Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONTENIDO
1. OBJETIVO.......................................................................................................................... 2
2. ALCANCE .......................................................................................................................... 2
3. PARTES INTERESADAS....................................................................................................... 2
3.1 Presidente y Vicepresidente de la República .................................................................... 2
3.2 Entidades Estatales........................................................................................................... 2
3.3 Población Beneficiaria ...................................................................................................... 3
3.4 Servidores Públicos........................................................................................................... 3
3.5 Gremios ............................................................................................................................ 4
3.6 Entes de Control ............................................................................................................... 4
3.7 Población.......................................................................................................................... 5
3.8 Academia y Medios de Comunicación .............................................................................. 5
4. RESULTADOS DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS ........ 6
5. DETERMINACIÓN DE LOS REQUISITOS ............................................................................ 16
5.1. Requisitos Técnicos ........................................................................................................ 16
5.2. Requisitos Legales .......................................................................................................... 16
6. RESPONSABLE DEL DOCUMENTO ................................................................................... 17
1
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
1. OBJETIVO
Determinar las partes interesadas, sus necesidades, expectativas y requisitos que son pertinentes al
Sistema de Gestión de Seguridad de la Información en el Departamento Administrativo de la
Presidencia de la República.
2. ALCANCE
Está implementado para todas las partes interesadas en cumplimiento con los requisitos técnicos y
legales del
3. PARTES INTERESADAS
Mediante este documento, el Departamento Administrativo de la Presidencia de la República
identifica las partes interesadas, sus necesidades y requisitos, pertinentes al Sistema de Gestión de
Seguridad de la Información, según lo establecido en el numeral 4.2 Comprensión de las
Necesidades y Expectativas de las Partes Interesadas, de la norma NTC-ISO-IEC 27001:2013.
Entre las necesidades y expectativas de las partes interesadas con referencia al Presidente y
Vicepresidente de la República, se han determinado las siguientes:
Entre las necesidades y expectativas de las partes interesadas con referencia a las Entidades
Estatales, se han determinado las siguientes:
2
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
Entre las necesidades y expectativas de las partes interesadas con referencia a la Población
Beneficiaria, se han determinado las siguientes:
Entre las necesidades y expectativas de las partes interesadas con referencia a la Servidores Públicos
del DAPRE, se han determinado teniendo en cuenta los procesos de Direccionamiento Estratégico,
Evaluación, Control y Mejoramiento, Atención al Usuario, Gestión de Asuntos Políticos, Gestión
Jurídica, Gestión de: Seguridad, Apoyo Logístico Presidencial y Comunicación y Prensa, Gestión
Administrativa, Gestión Financiera, Adquisición de Bienes y Servicios, Gestión Documental, Talento
Humano, Tecnología de Información y Comunicaciones, las siguientes:
3
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
3.5 Gremios
Entre las necesidades y expectativas de las partes interesadas con referencia a los Gremios, se han
determinado las siguientes:
Entre las necesidades y expectativas de las partes interesadas con referencia a los Entes de Control,
se han determinado las siguientes:
4
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
3.7 Población
Entre las necesidades y expectativas de las partes interesadas con referencia a la Población, se han
determinado las siguientes:
Entre las necesidades y expectativas de las partes interesadas con referencia a la Academia y Medios
de comunicación, se han determinado las siguientes:
5
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
Crear un espacio para que los Medios de Comunicación accedan más rápido al material
audiovisual (fotos, videos y discursos).
Actualización en leyes y Agenda diaria del Señor Presidente y Ministros.
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
Aseguramiento de la Asegurar para que la información Guía para la calificación de la
Información para lograr ventajas reciba un nivel apropiado de información de acuerdo con sus
competitivas y generación de protección de acuerdo con su niveles de seguridad G-GD-02.
valor hacia los clientes, usuarios importancia para la organización.
y población en general. Calificación y Control de la
Información de las
Dependencias P-GD-12
Presidente Vicepresidente de la República
6
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
Contar con la confidencialidad, Asegurar que la información y las Administración y
disponibilidad e integridad de la instalaciones de procesamiento de almacenamiento de la
información que maneja información estén protegidas información de páginas web.
