Política de Seguridad de La Información de La Policía Nacional Del Perú

Código: PE-SGSI-PNP-01
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

DE LA POLICÍA NACIONAL DEL PERÚ Versión: 01
PÚBLICA Página: 1 de 34
POLICÍA NACIONAL DEL PERÚ
“POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA POLICÍA

NACIONAL DEL PERÚ”
Fases Responsable Visto Bueno y Sello
__________________________
Oficial de Seguridad Digital de la Policía OS-368042
Elaborado por: José A. VENTURA RUEDA
Nacional del Perú
CAPITÁN S PNP
JEFE DEL DPTO. DE CIBERSEGURIDAD
DIRTIC PNP
--------------------------------------------------------
Jefe de la División de Informática- OA-210464
Revisado por:
DIRTIC PNP PEDRO RONALD CRUZ OSORIO
CRNL PNP
JEFE DE DIVISIÓN DE INFORMÁTICA
DIRTIC PNP
Director de Tecnología de la Información --------------------------------------------------------

Aprobado por: y Comunicaciones de la Policía Nacional OA-222614
del Perú Raúl Arnaldo SILVA OLIVERA
CORONEL PNP
DIRECTOR DE TECNOLOGÍA DE LA
INFORMACIÓN Y COMUNICACIONES PNP
Código PE-SGSI-PNP-01
DE LA POLICÍA NACIONAL DEL PERÚ Versión 01
PÚBLICA Página 2 de 34
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA POLICÍA NACIONAL DEL

PERÚ
I. OBJETO
Establecer y dotar de instrumento normativo para proteger los activos de información

de la Policía Nacional del Perú y asegurar la confidencialidad, integridad y
disponibilidad de la información que se genera, procesa, almacena y transmite,
alineado al Plan Estratégico Institucional de la Policía Nacional del Perú, conforme a
los requisitos tecnológicos, operativos, legales, obligaciones y responsabilidades
según las competencias establecidas en las normas legales.
II. FINALIDAD
2.1 Fortalecer las capacidades de la Policía Nacional del Perú para enfrentar las
amenazas que atentan contra la seguridad de la información, creando un
entorno y condiciones necesarias que permitan proteger los activos de la
información y los datos personales.
2.2 Promover la sensibilización a todos los funcionarios, colaboradores,

proveedores, contratistas y personas de interés general, acerca del uso
racional y seguro de la infraestructura informática, sistemas de información,
servicios de red y canales de comunicación.
2.3 Controlar, mitigar y/o prevenir impactos ocasionados por posibles eventos y/o
incidentes a la seguridad de la información.
2.4 Dar cumplimiento a la legislación vigente asociada a la seguridad de la

información.
2.5 Mantener la confianza del personal de la Policía Nacional del Perú, los
ciudadanos, contratistas y proveedores, respecto al correcto manejo y
protección de la información que es gestionada y resguardada en la Policía
Nacional del Perú.
III. ALCANCE
Las disposiciones y lineamientos contenidos en la presente política específica de

seguridad de la información es aplicable y de cumplimiento obligatorio del personal
de la POLICÍA NACIONAL DEL PERÚ a nivel nacional, ubicadas en las Macro
Regiones, Regiones, Direcciones Especializadas y Dependencias de la Policía
Nacional del Perú, así como los funcionarios públicos, Directivo Público, Servidor Civil
de Carrera y Servidor de Actividades Complementarias, colaboradores, proveedores,
contratistas y partes interesadas, que utilicen los activos de información
administrados o de propiedad de la Policía Nacional del Perú, en adelante
denominados “Usuarios”.
IV. RESPONSABILIDADES
4.1. La Secretaría Ejecutiva (SECEJE) de la Policía Nacional del Perú es

responsable de supervisar el cumplimiento de las disposiciones de la presente
política.
“Antes de utilizar alguna copia de este documento, verifique que el número de versión sea igual al que muestra la lista maestra
de control, para asegurar que la copia está vigente. De no ser así, destruya la copia para asegurar que no se haga de ésta
un uso no previsto.”
4.2. La Dirección de Tecnología de la Información y Comunicaciones de la Policía

Nacional del Perú (DIRTIC PNP) es el órgano rector del sistema de tecnologías
de la información y comunicaciones de la Policía Nacional del Perú, y es
responsable de la orientación técnico - normativa para la ejecución de la
presente política.
4.3. Las unidades de organización de la Policía Nacional del Perú son responsables
del estricto cumplimiento de las disposiciones contenidas en la presente
política.
4.4. La Inspectoría General de la Policía Nacional del Perú, dispondrá las acciones
pertinentes de control que garanticen el estricto cumplimiento de la presente
Directiva, informando a la Comandancia General de la Policía Nacional del Perú
mensualmente del resultado de dichas acciones y las medidas adoptadas ante
las transgresiones constatadas.
V. BASE LEGAL
5.1 Ley 30714, Ley de Régimen disciplinario de la Policía Nacional del Perú.
5.2 Ley N° 30036, Ley que regula el teletrabajo.
5.3 Ley 27806, Ley de Transparencia y Acceso a la Información Pública.
5.4 Ley N° 29733, Ley de Protección de Datos Personales.
5.5 Ley N° 30096, Ley de Delitos Informáticos y su modificatoria Ley 30171.
5.6 Decreto Legislativo Nº 1094, promulga el Código Penal Militar Policial.
5.7 Decreto Legislativo Nº 1267, Ley de la Policía Nacional del Perú y sus
modificatorias.
5.8 Decreto Legislativo Nº 1412, aprueba la Ley de Gobierno Digital.
5.9 Decreto Supremo Nº 026-2017-IN, aprueba el Reglamento del Decreto

Legislativo Nº 1267, Ley de la Policía Nacional del Perú.
5.10 Resolución Ministerial Nº 004-2016-PCM, aprueba el uso obligatorio de la

Norma Técnica Peruana “NTP ISO/IEC 27001:2014 Tecnología de la
Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la
Información. Requisitos. 2a. Edición”, en todas las entidades integrantes del
Sistema Nacional de Informática.
5.11 Resolución Ministerial Nº 041-2017-PCM, aprueban uso obligatorio de la

Norma Técnica Peruana “NTP-ISO/IEC 12207:2016- Ingeniería de Software y
Sistemas. Procesos del ciclo de vida del software. 3a Edición”, en todas las
entidades integrantes del Sistema Nacional de Informática.
5.12 Decreto Supremo Nº 118-2018-PCM, declara de interés nacional el desarrollo

del Gobierno Digital, la innovación y la economía digital con enfoque territorial.
5.13 Decreto Supremo Nº 017-2015-TR de 02NOV2015, aprueba el Reglamento de

la Ley N° 30036, Ley que regula el teletrabajo.
5.14 Decreto de Urgencia N° 026-2020, establece diversas medidas excepcionales

y temporales para prevenir la propagación del coronavirus (covid-19) en el
territorio nacional.
5.15 Decreto de Urgencia Nº 006-2020, que crea el Sistema Nacional de

Transformación Digital.
5.16 Decreto de Urgencia Nº 007-2020, que aprueba el marco de confianza digital.
5.17 Resolución Ministerial Nº 119-2018-PCM, creación del Comité de Gobierno

Digital en cada entidad de administración pública.
5.18 Resolución Ministerial Nº 042-2018-IN, aprueba la Política General de

