Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN – SGSI DEL DAPRE
CONTENID
O
1.
OBJETIVO.......................................................................................................................... 2
2. ALCANCE
.......................................................................................................................... 2
3. PARTES
INTERESADAS....................................................................................................... 2
3.1 Presidente y Vicepresidente de la República ....................................................................
2
3.2 Entidades Estatales...........................................................................................................
2
3.3 Población Beneficiaria
...................................................................................................... 3
3.4 Servidores Públicos...........................................................................................................
3
3.5 Gremios............................................................................................................................
4
3.6 Entes de Control...............................................................................................................
4
3.7 Población..........................................................................................................................
5
3.8 Academia y Medios de Comunicación
.............................................................................. 5
4. RESULTADOS DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES
INTERESADAS ........ 6
5. DETERMINACIÓN DE LOS
REQUISITOS............................................................................ 16
5.1. Requisitos Técnicos ........................................................................................................
16
1
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
2
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
1.
OBJETIVO
Determinar las partes interesadas, sus necesidades, expectativas y requisitos que son pertinentes
al Sistema de Gestión de Seguridad de la Información en el Departamento Administrativo de la
Presidencia de la República.
2.
ALCANCE
Está implementado para todas las partes interesadas en cumplimiento con los requisitos técnicos y
legales del
3. PARTES
INTERESADAS
Mediante este documento, el Departamento Administrativo de la Presidencia de la República
identifica las partes interesadas, sus necesidades y requisitos, pertinentes al Sistema de Gestión de
Seguridad de la Información, según lo establecido en el numeral 4.2 Comprensión de las
Necesidades y Expectativas de las Partes Interesadas, de la norma NTC-ISO-IEC 27001:2013.
Entre las necesidades y expectativas de las partes interesadas con referencia al Presidente y
Vicepresidente de la República, se han determinado las siguientes:
3
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
3.2 Entidades
Estatales
Entre las necesidades y expectativas de las partes interesadas con referencia a las Entidades
Estatales, se han determinado las siguientes:
4
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
3.3 Población
Beneficiaria
Entre las necesidades y expectativas de las partes interesadas con referencia a la Población
Beneficiaria, se han determinado las siguientes:
3.4 Servidores
Públicos
Entre las necesidades y expectativas de las partes interesadas con referencia a la Servidores
Públicos del DAPRE, se han determinado teniendo en cuenta los procesos de Direccionamiento
Estratégico, Evaluación, Control y Mejoramiento, Atención al Usuario, Gestión de Asuntos
Políticos, Gestión Jurídica, Gestión de: Seguridad, Apoyo Logístico Presidencial y Comunicación y
3
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
4
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
3.5 Gremios
Entre las necesidades y expectativas de las partes interesadas con referencia a los Gremios, se han
determinado las siguientes:
Entre las necesidades y expectativas de las partes interesadas con referencia a los Entes de
Control, se han determinado las siguientes:
5
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
3.7 Población
Entre las necesidades y expectativas de las partes interesadas con referencia a la Población, se han
determinado las siguientes:
Entre las necesidades y expectativas de las partes interesadas con referencia a la Academia y
Medios de comunicación, se han determinado las siguientes:
6
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
Crear un espacio para que los Medios de Comunicación accedan más rápido al material
audiovisual (fotos, videos y discursos).
Actualización en leyes y Agenda diaria del Señor Presidente y Ministros.
Controles aplicados
Parte
Interesada Necesidades y Expectativas Acciones Guía para la calificación de la
información de acuerdo con sus
Aseguramiento de la Asegurar para que la
Información para lograr ventajas información niveles de seguridad G-GD-02.
valor hacia los clientes, usuarios reciba un nivel apropiado de
competitivas y generación de
Calificación y Control de la
protección de acuerdo con su
y población en general. Información de las
importancia para la organización.
Dependencias P-GD-12
Ley 1712 de 2014 de
Transparencia y del Derecho de
Presidente Vicepresidente de la República
6
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
Contar con la confidencialidad, Asegurar que la información y las Administración
disponibilidad e integridad de la instalaciones de procesamiento de almacenam iento de
información que maneja información estén protegidas información de páginas we
Presidencia como por ejemplo contra códigos maliciosos. Disponer Sistema de filtrado
en el correo, pagina web, así de instalaciones de procesamiento contenido.
mismo tener acuerdos de de información. Desarrollo contra
servicio por escrito. externamente. Acuerdos
confidencialidad
Políticas de Desarrollo.
Acuerdos de Niveles de Servici
Disponer de una forma ágil y Asegurar los servicios que ofrece la Se cuenta con protección d
segura de los servicios que ofrece Presidencia. firewall, antispam y antivir
Presidencia al momento de garantizar el intercambio
intercambiar información. información.
Se cuenta con una política de u
de correo electrónico. Ma
políticas de Seguridad
Información del Depar
Administrativo.