Presidencia como por ejemplo contra códigos maliciosos. Disponer Sistema de filtrado de
en el correo, pagina web, así de instalaciones de procesamiento contenido.
mismo tener acuerdos de de información. Desarrollo contratado
servicio por escrito. externamente. Acuerdos de
confidencialidad
Políticas de Desarrollo.
Acuerdos de Niveles de Servicio
Disponer de una forma ágil y Asegurar los servicios que ofrece la Se cuenta con protección de
segura de los servicios que Presidencia. firewall, antispam y antivirus
ofrece Presidencia al momento para garantizar el intercambio
de intercambiar información. de la información.
Se cuenta con una política de uso
de correo electrónico. Manual
de políticas de Seguridad de la
Información del Departamento
Administrativo.
Entidades Estatales
Lineamientos de
interoperabilidad para sector
Gobierno.
Las directrices de uso de correo
electrónico se encuentran
definidas en el documento de
Lineamientos uso de servicios de
TI L-TI-19.
Interacción con Presidencia para Mantener la documentación M-TI-01 Manual de política de
que la información sea efectiva, actualizada permitiendo que no se seguridad de información.
clara y oportuna como consultar presenten situaciones graves que M-GD-01 Manual de Gestión
los nombres completos de los puedan afectar la disponibilidad de Documental.
Altos Ministros y Funcionarios. los servicios de la entidad.
La Información esté disponible o Realizar e implementación Monitoreo continuo de los
en línea, con el fin de conocer las Controles tecnológicos para el servicios tecnológicos.
últimas noticias y proyectos que monitoreo continuo.
está llevando a cabo el Señor
Presidente.
Garantizar y mantener la Identificar los activos Manejo de la base de datos
confidencialidad, disponibilidad Organizacionales y definir las Activos de Información -
e integridad de los activos de responsabilidades de protección SIGEPRE del sistema de gestión
información. apropiadas. de tecnología, en esa base de
datos se declara un responsable
de la operación y administración
del activo de información.
7
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
I-GD-03 Instructivo Registro y
Actualización de los Inventarios
de Información.
M-GD-01 Manual de Gestión
Documental.
Activos de Información -
SIGEPRE y Taurus.
Ley 1712 de 2014 ley de
transparencia y del derecho de
acceso a la información pública
nacional.
Asegurar los activos de Ejecutar procedimientos de backup Se tienen implementadas las
información mediante una para cumplir con los requisitos de políticas de seguridad, las cuales
gestión de riesgos e la política. utilizan herramientas
implementación de controles informáticas para garantizar la
seguridad de los activos de
información.
Garantizar el tratamiento de los Establecer los lineamientos para Política de tratamiento de datos
datos personales obtenidos en administración y tratamiento de personales.
la Presidencia. datos personales en el Lineamiento de Protección de
Departamento Administrativo de la Datos Personales.
Presidencia de la República.
Tener un adecuado nivel de Establecer directrices para la Lineamientos para usuarios y
protección de seguridad en la protección de la información. administradores de TI, en
información. protección de Información L-TI-
29 y Lineamiento de la Política
Editorial y Actualización de
Contenidos Web L-TI-13.
Reportar los incidentes de Tener contactos con los grupos de Los contactos con las
Seguridad ante el CSIRT interés especial. autoridades es realizado por
Gobierno de MINTIC. CSIRT - Grupo de Atención de
Incidentes de Seguridad de la
Información, conformado en la
Jefatura para la Protección
Presidencial .
Recibir capacitación y apoyo Recibir capacitación y apoyo Se realizan campañas de toma
requeridos en temas de requeridos en temas de Seguridad de conciencia de Seguridad de la
Seguridad de la Información con de la Información con el apoyo de Información periódicamente,
el apoyo de MINTIC para MINTIC para funcionarios de la como la semana de la seguridad
funcionarios de la Presidencia. Presidencia. organizada por Área de
Tecnologías y Sistemas de
información( invitado Especial
MINTIC.)