Seguridad de la Información en el Ministerio del Interior.
5.19 Resolución Ministerial Nº 276-2019-IN de 19FEB2019, aprueba los

documentos relacionados al Sistema de Gestión de Seguridad de la
Información en el Ministerio del Interior:
5.20 Resolución Ministerial Nº 426-2019-IN de 21MAR2019, aprueba los

documentos relacionados a la implementación del Sistema de Gestión de
Seguridad de la Información en el Ministerio del Interior:
VI. DISPOSICIONES GENERALES
6.1. La Política de Seguridad de la Información de la Policía Nacional del Perú es el

documento normativo donde se establecen las intenciones y lineamientos para
garantizar la confidencialidad, integridad y disponibilidad de la información, que
se genera, procesa, almacena y transmite.
6.2. La Policía Nacional del Perú considera que toda información utilizada para la
gestión interna, el fortalecimiento del orden público, orden interno y seguridad
ciudadana, independientemente del medio en el que se soporta, debe de ser
protegida, evitando su eliminación, destrucción, divulgación, modificación y
utilización no autorizada.
6.3. La Policía Nacional del Perú se compromete a:

6.3.1 Establecer, implementar y mantener actualizado un Sistema de Gestión
de Seguridad de la Información, para garantizar la confidencialidad,
integridad y disponibilidad de la información en la Policía Nacional del
Perú.
6.3.2 Gestionar los recursos de infraestructura, equipamiento, tecnología y
personal para brindar servicios oportunos a las partes interesadas con
altos niveles de seguridad a través de una gestión de riesgos en la
Policía Nacional del Perú.
6.3.3 Gestionar los riesgos de seguridad de la información y la oportuna

gestión de incidentes que puedan afectar los servicios brindados por la
6.3.4 Promover una cultura en seguridad de la información en la Policía
Nacional del Perú.
6.3.5 Mejorar continuamente el Sistema de Gestión de Seguridad de la
Información en la Policía Nacional del Perú, cumpliendo con la
normatividad legal.
6.4. A fin de garantizar la aplicación de las medidas de seguridad de la información

establecidas en la PNP, así como optimizar su gestión, la entidad se soporta
en el Comité de Gobierno Digital de la Policía Nacional del Perú, Dirección de
Tecnologías de la Información y Comunicaciones, el Departamento de
Ciberseguridad, los propietarios de la información, los custodios de la
información y el personal asignado para cumplir roles relacionados a la
Seguridad de la Información.
6.5. El personal indicado en el alcance de la presente política debe guardar secreto

y mantener la confidencialidad sobre toda la información y datos de carácter
personal a los que tenga acceso en virtud de su trabajo, obligación que subsiste
incluso después de finalizar su relación con la Policía Nacional del Perú por el
plazo que indica la normatividad legal vigente.
VII. DISPOSICIONES ESPECÍFICAS
7.1 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Define lineamientos para mantener la organización interna de seguridad que
permita prevenir, detectar y responder apropiadamente a eventos que pongan
en riesgo la seguridad de la información dentro de la Institución. Para ello se
debe definir las responsabilidades del personal de la PNP en relación a la
Seguridad de la Información.
7.1.1. Las asignaciones de las responsabilidades de seguridad de la

información se establecen en el Manual de Perfiles de Puestos de la
PNP.
7.1.2. Todas las unidades organizacionales de la Policía Nacional del Perú
deben segregar los deberes y responsabilidades que incluya el
monitoreo, seguimiento y supervisión de las actividades operativas
relacionadas con la seguridad de la información.
7.1.3. La DIRTIC PNP debe establecer procedimientos que especifiquen

cuándo y a qué autoridades se debe contactar y cómo se deberían
informar los incidentes de seguridad de la información identificados de
manera oportuna.
7.1.4. Con la finalidad de mejorar el conocimiento sobre las buenas prácticas

de seguridad de la información, se debe definir una lista de contactos
de interés especial.
7.1.5. En cada una de las fases de la gestión de proyectos

independientemente del tipo o tamaño, se deben identificar y
establecer controles para gestionar los riesgos de seguridad de la
información.
7.2 SEGURIDAD DE RECURSOS HUMANOS

Define lineamientos para asegurar que el personal policial y civil comprendan
sus responsabilidades y que sean adecuados para los roles asignados para el
cumplimiento de sus funciones en los que se les ha contratado.
7.2.1. La Dirección de Recursos Humanos de la Policía Nacional del Perú

debe verificar los antecedentes de todos los postulantes o candidatos
para el empleo de acuerdo a las leyes, normativas y ética pertinentes;
y debe ser proporcional a los requisitos de las áreas solicitantes.

debe establecer los términos y condiciones en cuanto a la seguridad
de la información y asegurar que todo el personal policial que es dado
de alta y personal civil contratado para laborar en las Unidades de
Organización de la Policía Nacional del Perú, firmen un acuerdo de
confidencialidad.
7.2.3. La Dirección de Recursos Humanos debe gestionar la concientización

en seguridad de la información para el personal nuevo que ingresa a
laborar en la Institución; así como la capacitación durante la prestación
de servicios en la Policía Nacional del Perú. Los Órganos de Control
de la Policía Nacional del Perú son los encargados de iniciar proceso
disciplinario al personal policial y civil que incumpla y/o viole la política
de seguridad de la información de la Policía Nacional del Perú.

debe reportar al área de Tecnologías de la Información, el retiro o
movimiento interno del personal policial y civil o terceros, para revocar
o modificar las credenciales de acceso otorgadas a diferentes
servicios y sistemas de información.

debe incluir en los términos y condiciones de empleo, la
responsabilidad de mantener la confidencialidad después que el
personal policial y civil finalice el servicio laboral en la Policía Nacional
del Perú.
7.3 GESTIÓN DE ACTIVOS

Define lineamientos para identificar los activos de información de la Institución
y establecer las responsabilidades para su adecuada protección.
7.3.1. Las Unidades de Organización de Policía Nacional del Perú deben

mantener un inventario de activos de información permanentemente
actualizado, cumpliendo con la metodología vigente establecida para
dicho fin, con apoyo de las correspondientes Oficinas de Tecnología
de la Información y Comunicaciones o las que hagan sus veces,
quienes serán responsables de su consolidación y tramitar su
aprobación ante el Jefe de la Unidad respectiva. A su vez, dicha
información debe ser remitida a la Dirección de Tecnología de la
Información y Comunicaciones para su respectiva centralización.
7.3.2. Los activos de información deben ser utilizados solo para propósitos
relacionados con los servicios que presta a la PNP. Cualquier uso de
los activos de la información de la Institución con fines o efectos ilícitos,
lesivos a los derechos e intereses de terceros, ilegales, lucrativos,
comerciales o profesionales distintos a los permitidos, se encuentran
estrictamente prohibidos.
7.3.3. Comunicar inmediatamente a la Superioridad en caso de pérdida,

hurto o robo del equipo de tecnología de la información y
comunicaciones (equipo de cómputo, dispositivo móvil, radio, entre
otros) o información perteneciente a la Policía Nacional del Perú.
7.3.4. Terminada la relación laboral, todo personal policial y civil o tercero,

independientemente de la modalidad de contratación, debe devolver a
la Unidad Policial donde estuvo laborando o área correspondiente,
todos los activos de información asignados, tales como computadoras
portátiles, teléfonos móviles, documentos, entre otros.
7.3.5. La información que se genera, procesa, almacena y transmite en la