Entidades Estatales
Lineamientos d
interoperabilidad para sect
Gobierno.
Las directrices de uso de corre
electrónico se encuentran defi
el documento de Lineamiento
servicios de TI L-TI-19.
7
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
I-GD-03 Instructivo Registro
Actualización de los Inventari
Información.
M-GD-01 Manual de Gestió
Documental.
Activos de Información
SIGEPRE y Taurus.
Ley 1712 de 2014 ley d
transparencia y del derecho d
acceso a la información públi
nacional.
Asegurar los activos de Ejecutar procedimientos de backup Se tienen implementadas l
información mediante una para cumplir con los requisitos de la políticas de seguridad, las cual
gestión de riesgos e política. utilizan herramient
implementación de controles informáticas para garantizar
seguridad de los activos d
información.
Garantizar el tratamiento de los Establecer los lineamientos para Política de tratamiento de dat
datos personales obtenidos en la administración y tratamiento de personales.
Presidencia. datos personales en el Lineamiento de Protección d
Departamento Administrativo de la Datos Personales.
Presidencia de la República.
Tener un adecuado nivel de Establecer directrices para la Lineamientos para usuarios
protección de seguridad en la protección de la información. administradores de TI, e
información. protección de Información L-T
29 y Lineamiento de la Políti
Editorial y Actualización d
Contenidos Web L-TI-13.
Reportar los incidentes de Tener contactos con los grupos de Los contactos con l
Seguridad ante el CSIRT interés especial. autoridades es realizado p
Gobierno de MINTIC. CSIRT - Grupo de Atención d
Incidentes de Seguridad de
Información, conformado en
Jefatura para la Protecció
Presidencial .
Recibir capacitación y apoyo Recibir capacitación y apoyo Se realizan campañas de tom
requeridos en temas de requeridos en temas de Seguridad de conciencia de Seguridad de
Seguridad de la Información con de la Información con el apoyo de Información periódicament
el apoyo de MINTIC para MINTIC para funcionarios de la como la semana de la segurida
funcionarios de la Presidencia. Presidencia. organizada por Área d
Tecnologías y Sistemas d
información( invitado Espec
MINTIC.)
8
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
Proteger la información para Proteger la información contra Respaldo de la informa
garantizar su administración y perdida de datos. Existe un procedimiento
control. de información y una
destinada a la realización d
de la información
Existe un contrato
administración de las
respaldo que se almacenan
instalaciones del DAPRE
La información requerida solo Evitar el acceso no autorizado al Restricción de acceso a
sea suministrada a la persona Sistemas y aplicaciones. información. M-TI-01 M
autorizada. Políticas de Seguridad
Información- Política de
acceso.
Guía para la calificación d
información de acuerdo con
Población Beneficiaria
de seguridad G-GD-02
Privacidad y confidencialidad de Establecer los lineamientos para Privacidad y protecc
los datos sensibles. administración y tratamiento de datos información de
personales. personales. Política
tratamiento de
personales.
Lineamiento de Protección
Datos Personales L-TI-17.
Respuesta oportuna a las Proteger contra la pérdida de datos. Guía para la calificación d
comunicaciones. información de acuerdo con
de seguridad G-GD-02
M-GD-01 Manual de Ge
Documental.
Existe un procedimiento
respaldo de información y
herramienta destinada a
realización de respaldos d
información.
Garantizar la protección de la Proteger la información. Copias de respaldo.
información de los ciudadanos Contrato de custodia de me
beneficiados. magnéticos.
Centro alterno de Datos.
9
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
Sensibilizar al personal de la Realizar capacitaciones y/o El Manual de Políticas
Entidad con charlas en temas de campañas para la seguridad de la Seguridad de la Informa
Seguridad de la Información. información. está aprobado, publicado
difundiendo a todos los
empleados, a través
campañas como la Segur
Soy YO, así como es incl
cláusulas de cumplimien
contratos celebrados con te
10
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
Controles aplicados
Parte Existe un contrato de
Interesada Necesidades y Expectativas Acciones administración de las copias de
respaldo que se almacenan
fuera de las instalaciones del
DAPRE.
Se tienen implementadas las
Tener una adecuada prestación Prevenir la pérdida, daño, robo o políticas de seguridad, las cuales
del servicio. compromiso de activos, y la utilizan herramientas
interrupción de las operaciones de informáticas para garantizar la
la organización. seguridad de los activos de
información.
Respaldo de la información.
Responder de una forma Proteger la información contra Existe un procedimiento de
oportuna a las comunicaciones perdida de datos. respaldo de información y una
requeridas. herramienta destinada a la
realización de respaldos de la
información.
Existe un contrato de
administración de las copias de
respaldo que se almacenan
fuera de las instalaciones del
DAPRE.
