físicamente los equipos que se utilizan para generar, almacenar y
archivar claves.
7.6.2. Los visitantes a las instalaciones deben portar siempre visible su carné o
documento de identificación (fotocheck, carnet de identificación policial,
etc.) establecido por la Unidad Policial.
7.6.3. Si por necesidad del servicio una persona requiera acceder a un área
restringida de un local policial, debe contar con la autorización respectiva
del Jefe de la Unidad y estar acompañado por un efectivo policial.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.6.15. Cerrar bajo llave las cajas fuertes, gabinetes, archivadores, cajones y/o
escritorios que contengan documentos o medios removibles con información
de la Policía Nacional del Perú y guardar las respectivas llaves en un lugar
seguro.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.7.6. Desconectar o aislar de la red de datos los equipos de cómputo del Internet
y/o de la Policía Nacional del Perú (Intranet PNP) cuando sospechen o
detecten la acción de un software malicioso y luego deben comunicarlo a la
Oficina de Tecnología de la Información y Comunicaciones o la que hagan
sus veces para que le brinde soporte técnico. La Oficina de Tecnología de la
Información y Comunicaciones coordina con el Equipo de Respuesta ante
Incidentes de Seguridad Informática de la Policía Nacional del Perú (CSIRT
PNP).
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.7.10. No se debe utilizar el acceso a Internet y/o la red privada policial (Intranet
PNP), para ingresar a páginas de ocio, juego, contenido malicioso,
pornográfico, de dudosa reputación, software ilegal, de descarga de música,
etc.; salvo que el desempeño de la función policial lo requiera, para lo cual
debe ser debidamente autorizado por los responsables de los servicios de
acceso a internet.
7.7.12. Antes de usar archivos electrónicos, verificar que estos estén libres de
software malicioso.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.7.16. Contar con un sistema de generación de copias de respaldo (en disco, cintas
y/o medio óptico) documentado, el cual permita crear, salvaguardar y
recuperar copias de respaldo de los datos de los sistemas de información,
equipos de cómputo, código fuente de aplicaciones, equipos de
comunicación, equipos de seguridad y otros que se consideren críticos para
la función policial.
7.7.17. Se deben generar como mínimo dos copias de respaldo, una de ellas se debe
almacenar en el local donde fue generada, y al menos, la otra copia de la
misma debe almacenarse en un lugar externo al local, en ambos casos deben
contar con controles de acceso físico y condiciones ambientales adecuadas
para su conservación.
7.7.19. Rotular las copias de respaldo utilizando etiquetas que permitan determinar a
qué sistema de información o servidor pertenece, fecha y hora de la
realización de la copia, u otro dato que la identifique.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.8.3. Las conexiones a los sistemas de red deben ser restringidos y deben ser
autenticados y autorizados de acuerdo a roles establecidos.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.8.10. Para gestionar las redes sociales que involucra la identidad online e imagen
institucional de la Policía Nacional del Perú, el órgano competente debe
designar el Administrador(es) de Comunidad (Community Manager), quien
estará a cargo de operar y administrar las diferentes redes sociales de
acuerdo a los procesos y normativas internas.
7.9.1. La seguridad de la información debe ser parte integral del ciclo de desarrollo
de sistemas de información, ya sea cuando es realizado por
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.9.3. La DIRTIC PNP debe establecer la metodología para todo ciclo de desarrollo
de software y sistemas de información, debiendo considerar pautas de
programación segura.
7.9.8. Los servicios web de la Institución que son publicados por sistemas de
información o interconexión con aplicaciones de entidades externas deben
implementar controles definidos en la metodología del ciclo de desarrollo de
software establecidos por la DIRTIC para protegerlos de ataques
informáticos internos y externos.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.9.10. La interconexión con sistemas internos o externos debe cumplir con los
controles adecuados para mantener de confidencialidad, integridad y
disponibilidad, además de definir los niveles de acuerdo del servicio.
7.9.16. Los datos de prueba de los ambientes de desarrollo y prueba no pueden ser
utilizados o copiados para uso fuera de la PNP.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7.10.1. Las Unidades de Organización de la Policía Nacional del Perú que son
propietarios de los activos de información, antes de permitir el acceso o la
entrega de información a un proveedor como parte de un servicio, deben
realizar la gestión de riesgos de seguridad de la información, con el fin de
establecer los niveles de acceso a la información que permita salvaguardar la
confidencialidad, integridad y disponibilidad de la información.
7.10.2. Todos los contratos con proveedores que, como parte del servicio a ejecutar
requieran acceder a información o servicios tecnológicos de la PNP, debe
tener claramente definidos los acuerdos de confidencialidad y niveles de
servicios, los cuales deben y ser incluidos como un numeral de las
especificaciones técnicas o términos de referencia para su contratación.
7.10.6. Cualquier cambio a ejecutar por el proveedor como parte del servicio
contratado, previamente debe realizar una gestión de riesgos de seguridad de
la información, a fin de identificar los impactos que podría generar dicho
cambio a la infraestructura tecnológica o procesos de la PNP.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
o desarrollado por la Policía Nacional del Perú, la misma que debe ser
debidamente sustentada.