Policía nacional del Perú, en función de la criticidad de su contenido,
se clasifica en:
7.3.5.1 Información pública: Es información relacionada a la

institución que dejó de ser secreta y/o reservada o que
siempre fue pública, de acuerdo a lo estipulado en la Ley de
Transparencia y Acceso a la Información Pública. Esta
Información debe ser publicada y/o entregada por la
institución a los interesados.
7.3.5.2 Información secreta: Es información relacionada a la
seguridad nacional, que además tenga como base
fundamental garantizar la seguridad de las personas y cuya
revelación originaría riesgo para la integridad territorial y/o
subsistencia del sistema democrático, así como respecto a

las actividades de inteligencia y contrainteligencia.
7.3.5.3 Información reservada: Es información relacionada para

prevenir y reprimir la criminalidad en el país las cuales
pudieran comprender planes de operaciones policiales y de
inteligencia, información diplomática y consular cuya
revelación no autorizada originaría un riesgo a la seguridad
e integridad territorial del estado y la defensa nacional en el
ámbito interno y externo y/o la subsistencia del sistema
democrático.
7.3.5.4 Información confidencial: Es información relacionada a la

institución; del tipo secreto bancario, industrial, tecnológico,
bursátil y datos personales, cuyo acceso y divulgación no
autorizada originaría riesgos asociados a incumplimientos
legales, operativos y reputaciones contra la institución; así
como la información referida a los datos personales cuya
publicidad constituya una invasión de la intimidad personal
y familiar.
7.3.6. Para la ejecución de la gestión de riesgos de seguridad de la

información, los usuarios deben considerar la clasificación asignada a
la información para establecer los niveles de protección adecuados.
7.3.7. Etiquetar la información de acuerdo al esquema de clasificación de

información adoptado por la institución.
7.3.8. Conservar la información conforme a los requisitos legales,

regulatorios o contractuales.
7.3.9. Toda información clasificada (secreta, reservada o confidencial), que

requiera ser eliminada en cumplimiento a la regulación legal y normas
internas vigentes, debe ser destruida de modo que sea imposible su
recuperación.
7.3.10. Los medios que contienen información clasificada se deben almacenar

adecuadamente y cuando sea necesario eliminarla, debe realizarse de
manera segura, es decir, mediante la incineración, o la destrucción o
bien a través del borrado seguro de la información.
7.3.11. Para los medios que sean retirados fuera del local policial donde se
labora, se debe requerir una autorización por el área responsable y
mantener los registros de todos los retiros. Así mismo, deben
establecerse los controles adecuados para su transporte.
7.4 CONTROL DE ACCESO

Define lineamientos para controlar el acceso a los datos, recursos de red,
sistemas de información e instalaciones de procesamiento y centro de datos de
la PNP, para que estos sean otorgados en función a las responsabilidades y de
acuerdo a roles establecidos:
7.4.1. El Jefe de la Unidad Policial debe solicitar para su personal por el

conducto regular ante la Dirección Policial correspondiente, lo
siguiente:
7.4.1.1. El acceso a los servicios tecnológicos, recursos de red y/o

sistemas de información y comunicaciones que administran.
7.4.1.2. La suspensión o cancelación de los accesos otorgados a su

personal cuando ya no lo requiera, sea por motivo de
incapacidad, vacaciones, licencia, culminación de contrato
laboral, etc.
7.4.2. Las Áreas de Tecnología de la Información y Comunicaciones deben

definir, mantener actualizado y ejecutar el procedimiento de:
7.4.2.1. Gestión de cuentas de usuario para el acceso a los recursos
y servicios de red.
7.4.2.2. Gestión de usuarios de sistemas de información y
comunicaciones, aplicaciones y servicios web.
7.4.3. La revisión de privilegios de los usuarios de red y de sistemas de

información de la PNP deben ser periódico o cuando las circunstancias
de seguridad de la información lo ameriten.
7.4.4. Para acceder a la red privada y/o a los sistemas de información policial
se debe:
7.4.4.1. Contar con la autorización del responsable de la gestión del
acceso, conforme a las normas internas vigentes.
7.4.4.2. Emplear autenticación robusta y multifactor (ya sea usuario
y contraseña, token, control biométrico, tarjeta inteligente u
otros).
7.4.5. Las credenciales de acceso a la red privada y/o a los sistemas de

información policial deben:
7.4.5.1. Ser validadas en un máximo de tres intentos, en caso
contrario será deshabilitada.
7.4.5.2. Estar asociado al nivel de acceso, perfil, rol, funciones
específicas a realizar, y al principio del menor privilegio
posible; los que deben ser previamente definidos y
aprobados por el Jefe de la Unidad.
7.4.5.3. Tener mecanismos que impidan ser visualizadas cuando

son ingresadas.
7.4.5.4. Ser deshabilitada cuando no ha sido utilizada en los últimos
CUARENTA (40) días.
7.4.5.5. Cifradas durante su transmisión, evitando su transferencia
mediante servicios de mensajería electrónica instantánea y
por vía telefónica.
7.4.5.6. Tener mecanismos de autenticación robusta y segura.
7.4.6. El sistema de información no debe proporcionar mensajes en el inicio

de sesión, modificación o recuperación de contraseña que ayuden a
un intruso a un acceso no autorizado.
7.4.7. cuenta de usuario que no ha sido utilizada en los últimos noventa días
debe ser inhabilitada, para su análisis y posterior eliminación de ser
necesario.
7.4.8. La credencial de usuario con nivel de administrador, deben ser

dejadas en custodia en sobre sellado en el área segura donde designe
el Jefe responsable del Centro de Datos.
7.4.9. Mantener el registro de los eventos que realizan los usuarios que
acceden a la red privada y sistemas de información policial.
7.4.10. Se debe restringir, registrar y supervisar periódicamente el acceso a:

7.4.10.1. Los códigos fuente de los programas, bibliotecas,
componentes y librerías del sistema de información, así
como la documentación asociada a ellos.
7.4.10.2. Los archivos ejecutables de los programas, componentes y
librerías del sistema de información, ya sea en ambientes de
desarrollo, pruebas y producción.
7.4.11. Todos los equipos de cómputo (servidores, estaciones de trabajo,

computadora de escritorio, computadora portátil) que tienen acceso a
la red de la Policía Nacional del Perú deben ser parte del Directorio
Activo o en su defecto, implementar controles complementarios para
asegurar que cumplan con las políticas de control de acceso
implementadas.
7.4.12. Las credenciales de acceso (usuario y contraseña) son de uso

personal e intransferible (no debe compartirse), su uso es de
responsabilidad de la persona a quien fue otorgada y deben ser
empleada solamente para el cumplimiento de las funciones asignadas.
7.4.13. No se debe acceder o intentar acceder a la red privada y/o sistemas

de información policial utilizando las credenciales de acceso de otra
persona autorizada.
7.4.14. No se debe almacenar la credencial de acceso en formato legible en

archivos digitales (batch, script, de texto u otros), macros de software,
teclas de función, computadores sin control de acceso, o en sitios
donde personas no autorizadas puedan ubicarla y utilizarla.
7.4.15. La contraseña de acceso a la red privada y/o sistemas de información

policial debe:
7.4.15.1 Tener como mínimo DIEZ (10) caracteres que contengan
combinaciones de símbolos, caracteres alfanuméricos
mayúsculas y minúsculas.
7.4.15.2 Cambiarse como mínimo cada trimestre o cuando presuma
que ha sido comprometida, y la nueva contraseña debe ser
diferente a las contraseñas anteriores.
7.4.15.3 Ser modificada en la brevedad posible si son entregadas
para ser cambiadas en el primer inicio de sesión.
7.4.15.4 Ser mantenida confidencial tomando las medidas de
seguridad del caso, incluso ante cámaras de video dentro
del ambiente de trabajo.
7.4.15.5 La contraseña de acceso a la red privada y sistemas de
información policial no debe:
- Mencionarse y/o digitarse cuando alguna persona se
encuentre en nuestro alrededor.
- Ser digitada en cuentas de correos personales, redes
sociales, en cuestionarios, reportes, formularios,
propaganda o avisos publicitarios.
7.4.15.6 Debe existir una funcionalidad para modificar y recuperar la
contraseña de manera segura. No debe aceptarse
repeticiones de la contraseña cuando sea modificada.
7.4.16. Las contraseñas referentes a las cuentas “predefinidas” incluidas en

los equipos y sistemas de información adquiridos deben ser
desactivados o eliminados de ser necesario. De no ser posible su
desactivación, las contraseñas deben ser cambiadas después de la
instalación del producto.
7.4.17. En caso de acceso remoto entre Centros de Datos y locales policiales