Disponibilidad de la información Asegurar los servicios que ofrece la Se cuenta con protección de
y que esta sea actualizada Presidencia. firewall, antispam y antivirus
y segura. para garantizar el intercambio
de la información.
Se cuenta con una política de
uso de correo electrónico.
Manual de políticas de
Seguridad de la Información del
Departamento Administrativo.
Lineamientos de
interoperabilidad para sector
Gobierno.
Las directrices de uso de correo
electrónico se encuentran
definidas en el documento de
Lineamientos uso de servicios de
TI L-TI-19.
11
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
Se aplica el control de borra
seguro. M-TI-01 Manual
política de seguridad
información.
Articular con las entidades de Aplicar las políticas para la Política de tratamiento de dat
control para evitar la violación protección de la Privacidad de personales.
del tratamiento de los datos información de datos personales. Lineamiento de Protección
personales. Datos Personales L-TI-17
Responder de una forma Proteger la información contra Respaldo de la informació
oportuna a las comunicaciones perdida de datos. Existe un procedimiento
requeridas. respaldo de información y u
herramienta destinada a
realización de respaldos de
información.
Existe un contrato
administración de las copias
respaldo que se almacenan fu
las instalaciones del DAPRE.
Garantizar la seguridad de la Prevenir la pérdida, daño, robo o Se tienen implementadas
información gestionada. compromiso de activos, y la políticas de seguridad, las cua
interrupción de las operaciones de utilizan herramient
la organización. informáticas para garantizar
seguridad de los activos
información.
La Información requerida por el Asegurar el uso apropiado y eficaz Se tienen varios sistemas(PG
ciudadano se encuentre de la criptografía para proteger la cisco, cifrado de medios
completa y de fácil confidencialidad, autenticidad y/o la almacenamiento).
entendimiento. integridad de la Información.
realización de respaldos de
información.
Existe un contrato
administración de las copias
respaldo que se almacenan fu
las instalaciones del DAPRE.
12
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
Seguridad y privacidad de la Privacidad y protección de Decreto 1377 de
información. información de datos personales. (Protección de
personales).
Ley 1581 de 2013 (Protección
datos personales.)
Procedimientos de
definidos por la ley 8 0.
Constitución política
Colombia
Ley 1510 de
Ley 1437 de
Ley 1273 de
Ley 1266 de 2008 .
Contar con mecanismos de Dar respuesta oportunamente a las Guía para la calificación de
respuesta oportuna a las PSQR. información de acuerdo con s
PSQRD. niveles de seguridad G-GD-02
13
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
Ley 1712 de 2014 ley
transparencia y del derecho d
a la información pública nacio
14
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
La Información que proporcione Asegurar el uso apropiado y eficaz Se tienen varios sistemas(
la Presidencia este actualizada y de la criptografía para proteger la cisco, cifrado de medios
disponible en todo momento, que no confidencialidad, autenticidad y/o la almacenamiento).
tenga alteración alguna. integridad de la Información.
1
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
activos de la información de la I-TI-02 Instructivo de Backu
Entidad. Directivas de Políticas de Gr
5. DETERMINACIÓN DE LOS
REQUISITOS
En el Sistema de Seguridad de la Información se han establecido los siguientes requisitos a tener
en cuenta para las partes interesadas del Sistema de Seguridad de la Información - SGSI en el
Departamento Administrativo de la Presidencia de la República - DAPRE.
5.1. Requisitos
Técnicos
ISO 27001:2013.
ISO 27002:2013.
5.2. Requisitos
Legales
Ley 1581 de 2012. “Por la cual se dictan disposiciones generales para la Protección
de Datos Personales”.
Ley 594 de 2000. “Ley General de Archivo”.
16
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
17
Proceso Tecnología de
asociado Información
PARTES INTERESADAS,
NECESIDADES, Códig D-
EXPECTATIVAS Y REQUISITOS DEL
SISTEMA DE GESTIÓN DE Versió 0
Ley 1712 de 2014. “Por medio de la cual se crea la ley de transparencia y del derecho
de acceso a la información pública nacional y se dictan otras disposiciones”.
Decreto 2364 de 2012. “Firma electrónica”.
Decreto 2609 de 2012. “Expediente electrónico”.
Decreto 2609 de 2012. “Expediente electrónico”.
Decreto 2693 de 2012. “Gobierno electrónico”.
Decreto 1510 de 2013. “Contratación pública electrónica”.
Política Pública: CONPES 3701 de 2011 Lineamientos de Política para
Ciberseguridad y Ciberdefensa.
CONPES 3854 de 2016 Política Nacional de Seguridad Digital.
Resolución 500 de 2021. “Por la cual se establecen los lineamientos y estándares
para la estrategia de seguridad digital y se adopta el modelo de seguridad y
privacidad como habilitador de la política de Gobierno Digital”
18