8
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
Proteger la información para Proteger la información contra Respaldo de la información.
garantizar su administración y perdida de datos. Existe un procedimiento de
control. respaldo de información y una
herramienta destinada a la
realización de respaldos de la
información
Existe un contrato de
administración de las copias de
respaldo que se almacenan fuera
de las instalaciones del DAPRE
La información requerida solo Evitar el acceso no autorizado al Restricción de acceso a la
sea suministrada a la persona Sistemas y aplicaciones. información. M-TI-01 Manual de
autorizada. Políticas de Seguridad de la
Información- Política de control
de acceso.
Guía para la calificación de la
información de acuerdo con sus
Población Beneficiaria
9
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
Sensibilizar al personal de la Realizar capacitaciones y/o El Manual de Políticas de
Entidad con charlas en temas de campañas para la seguridad de la Seguridad de la Información,
Seguridad de la Información. información. está aprobado, publicado y se
está difundiendo a todos los
empleados, a través de
campañas como la Seguridad
Soy YO, así como es incluido en
las cláusulas de cumplimiento de
los contratos celebrados con
terceros.
Promover actividades de toma Concientizar al personal de la Toma de conciencia, educación y
de conciencia, educación y Entidad en el cuidado y manejo de formación en la seguridad de la
formación, con referencia a la información. información mediante la
temas de seguridad de la realización capacitación del
información. Sistema de Gestión de la
Seguridad de la Información -
Servidores Públicos
10
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
Existe un contrato de
administración de las copias de
respaldo que se almacenan fuera
de las instalaciones del DAPRE.
Tener una adecuada prestación Prevenir la pérdida, daño, robo o Se tienen implementadas las
del servicio. compromiso de activos, y la políticas de seguridad, las cuales
interrupción de las operaciones de utilizan herramientas
la organización. informáticas para garantizar la
seguridad de los activos de
información.
Responder de una forma Proteger la información contra Respaldo de la información.
oportuna a las comunicaciones perdida de datos. Existe un procedimiento de
requeridas. respaldo de información y una
herramienta destinada a la
realización de respaldos de la
información.
Existe un contrato de
administración de las copias de
respaldo que se almacenan fuera
de las instalaciones del DAPRE.
Disponibilidad de la información Asegurar los servicios que ofrece la Se cuenta con protección de
y que esta sea actualizada y Presidencia. firewall, antispam y antivirus
segura. para garantizar el intercambio
de la información.
Se cuenta con una política de uso
de correo electrónico. Manual
de políticas de Seguridad de la
Información del Departamento
Administrativo.
Lineamientos de
interoperabilidad para sector
Gobierno.
Las directrices de uso de correo
electrónico se encuentran
definidas en el documento de
Lineamientos uso de servicios de
TI L-TI-19.
Mantener la confidencialidad, Prevenir la pérdida, daño, robo o Aplicativo Taurus.
disponibilidad, integridad en los compromiso de activos, y la G-GD-02 Guía para la calificación
Entes de Control
11
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
Se aplica el control de borrado
seguro. M-TI-01 Manual de
política de seguridad de
información.
Articular con las entidades de Aplicar las políticas para la Política de tratamiento de datos
control para evitar la violación protección de la Privacidad de personales.
del tratamiento de los datos información de datos personales. Lineamiento de Protección de
personales. Datos Personales L-TI-17
Responder de una forma Proteger la información contra Respaldo de la información.
oportuna a las comunicaciones perdida de datos. Existe un procedimiento de
requeridas. respaldo de información y una
herramienta destinada a la
realización de respaldos de la
información.
Existe un contrato de
administración de las copias de
respaldo que se almacenan fuera
de las instalaciones del DAPRE.
Garantizar la seguridad de la Prevenir la pérdida, daño, robo o Se tienen implementadas las
información gestionada. compromiso de activos, y la políticas de seguridad, las cuales
interrupción de las operaciones de utilizan herramientas
la organización. informáticas para garantizar la
seguridad de los activos de
información.
La Información requerida por el Asegurar el uso apropiado y eficaz Se tienen varios sistemas(PGP,
ciudadano se encuentre de la criptografía para proteger la cisco, cifrado de medios de
completa y de fácil confidencialidad, autenticidad y/o almacenamiento).
entendimiento. la integridad de la Información.
realización de respaldos de la
información.