que cuenten con conectividad segura se debe realizar a través de la
red privada policial. Para el caso que la conexión sea realizada a
través de una red pública como Internet, se realizarán mediante el uso
de túnel de Red Virtual Privada (VPN por las siglas en inglés de Virtual
Private Network), la que deben emplear protocolos de cifrado seguro.
7.4.18. Se debe limitar la capacidad de almacenar, descargar o copiar datos

e información cuando se realice acceso interno o remoto a los servicios
tecnológicos, recursos de red y/o sistemas de información y
comunicaciones.
7.4.19. El usuario debe generar solo una sesión de inicio e invalidarse cuando
se cierra la sesión.
7.4.20. Terminar las sesiones inactivas en un máximo de 15 minutos y

terminar la sesión luego DOS (02) horas desde el inicio de la sesión.
7.4.21. T odas las páginas que requieren autenticación deben poseer acceso
fácil y visible a la funcionalidad de cierre de sesión.
7.4.22. El identificador de sesión nunca debe revelarse en URLs, mensajes de

error o registros de bitácora.
7.4.23. Toda autenticación exitosa y re autenticaciones deben generar un

nuevo identificador de sesión y reconocido como activo por el sistema
de información, el cual debe ser lo suficientemente largo, aleatorio y
único.
7.4.24. Todos los atributos de usuario, datos e información de los controles de

acceso no deben ser manipulados por usuarios finales.
7.4.25. Se debe proteger contra el acceso permanente o no autorizado a

funciones aseguradas, activos, recursos o datos.
7.5 CONTROLES CRIPTOGRÁFICOS

Define lineamientos para asegurar el uso apropiado y efectivo de la criptografía
para proteger la confidencialidad, integridad y/o autenticidad de la información
de la Institución.
7.5.1. Hacer uso de controles criptográficos en toda la organización en base

a una evaluación de riesgos de seguridad de la información,
identificando el nivel de protección necesario considerando el tipo, la
fortaleza y la calidad del algoritmo de cifrado necesario.
7.5.2. Hacer uso de algoritmos criptográficos, longitudes de las claves y las

prácticas de uso de acuerdo a la clasificación que tenga la información
a proteger.
7.5.3. Proteger la información que se transporta a través de medios móviles

o extraíbles o a través de líneas de comunicación mediante el cifrado
de la misma.
7.5.4. Usar métodos para la protección de claves criptográficas y la

recuperación de la información cifrada en caso de claves perdidas,
comprometidas o dañadas.
7.5.5. Asignar funciones y responsabilidades de quienes implementan los

procedimientos, administran y generan las claves criptográficas.
7.5.6. Gestionar las claves criptográficas a través de todo su ciclo de vida

incluida la generación, el almacenamiento, el archivo, la recuperación,
la distribución, el retiro, respaldo o archivado y la destrucción de claves
mediante procesos seguros.
7.5.7. Proteger las claves criptográficas contra la modificación, las pérdidas,

uso no autorizado o divulgación.
7.5.8. Proteger físicamente los equipos que se utilizan para generar,

almacenar y archivar claves.
7.6 SEGURIDAD FÍSICA Y AMBIENTAL

Define los lineamientos para proteger las instalaciones físicas donde se
almacena y procesa información de la PNP y para prevenir los accesos no
autorizados a los ambientes físicos.
7.6.1. Restringir el acceso de personas externas o no autorizadas a las

instalaciones de procesamiento de datos y las oficinas que almacenan
información clasificada, para lo cual deben establecer el registro de
visitas a los ambientes respectivos.
7.6.2. Los visitantes a las instalaciones deben portar siempre visible su carné
o documento de identificación (fotocheck, carnet de identificación
policial, etc.) establecido por la Unidad Policial.
7.6.3. Si por necesidad del servicio una persona requiera acceder a un área
restringida de un local policial, debe contar con la autorización
respectiva del Jefe de la Unidad y estar acompañado por un efectivo
policial.
7.6.4. Guardar en un ambiente seguro y controlado toda documentación

(impresa o escrita) clasificada, así como la información contenida en
dispositivos de almacenamiento (CD, DVD, memoria USB, otros).
7.6.5. Los equipos ubicados cerca a zonas de atención al público o tránsito

de personas ajenas deben colocarse o protegerse de tal forma que las
pantallas no puedan ser visualizadas por personas no autorizadas.
7.6.6. Las medidas de protección contra amenazas externas y ambientales

en las instalaciones de procesamiento de datos y las oficinas que
almacenan información clasificada deben incluir:
7.6.6.1. Controles de acceso y de seguridad física.
7.6.6.2. Detectores de humo y detectores de aniego.
7.6.6.3. Extintores y sistema de protección contra incendios.
7.6.6.4. Sistemas de acondicionamiento de temperatura, humedad y
filtrado de aire.
7.6.6.5. Sistema de video vigilancia.
7.6.6.6. Sistema de alimentación ininterrumpida
7.6.6.7. Sistema de puesta a tierra.
7.6.7. No realizar la captura de imágenes y/o grabación de video en las

Dependencias Policiales o del personal que labora en ellas, sin previa
autorización del Jefe de la Dirección o Macro Región Policial PNP
donde se encuentre la Dependencia Policial.
7.6.8. Las imágenes y/o grabación de video de las cámaras de

videovigilancia instalados en las Dependencias Policiales, deben ser
monitoreados y almacenados en medios durante el tiempo que
estipule la normatividad legal, a falta de ésta por lo establecido en las
normas internas y es siendo responsabilidad del personal policial
designado y en cumplimiento de sus funciones asignadas.
7.6.9. Proteger los equipos de tecnología de la información de fallas por falta

de suministro de energía y otras anomalías eléctricas.
7.6.10. El cableado de la red de comunicaciones y de suministro de energía

debe estar debidamente canalizado, etiquetado, identificado y
actualizado; debiendo protegerse adecuadamente conforme a
estándares internacionales para evitar su intercepción o daño.
7.6.11. Los equipos de comunicaciones (router, switch) y de seguridad

informática deben ser instalados en gabinetes cuyo acceso es
restringido y para su funcionamiento continuo, asegurar que cuenten
con suministro de energía eléctrica permanentemente.
7.6.12. Formular y ejecutar el plan de mantenimiento preventivo y correctivo

de los equipos de tecnología de información y de los sistemas de
acondicionamiento de temperatura, humedad y filtrado de aire,
sistemas de energía ininterrumpida (UPS) y sistemas de detección y
extinción de fuego, aniego entre otros, según las especificaciones del
fabricante, manteniendo un registro de todas fallas sospechosas o
reales.
7.6.13. Asegurar los equipos portátiles empleando mecanismos de seguridad

física, por ejemplo, cable de acero con candado de seguridad.
7.6.14. Cuando los medios magnéticos, propiedad de la PNP, terminen su

ciclo de vida o requiera su reutilización por otra área, deben ser
destruido o pasar por un proceso adecuado de borrado seguro,
respectivamente.
7.6.15. Cerrar bajo llave las cajas fuertes, gabinetes, archivadores, cajones
y/o escritorios que contengan documentos o medios removibles con
información de la Policía Nacional del Perú y guardar las respectivas
llaves en un lugar seguro.
7.6.16. Las computadoras de los usuarios y/o dispositivos móviles serán

suspendidas o desactivadas automáticamente si superan un tiempo
de inactividad determinada en cada caso, según el nivel del riesgo que
corresponda.
7.6.17. Bloquear manualmente el equipo de cómputo y/o dispositivos móviles

cada vez que se retiren temporalmente de su puesto de trabajo.
7.6.18. No consumir alimentos, ni bebidas en los puestos de trabajo, porque

pueden originar el deterioro de los equipos de cómputo y de la
documentación.
7.6.19. Al retirarse de su centro de trabajo, la persona debe apagar los

equipos informáticos, cargador de celular, equipos de protección
eléctrica (estabilizador de voltaje, UPS) asignados para su uso.
7.6.20. Conservar el escritorio ordenado y libre de información propia de la