7.14.2.3 Los titulares de los datos personales podrán ejercer los siguientes
derechos, que es prioridad de la PNP para su cumplimiento:
Derecho de Información, derecho de acceso, derecho de
actualización, inclusión, rectificación y supresión, derecho de
oposición, derecho de tratamiento objetivo, derecho a la tutela.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
8.2 Las unidades de organización de la Policía Nacional del Perú deben asegurarse que la
política de seguridad de la información sea comunicada al personal comprendido en el
alcance.
IX. VIGENCIA
X. ANEXO
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
ANEXO I
GLOSARIO DE TÉRMINOS
Los términos y definiciones que se indican líneas abajo, son aquellas que se encuentran detalladas
en las normas emitidas por la Organización Internacional para la Estandarización.
1. Aceptación de riesgo
Decisión informada de asumir un riesgo en particular.
Nota 1 La aceptación del riesgo puede ocurrir sin tratamiento de riesgo o durante el proceso de
tratamiento de riesgo.
Nota 2 Los riesgos aceptados están sujetos a monitoreo y revisión.
2. Activo
Algo que tiene valor para una organización.
Nota 1 Activos incluyen, pero no limitados a personas, equipos, información, recursos
intangibles y ambientales.
3. Activo de información
Es todo aquello que procesa, almacena, transmite y/o sirve de soporte de la información,
necesaria para la operación y el cumplimiento de los objetivos de la organización. Los tipos
de activos de la información son:
- Arquitectura del sistema
- Datos/Información
- Claves criptográficas
- Servicios
- Software – Aplicaciones informáticas
- Equipamiento (hardware)
- Redes de comunicaciones
- Soportes de información
- Equipamiento auxiliar
- Instalaciones
- Personal
4. Amenaza
Causa potencial de un incidente no deseado, que puede resultar en daños para un sistema u
organización.
5. Ataque
Intento de destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o
hacer un uso no autorizado de un activo.
6. Auditoría
Proceso sistemático, independiente y documentado para obtener evidencias de auditoría y
evaluarlas de manera objetiva, con el fin de determinar el grado en el que se cumplen los
criterios de auditoría.
Nota 1 Una auditoría puede ser una auditoría interna (primera parte) o una auditoría externa
(segunda parte o tercera parte), y puede ser una auditoría combinada (combinando dos o más
disciplinas).
Nota 2 Una auditoría interna es realizada por la propia organización o por una parte externa
en su nombre.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
7. Autenticación
Aportación de garantías de que son correctas las características que una entidad reivindica para
sí misma.
8. Confiabilidad
Propiedad de un comportamiento planeado consistente y resultado.
9. Confidencialidad
Propiedad de la información por la que se mantiene inaccesible y no se revela a personas,
entidades o procesos no autorizados.
10. Conformidad
Cumplimiento de un requisito.
12. Control
Medida que modifica un riesgo.
Nota 1 Los controles incluyen cualquier proceso, política, dispositivo, práctica u otras acciones que
modifiquen el riesgo.
Nota 2 Es posible que los controles no siempre ejerzan el efecto de modificación previsto o
supuesto.
14. Criptografía
Arte de escribir con clave secreta o de un modo enigmático.
15. Datos
Conjunto de valores asociados a medidas básicas, medidas derivadas y/o indicadores.
16. Disconformidad
Incumplimiento de un requisito.
17. Disponibilidad
Propiedad de ser accesible y utilizable bajo demanda de una entidad autorizada.
20. Evento
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
25. Indicador
Medida que proporciona una estimación o una evaluación de determinados atributos usando
un modelo analítico para satisfacer unas determinadas necesidades de información.
26. Integridad
Propiedad de exactitud y completitud.
29. Política
Intenciones y dirección de una organización, formalmente expresado por la alta dirección.
30. Proceso
Conjunto de actividades interrelacionadas o que interactúan, que transforma elementos de
entrada en elementos de salida.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
33. Riesgo
Efecto de la incertidumbre sobre la consecución de los objetivos.
Nota 1 Un efecto es una desviación de lo esperado, positivo o negativa, respecto a lo
previsto.
Nota 2 La incertidumbre es el estado, incluso parcial, de deficiencia en la información
relativa a la comprensión o al conocimiento de un suceso, de sus consecuencias o de su
probabilidad.
Nota 3 Con frecuencia, el riesgo se caracteriza por referencia a sucesos potenciales y a sus
consecuencias o una combinación de ambos.
Nota 4 Con frecuencia, el riesgo se expresa en términos de combinación de las
consecuencias de un suceso (incluyendo los cambios en las circunstancias) y de su
probabilidad.
Nota 5 En el contexto de sistemas de gestión de seguridad de la información, los riesgos de
seguridad de la información pueden ser expresados como un efecto de incertidumbre sobre
los objetivos de seguridad de la información.
Nota 6 El riesgo de seguridad de la información está asociado con el potencial de que las
amenazas exploten las vulnerabilidades de un activo de información o grupo de activos de
información y, por lo tanto, causen daño a una organización.
36. Vulnerabilidad
Debilidad de un activo o control que puede ser explotado por una o más amenazas.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”
Código PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA
Versión 01
INFORMACIÓN DE LA POLICÍA NACIONAL
DEL PERÚ
PÚBLICA Página 2 de 34
Persona natural a quien corresponden los datos personales. Si la persona natural es externa a
la institución se refieren a ciudadanos, si es interna se referirá a personal de la PNP y sus
proveedores.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra de
control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta un uso no
previsto.”