Existe un contrato de
administración de las copias de
respaldo que se almacenan fuera
de las instalaciones del DAPRE.
12
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
Seguridad y privacidad de la Privacidad y protección de Decreto 1377 de 2013
información. información de datos personales. (Protección de datos
personales).
Ley 1581 de 2013 (Protección de
datos personales.)
Procedimientos de compra
definidos por la ley 80.
Constitución política de
Colombia
Ley 1510 de 2013
Ley 1437 de 2011
Ley 1273 de 2009
Ley 1266 de 2008.
Contar con mecanismos de Dar respuesta oportunamente a las Guía para la calificación de la
respuesta oportuna a las PSQR. información de acuerdo con sus
PSQRD. niveles de seguridad G-GD-02.
13
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
Ley 1712 de 2014 ley de
transparencia y del derecho de
acceso a la información pública
nacional
Protección de la información de Privacidad y protección de Decreto 1377 de 2013
los datos personales de cada información de datos personales. (Protección de datos personales)
ciudadano, al momento de Ley 1581 de 2013 (Protección de
radicar las peticiones datos personales)
Procedimientos de compra
definidos por la ley 80
Constitución política de
Colombia.
Ley 1510 de 2013.
Ley 1437 de 2011.
Ley 1273 de 2009.
Ley 1266 de 2008.
14
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
La Información que proporcione Asegurar el uso apropiado y eficaz Se tienen varios sistemas(PGP,
la Presidencia este actualizada y de la criptografía para proteger la cisco, cifrado de medios de
disponible en todo momento, confidencialidad, autenticidad y/o almacenamiento).
que no tenga alteración alguna. la integridad de la Información.
15
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
Parte
Interesada Necesidades y Expectativas Acciones Controles aplicados
activos de la información de la I-TI-02 Instructivo de Backup de
Entidad. Directivas de Políticas de Grupo-
GPO.
Garantizar la confiabilidad y que Privacidad y seguridad de la Decreto 1377 de 2013
la información sea actualizada información. (Protección de datos
en cuestiones de fotos y videos personales).
poder lograr la inmediatez por la Ley 1581 de 2013 (Protección de
premura de la información. datos personales).
Constitución política de
Colombia.
Ley 1510 de 2013.
Ley 1437 de 2011.
Ley 1273 de 2009.
Ley 1266 de 2008.
ISO 27001:2013.
ISO 27002:2013.
Ley 1581 de 2012. “Por la cual se dictan disposiciones generales para la Protección
de Datos Personales”.
Ley 594 de 2000. “Ley General de Archivo”.
Ley 1341 de 2009. “Tecnologías de la Información y aplicación de seguridad”.
Decreto Ley 019 de 2012. “Racionalización de trámites a través de medios
electrónicos. Criterio de seguridad”.
16
Proceso Tecnología de Información
asociado y Comunicaciones
PARTES INTERESADAS, NECESIDADES,
EXPECTATIVAS Y REQUISITOS DEL SISTEMA DE Código D-TI-27
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
– SGSI DEL DAPRE Versión 03
Ley 1712 de 2014. “Por medio de la cual se crea la ley de transparencia y del derecho
de acceso a la información pública nacional y se dictan otras disposiciones”.
Decreto 2364 de 2012. “Firma electrónica”.
Decreto 2609 de 2012. “Expediente electrónico”.
Decreto 2609 de 2012. “Expediente electrónico”.
Decreto 2693 de 2012. “Gobierno electrónico”.
Decreto 1510 de 2013. “Contratación pública electrónica”.
Política Pública: CONPES 3701 de 2011 Lineamientos de Política para Ciberseguridad
y Ciberdefensa.
CONPES 3854 de 2016 Política Nacional de Seguridad Digital.
Resolución 500 de 2021. “Por la cual se establecen los lineamientos y estándares
para la estrategia de seguridad digital y se adopta el modelo de seguridad y
privacidad como habilitador de la política de Gobierno Digital”
17