Institución, con el fin de evitar que personal no autorizado tenga
acceso a la misma. Asimismo, conservar la pantalla del escritorio del
equipo de cómputo despejada de archivos de cualquier extensión, los
cuales podrían ser copiados, utilizados o estar al alcance de terceros
o por personal que no tenga autorización para su uso o conocimiento.
7.6.21. Si no se tiene información de su procedencia o es de fuente no

confiable, no conectar en los equipos de cómputo y móviles de la PNP,
dispositivos como memoria USB (Universal Serial Bus), discos
externos, Disco Compacto (CD por las siglas en inglés de Compact
Disc) o Disco Versátil Digital (DVD por las siglas en inglés de Digital
Versátiles Disc).
7.7 SEGURIDAD DE LAS OPERACIONES

Define los lineamientos para asegurar el funcionamiento correcto y seguro de
las instalaciones de procesamiento de datos, protección ante software
malicioso, respaldo de información, gestionar los registros, asegurar la

confidencialidad, integridad y disponibilidad de los sistemas de información y
comunicación, prevenir la explotación de vulnerabilidades y auditar los
sistemas operacionales.
7.7.1. Mantener los procedimientos operacionales actualizados, aprobados

y disponibles para su ejecución por el personal responsable, para
garantizar la operación y óptimo funcionamiento de los equipos
tecnológicos.
7.7.2. Cualquier modificación en los sistemas de información o

infraestructura tecnológica en producción, debe realizarse a través de
un procedimiento de control de cambios, el mismo que debe contar
con los niveles de autorización y registro apropiado.
7.7.3. El rendimiento de los activos de información debe ser monitoreado

para optimizar los recursos, y proyectado a las necesidades futuras
para planificar, gestionar y ejecutar su repotenciación o reposición, y
asegurar su desempeño eficaz.
7.7.4. Con relación a los ambientes de desarrollo, pruebas y producción de

los sistemas de información policiales, se debe:
7.7.4.1. Separar los ambientes con el fin de reducir los riesgos de
los accesos o cambios no autorizados.
7.7.4.2. Restringir el acceso a los tres ambientes solo para el
personal autorizado.
7.7.5. Implementar las medidas necesarias para la prevención, detección y

eliminación de malware en la red de datos, equipos de cómputo,
dispositivos móviles (teléfonos inteligentes o smartphones, tableta y
otros), entre ellos:
7.7.5.1. Instalar software antivirus y contra amenazas avanzadas

persistentes y con capacidad de actualización automática.
7.7.5.2. No cambiar o eliminar la configuración del software antivirus
y de protección avanzada contra malware, por lo tanto, solo
pueden realizar tareas de escaneo.
7.7.6. Desconectar o aislar de la red de datos los equipos de cómputo del

Internet y/o de la Policía Nacional del Perú (Intranet PNP) cuando
sospechen o detecten la acción de un software malicioso y luego
deben comunicarlo a la Oficina de Tecnología de la Información y
Comunicaciones o la que hagan sus veces para que le brinde soporte
técnico. La Oficina de Tecnología de la Información y Comunicaciones
coordina con el Equipo de Respuesta ante Incidentes de Seguridad
Informática de la Policía Nacional del Perú (CSIRT PNP).
7.7.7. El software empleado en los equipos de cómputo, equipos de

seguridad y dispositivos móviles de la Policía Nacional del Perú debe:
7.7.7.1. Ser de la última versión vigente y disponible en el mercado.

7.7.7.2. Contar con su respectiva licencia de uso.
7.7.7.3. Autorizado por la DIRTIC PNP.
7.7.7.4. Tener las últimas actualizaciones de seguridad (parches)
con capacidad de actualización automática, a fin de evitar
de explotación de vulnerabilidades técnicas.
7.7.8. Solo los efectivos policiales pertenecientes a la Dirección de

Tecnología de la Información y Comunicaciones de la Policía Nacional
del Perú (DIRTIC PNP) y Oficinas de Tecnología de la Información y
Comunicaciones o las que hagan sus veces, y en el marco de sus
funciones, deben instalar el software autorizado que cuente con su
licencia de uso; así como configurar los equipos de cómputo y
dispositivos móviles.
7.7.9. Implementar medidas de control de software malicioso a nivel de

perímetro de la red de datos policial.
7.7.10. No se debe utilizar el acceso a Internet y/o la red privada policial

(Intranet PNP), para ingresar a páginas de ocio, juego, contenido
malicioso, pornográfico, de dudosa reputación, software ilegal, de
descarga de música, etc.; salvo que el desempeño de la función
policial lo requiera, para lo cual debe ser debidamente autorizado por
los responsables de los servicios de acceso a internet.
7.7.11. Solo el personal autorizado en estricto cumplimiento de sus funciones

asignadas, está permitido acceder la red profunda y oscura (Deep y
Dark Web) y mediante equipos de cómputo totalmente aislados y
separados de la red de datos de la PNP.
7.7.12. Antes de usar archivos electrónicos, verificar que estos estén libres de
software malicioso.
7.7.13. Habilitar la funcionalidad de firewall de los sistemas operativos y

software antivirus en los equipos de cómputo y dispositivos móviles.
7.7.14. Se debe establecer, aprobar y ejecutar un procedimiento de copia de

respaldo y recuperación de la información.
7.7.15. La copia de respaldo de información clasificada debe ser cifrada

empleando protocolo, algoritmo y contraseña robusta.
7.7.16. Contar con un sistema de generación de copias de respaldo (en disco,

cintas y/o medio óptico) documentado, el cual permita crear,
salvaguardar y recuperar copias de respaldo de los datos de los
sistemas de información, equipos de cómputo, código fuente de
aplicaciones, equipos de comunicación, equipos de seguridad y otros
que se consideren críticos para la función policial.
7.7.17. Se deben generar como mínimo dos copias de respaldo, una de ellas
se debe almacenar en el local donde fue generada, y al menos, la otra
copia de la misma debe almacenarse en un lugar externo al local, en
ambos casos deben contar con controles de acceso físico y
condiciones ambientales adecuadas para su conservación.
7.7.18. Las copias de respaldo de la información, del software y de las

imágenes de los sistemas de los servidores deben ser realizadas,
registradas y controladas periódicamente.
7.7.19. Rotular las copias de respaldo utilizando etiquetas que permitan

determinar a qué sistema de información o servidor pertenece, fecha
y hora de la realización de la copia, u otro dato que la identifique.
7.7.20. Realizar pruebas de restauración periódicas a las copias de respaldo,

a fin de asegurar que se pueda obtener correctamente la información
almacenada al momento que sea requerida.
7.7.21. Los medios de almacenamiento que contengan copias de respaldo y

requieran ser eliminados deben realizarse ejecutando el procedimiento
de borrado seguro y su posterior eliminación o destrucción cumpliendo
con la normatividad vigente
7.7.22. Registrar, mantener y revisar periódicamente los eventos (logs) de

actividades, excepciones, fallas, y alertas que se generan en los
equipos de comunicaciones, equipos de seguridad informática,
equipos de cómputo, sistemas operativos, software de red y sistemas
de información.
7.7.23. Proteger los registros de eventos de actividades, excepciones, fallas,

y alertas, contra la adulteración y el acceso no autorizado.
7.7.24. Registrar, proteger y revisar periódicamente las actividades del

administrador y operador de los sistemas de información y
comunicaciones de la institución.
7.7.25. Sincronizar los relojes de tiempo de todos los sistemas de información

y comunicaciones con una fuente de tiempo de referencia única.
7.7.26. La DIRTIC PNP y las Oficinas de Tecnologías de la Información y

Comunicaciones o las que hagan sus veces deben establecer:
7.7.26.1. Mecanismos y herramientas para gestionar las

vulnerabilidades técnicas para los sistemas de información
e infraestructura tecnológica.
7.7.26.2. La programación de revisiones de vulnerabilidades técnicas
regulares, como mínimo una vez al año, así como revisiones
extraordinarias cuando el caso lo amerite.
7.7.27. Planificar y realizar auditorías periódicamente a los sistemas de

información y comunicaciones, con el fin de minimizar las
interrupciones en los procesos operacionales.
7.8 SEGURIDAD DE LAS COMUNICACIONES

Define lineamientos para asegurar la protección de la información en las redes
y sus instalaciones de procesamiento de información, para lo cual define los
siguientes controles:
7.8.1. Establecer controles (cifrado, firma digital, otros) para salvaguardar la

confidencialidad e integridad de los datos que pasan a través de redes
públicas o de redes inalámbricas y proteger los sistemas conectados.
7.8.2. Se debe monitorear permanentemente la red interna y externa,

implementando las herramientas que le permitan detectar, prevenir y
recuperarse de acciones que podrían afectar la seguridad de la
información.
7.8.3. Las conexiones a los sistemas de red deben ser restringidos y deben
ser autenticados y autorizados de acuerdo a roles establecidos.
7.8.4. Las redes de comunicaciones deben ser segmentadas de acuerdo a

criterios de uso, de modo que se puedan gestionar adecuadamente.
7.8.5. Se deben implementar mecanismos que regulen los diferentes tipos

de transferencia de información, ya sea a través de la red de
comunicaciones o dispositivos de almacenamiento.
7.8.6. Las Unidades de Organización que hayan suscrito acuerdos de

intercambio de información con otras Direcciones PNP o terceros,
deben ser comunicados a la Dirección de Tecnología de la Información
y Comunicaciones de la Policía Nacional del Perú (DIRTIC PNP), así
como el incumplimiento de los acuerdos; a fin de ser tramitados a la
Comandancia General de la PNP.
7.8.7. Para realizar el intercambio de información debe existir un documento

de aceptación de las políticas de seguridad y uso adecuado de
información entre las partes que garantice la disponibilidad,
confidencialidad e integridad.
7.8.8. Para el intercambio de información establecida por ley o convenios con

entidades gubernamentales, se debe registrar la norma que aplique y
un documento formal de trabajo que se realizará en conjunto para tal
fin, en el cual se deben definir los mecanismos o protocolos a usar.
7.8.9. Se deben implementar controles (cifrado, firma digital, otros) para la

protección de mensajería electrónica para prevenir accesos no
autorizados, modificación o denegación de servicio acorde con el
esquema de clasificación adoptado por la PNP.
7.8.10. Para gestionar las redes sociales que involucra la identidad online e
imagen institucional de la Policía Nacional del Perú, el órgano
competente debe designar el Administrador(es) de Comunidad
(Community Manager), quien estará a cargo de operar y administrar
las diferentes redes sociales de acuerdo a los procesos y normativas
internas.
7.8.11. El Administrador (es) de Comunidad debe conocer la institución, la

política, normativa, buenas prácticas y las reglas definidas, los usos
permitidos de las redes sociales y las posibles sanciones de un uso
indebido.
7.8.12. En las cuentas de redes sociales de la PNP se deben configurar los

parámetros de restricción de seguridad y privacidad.
7.8.13. No se debe publicar información clasificada en medios de

comunicación digital, salvo previa autorización del comando.
7.8.14. No se debe realizar publicaciones de fotos, audios, videos u otros en

medios de comunicación digital relacionados a la función policial que
pueda ser usada en contra de la imagen institucional o los intereses
de la PNP.
7.9 DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

Establece los lineamientos para asegurar que todos los sistemas de
información actuales y nuevos incluyan requerimientos de seguridad en todo el
ciclo de vida, con la finalidad de proteger la confidencialidad, integridad y
disponibilidad de los datos que procesan. Ellos son:
7.9.1. La seguridad de la información debe ser parte integral del ciclo de

desarrollo de sistemas de información, ya sea cuando es realizado por
personal de la institución, se adquiere a una entidad externa o se

recibe en donación.
7.9.2. Se debe evaluar los riesgos de seguridad de la información en el

desarrollo, implementación y mantenimiento de sistemas de
información a fin de identificar e implementar controles de seguridad
de la información necesarios.
7.9.3. La DIRTIC PNP debe establecer la metodología para todo ciclo de

desarrollo de software y sistemas de información, debiendo considerar
pautas de programación segura.
7.9.4. Para el desarrollo de sistemas de información en la PNP debe

emplearse la metodología para el ciclo de desarrollo de software
establecida por la DIRTIC PNP.
7.9.5. Se debe emplear la nomenclatura establecida como parte de la

metodología del ciclo de Desarrollo de software definido por la DIRTIC
PNP para la:
7.9.5.1. Designación de nombres de bases de datos y en los objetos

contenidos dentro de ellas (tablas, vistas, procedimientos
almacenados, triggers, foreign key, etc.), así como en los
nombres y rutas de los archivos.
7.9.5.2. Definición de funciones, procedimientos, clases y objetos.
7.9.6. Todo sistema de información o aplicativos a desarrollar y/o adquirir

debe ir acompañado de un informe técnico de aprobación de parte de
la Dirección de Tecnología de la Información y Comunicaciones. El
código fuente de los programas de los sistemas de información que
sean desarrollados por personal policial o a través de contratos con
terceros para tal fin, es de propiedad de la Policía Nacional del Perú.
7.9.7. Se debe establecer acuerdo de uso licencias de software, propiedad

de código del software y derechos de propiedad intelectual con las
empresas y personal que desarrollen software para la Policía Nacional
del Perú.
7.9.8. Los servicios web de la Institución que son publicados por sistemas de
información o interconexión con aplicaciones de entidades externas
deben implementar controles definidos en la metodología del ciclo de
desarrollo de software establecidos por la DIRTIC para protegerlos de
ataques informáticos internos y externos.
7.9.9. Las transacciones en línea entre sistemas de información deben

realizarse a través de protocolos seguros, comunicación cifrada entre
las partes involucradas, asegurando que la transacción finalice con
éxito, preservando la integridad y confidencialidad de la información.
7.9.10. La interconexión con sistemas internos o externos debe cumplir con

los controles adecuados para mantener de confidencialidad, integridad
y disponibilidad, además de definir los niveles de acuerdo del servicio.
7.9.11. Se debe establecer, documentar, mantener y aplicar los principios

para la ingeniería de sistemas seguros para cualquier implementación
de sistemas de información en la Policía Nacional del Perú, definido
en la metodología para el ciclo de desarrollo de software.
7.9.12. La interface administrativa del sistema de información no debe ser

accesible a personal no autorizado.
7.9.13. Se debe mantener por separado los ambientes de desarrollo, pruebas

y producción y en cada uno de ellos mantendrá únicamente los
elementos que se consideren adecuados con el fin de mitigar riesgos.
7.9.14. El servidor de aplicaciones debe ubicarse en una red separada, en

contenedor o aislado para retrasar y disuadir a los intrusos de atacar
a otras aplicaciones; y la conexión con el servidor de base de datos
debe estar fuertemente cifrada.
7.9.15. Los datos e información de producción no deben ser copiados en los

entornos de desarrollo y prueba, de requerir información para los
ambientes de prueba y desarrollo, éstas deben pasar por un proceso
de transformación lógica para no exponer información de los
ambientes de producción.
7.9.16. Los datos de prueba de los ambientes de desarrollo y prueba no

pueden ser utilizados o copiados para uso fuera de la PNP.
7.9.17. Crear diferentes roles de acceso a los servidores, considerando

siempre el principio de menor privilegio para el cumplimiento de sus
funciones.
7.9.18. Todos los sistemas de información y servicios tecnológicos deben

contar un módulo de seguridad y auditoría, que permita la trazabilidad
completa (almacenar los registros de acceso y transacciones) del
usuario que hace uso del servicio.
7.9.19. No escribir, generar, compilar, copiar, coleccionar, propagar, ejecutar

o introducir cualquier tipo de código (programa) malicioso; diseñados
para dañar, afectar el desempeño o acceso a los equipos de
tecnología de la información, redes o información de la Policía
Nacional del Perú.
7.9.20. Antes de su puesta en producción, analizar todos los sistemas y

aplicaciones desarrolladas por la Policía Nacional del Perú y/o
terceros, mediante un analizador de vulnerabilidades web y de código
fuente.
7.10 SEGURIDAD EN RELACIONES CON LOS PROVEEDORES

Define lineamientos para asegurar la protección de los activos de información
que es accedida por los proveedores establece los siguientes lineamientos de
seguridad:
7.10.1. Las Unidades de Organización de la Policía Nacional del Perú que son
propietarios de los activos de información, antes de permitir el acceso
o la entrega de información a un proveedor como parte de un servicio,
deben realizar la gestión de riesgos de seguridad de la información,
con el fin de establecer los niveles de acceso a la información que
permita salvaguardar la confidencialidad, integridad y disponibilidad de
la información.
7.10.2. Todos los contratos con proveedores que, como parte del servicio a
ejecutar requieran acceder a información o servicios tecnológicos de
la PNP, debe tener claramente definidos los acuerdos de
confidencialidad y niveles de servicios, los cuales deben y ser incluidos
como un numeral de las especificaciones técnicas o términos de
referencia para su contratación.
7.10.3. Diligenciar y hacer firmar el acuerdo de confidencialidad con el

proveedor y a todos los trabajadores del proveedor, que utilicen o
accedan a los activos de información de propiedad y/o administrados
por la Policía Nacional del Perú como parte del servicio contratado.
7.10.4. Monitorear y supervisar periódicamente las actividades que

desarrollan los proveedores que tiene acceso o hacen uso de los
activos de información como parte de los servicios contratados.
7.10.5. La Policía Nacional del Perú se reserva el derecho de efectuar

auditorias periódicas a los proveedores y solicitar reportes de
seguridad para verificar el cumplimiento de los acuerdos definidos en
los contratos referente a la protección y uso de la información de la
PNP.
7.10.6. Cualquier cambio a ejecutar por el proveedor como parte del servicio
contratado, previamente debe realizar una gestión de riesgos de
seguridad de la información, a fin de identificar los impactos que podría
generar dicho cambio a la infraestructura tecnológica o procesos de la
PNP.
7.11 GESTION DE INCIDENTES

Define lineamientos para la adecuada gestión de incidentes de seguridad de la
información y la comunicación sobre eventos de seguridad y debilidades del
mismo a través de los siguientes controles:
7.11.1. Establecer responsabilidades de gestión y los procedimientos para

asegurar una respuesta rápida, efectiva y ordenada a los incidentes
de seguridad de la información.
7.11.2. Reportar los eventos de seguridad de la información a través de los

canales formales y aprobados por la Institución tan rápido como sea
posible.
7.11.3. Los empleados y contratistas que usan los sistemas y servicios de

información de la PNP deben de advertir y reportar cualquier debilidad
observada o sospechosa referida a la seguridad de la información de
la Institución.
7.11.4. Evaluar los eventos de seguridad de la información y clasificarlos

como incidentes de seguridad de la información de acuerdo a los
criterios establecidos.
7.11.5. Tomar acción oportuna a los incidentes de seguridad de la información

de acuerdo con los procedimientos documentados.
7.11.6. Utilizar el conocimiento adquirido del análisis y solución de incidentes

de seguridad de la información para reducir la probabilidad o el
impacto de incidentes futuros.
7.11.7. Definir y aplicar procedimientos para la identificación, recolección,

adquisición y preservación de información que pueda servir como
evidencia.
7.12 CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACION

Define lineamientos para asegurar que la confidencialidad, integridad y
disponibilidad de su información no se vea afectado por la ocurrencia de un
evento catastrófico de origen natural, tecnológico o por factores humanos, ante
ello la continuidad de la seguridad de la información debe estar embebida en la
continuidad operativa de la Institución.
7.12.1. Determinar los requisitos de seguridad de la información al planificar

la continuidad operativa y la recuperación ante desastres.
7.12.2. Establecer, implementar y mantener procesos, procedimientos y

controles para asegurar el nivel requerido de continuidad de seguridad
de la información durante la ocurrencia de un evento adverso.
7.12.3. Verificar los controles de continuidad de seguridad de la información

establecidos e implementados en intervalos regulares y asegurar que
sean válidos y eficaces durante la ocurrencia de eventos adversos.
7.12.4. Implementar redundancias en las instalaciones de procesamiento de

información para asegurar la disponibilidad de los servicios.
7.12.5. Los sistemas, infraestructura y locaciones redundantes no deben de

estar ubicados físicamente en el mismo edificio o perímetro del sitio
principal. Se deben establecer ambientes redundantes que cumplan
con estándares de seguridad física y lógica.
7.13 CONFERENCIA Y/O REUNIÓN VIRTUAL

Define lineamientos base para la realización de la conferencia y/o reunión
virtual, para lo cual establece los siguientes lineamientos:
7.13.1. La realización de conferencia y/o reunión virtual deben ser

debidamente autorizadas por el Jefe de la Unidad o Jefe de División,
quien debe designar responsables para la coordinación con los
organizadores, administradores de las plataformas y participantes; del
tratamiento de la información a transmitir previa clasificación y de ser
el caso, de la grabación de la conferencia y/o reunión virtual; asimismo,
definir si se emplea el sistema administrado por la Dirección de
Tecnología de la Información y Comunicaciones PNP (coordinar con
el Departamento de Telefonía y Satélite de la División de
Telecomunicaciones de la Dirección de Tecnología de la Información
y Comunicaciones PNP) o a través de plataformas contratadas a
terceros.
7.13.2. Cuando se emplee plataformas de conferencia y/o reunión virtual, se

debe mantener la confidencialidad de la reunión si se transmite
información clasificada (secreto, reservado y confidencial) y realizar
las siguientes actividades:
7.13.2.1 Se debe utilizar la última versión disponible del software de

conferencias y/o reuniones virtuales, debiéndose mantener
actualizada en todo momento, en lo posible usar la interfaz
web, evitando instalar el software en la computadora o
dispositivo móvil.
7.13.2.2 Si el software para realizar la conferencia y/o reunión virtual

se va instalar en una computadora se debe descargar solo
desde la página web oficial del programa y para un
dispositivo móvil, desde App Store, Play Store o Google
Play.
7.13.2.3 Cifrar el canal de comunicación empleando un protocolo

robusto.
7.13.2.4 Realizar pruebas de conexión con anticipación.
7.13.2.5 Configurar la sala de reunión para que acceda únicamente

el participante registrado, tener control total del micrófono y
cámara del participante; deshabilitar la opción de “unirse
antes que el anfitrión” y si el software lo permite, se debe
activar la funcionalidad de sala de espera.
7.13.2.6 Registrar al participante empleando su cuenta de correo

electrónico institucional y comunicar por ese único medio,
el enlace y/o credenciales de acceso para el ingreso a la

videoconferencia.
7.13.2.7 Se debe establecer un lugar adecuado para el correcto

desarrollo de la videoconferencia, evitando interrupciones,
ruidos molestos y mostrar información no necesaria para la
conferencia y/o reunión virtual.
7.13.2.8 Durante la participación en la conferencia y/o reunión
virtual, se debe evitar mostrar contenidos inapropiados e
información clasificada a fin de mantener la
confidencialidad de la reunión, asimismo restringir el uso de
la cámara, de no ser necesario y solo se debe activar el
micrófono cuando el usuario requiera intervenir, de lo
contrario, debe apagarlo.
7.13.2.9 No se debe compartir información a través del software de
conferencia y/o reunión virtual. De ser necesario el
compartir información se debe emplear el correo
institucional.
7.13.2.10 Una vez finalizada la conferencia y/o reunión virtual se debe

cubrir la cámara cuando el sistema no está en uso y cerrar
sesión del programa, finalizándola correctamente.
7.13.3. La información que se almacene antes, durante y después de la

realización de la conferencia y/o reunión virtual es propiedad de la
7.14 CUMPLIMIENTO DE REQUISITOS LEGALES

Define lineamientos para asegurar el cumplimiento de las normativas de
seguridad de la información y la Ley de Protección de Datos Personales, para
lo cual establece los siguientes lineamientos:
7.14.1 Lineamientos de cumplimiento
7.14.1.1 Todas las legislaciones, regulaciones y requerimientos

contractuales en lo referente a la seguridad de la
información, deben ser identificadas, documentadas y
cumplirse.
7.14.1.2 Se debe aplicar controles para la instalación de software
autorizado y productos bajo licencia a fin de asegurar el
cumplimiento de los derechos de autor, así mismo debe
mantener los documentos que acrediten la propiedad de las
licencias para su uso, llevando el control respectivo.
7.14.1.3 Proteger los derechos de autor de la información de la PNP
proporcionada a una entidad externa o que sea obtenida a
través de las publicaciones impresas y en portales web de
la Policía Nacional del Perú, por lo que se debe citar como
fuente de información a la Policía Nacional del Perú.
7.14.1.4 Solo personal autorizado y en cumplimiento de sus

funciones, podrá realizar copia de software, ya sea adquirido
o desarrollado por la Policía Nacional del Perú, la misma que

debe ser debidamente sustentada.
7.14.1.5 Los sistemas desarrollados por los efectivos policiales,

usuarios o personal externo contratado para tal fin, son de
propiedad intelectual de la Policía Nacional del Perú.
7.14.1.6 Se deben proteger todos los registros contra pérdidas,

destrucción, falsificación, acceso no autorizado y
publicación no autorizada de acuerdo con los requisitos
normativos y contractuales vigentes.
7.14.1.7 No destruir o eliminar registros o información, sin la

aprobación respectiva de los propietarios de la información
y en cumplimiento de la normatividad legal.
7.14.2 Lineamientos de Protección de Datos Personales
7.14.2.1 Garantizar el cumplimiento de la Protección de Datos

Personales en estricto respeto a la privacidad de las
personas en el marco del cumplimiento a la Ley 29733 “Ley
de Protección de Datos Personales” y su Reglamento,
estableciendo mecanismos que faciliten su ejercicio.
7.14.2.2 En la PNP la protección de los datos de carácter personal

se rige por principios rectores establecidos en la Normativa
de Protección de Datos Personales, estos son: el principio
de legalidad, el principio de consentimiento, el principio de
finalidad, el principio de proporcionalidad, el principio de
calidad, el principio de seguridad, el principio de disposición
de recurso y el principio de nivel de protección adecuado,
conforme lo establece la Ley.
7.14.2.3 La PNP realizará el tratamiento de los datos personales que

provienen de diversas categorías de titulares, tales como:
✓ Personal Policial
✓ Personal Civil contratado
✓ Contratistas de Bienes y servicios
✓ Ciudadanía en general
7.14.2.3 Los titulares de los datos personales podrán ejercer los

siguientes derechos, que es prioridad de la PNP para su
cumplimiento: Derecho de Información, derecho de acceso,
derecho de actualización, inclusión, rectificación y
supresión, derecho de oposición, derecho de tratamiento
objetivo, derecho a la tutela.
7.14.2.3 Producto de los lineamientos definidos en la presente

política, la PNP adopta una serie de medidas de seguridad
orientadas a proteger la información bajo su
responsabilidad, incluyendo, por consiguiente, los datos
personales. Como parte ello se definen las siguientes

medidas específicas que deben aplicarse inequívocamente
sobre el tratamiento de los datos en los sistemas
informáticos que manejen bancos de datos personales:
✓ Gestión de accesos y privilegios respetando los
lineamientos detallados en el presente documento.
✓ Control de registros que provean evidencia sobre las
interacciones con los datos.
7.14.2.3 Los ambientes y espacios físicos donde se procese,

almacenen o trasmita datos personales deben operar bajo
estrictas medidas de seguridad que permitan evitar
potenciales daños a las instalaciones y prevenir accesos no
autorizados.
7.14.2.3 Se efectúa copias de respaldo de los bancos de datos

personales, además deben implementarse procedimientos
de restauración que permitan garantizar la integridad de los
datos y su disponibilidad oportuna.
7.14.2.3 La transferencia lógica o electrónica de los datos personales

hacia ambientes externos de la PNP, se realizara bajo las
condiciones de seguridad necesarias para garantizar su
confidencialidad, integridad y disponibilidad.
7.14.2.3 El traslado de información que contenga datos personales

será efectuado adoptando las medidas pertinentes para
impedir el acceso o manipulación de personal no autorizado.
7.14.2.3 La eliminación de medios que contengan datos personales

se realizará bajo medidas estrictas de seguridad, de forma
que se evite el acceso a la información contenida en los
mismos o su recuperación posterior.
7.13.3 Revisiones de la Seguridad de la información
7.13.3.1. El Sistema de Seguridad de la Información debe revisarse

de forma independiente a intervalos planificados para
asegurar el cumplimiento de las políticas de seguridad de
la información de la PNP.
7.13.3.2. Realizar las revisiones periódicas de la política de

seguridad y normas de seguridad de la información.
7.13.3.3. Evaluar el cumplimiento de las políticas y normas de

seguridad de la información aplicables a la PNP.
VIII. DISPOSICIONES COMPLEMENTARIAS
8.1 La Dirección de Tecnología de la Información y Comunicaciones de la Policía

Nacional del Perú revisa la Política de Seguridad de la Información una vez al
año o cuando ocurre cambios significativos en el contexto interno y externo en
el cual se desenvuelve la Policía Nacional del Perú, para garantizar su

idoneidad, adecuación y efectividad continua.
8.2 Las unidades de organización de la Policía Nacional del Perú deben asegurarse
que la política de seguridad de la información sea comunicada al personal
comprendido en el alcance.
IX. VIGENCIA
La presente política entra en vigencia al día siguiente de su publicación en la página

web Institucional de la Policía Nacional del Perú y en la página web del Sistema
Integrado de la Carrera Policial de la Dirección de Recursos Humanos de la Policía
Nacional del Perú.
X. ANEXO
ANEXO I GLOSARIO DE TÉRMINOS.
ANEXO I
GLOSARIO DE TÉRMINOS
Los términos y definiciones que se indican líneas abajo, son aquellas que se encuentran
detalladas en las normas emitidas por la Organización Internacional para la
Estandarización.
1. Aceptación de riesgo
Decisión informada de asumir un riesgo en particular.
Nota 1 La aceptación del riesgo puede ocurrir sin tratamiento de riesgo o durante el
proceso de tratamiento de riesgo.
Nota 2 Los riesgos aceptados están sujetos a monitoreo y revisión.
2. Activo
Algo que tiene valor para una organización.
Nota 1 Activos incluyen, pero no limitados a personas, equipos, información, recursos
intangibles y ambientales.
3. Activo de información
Es todo aquello que procesa, almacena, transmite y/o sirve de soporte de la
información, necesaria para la operación y el cumplimiento de los objetivos de la
organización. Los tipos de activos de la información son:
- Arquitectura del sistema
- Datos/Información
- Claves criptográficas
- Servicios
- Software – Aplicaciones informáticas
- Equipamiento (hardware)
- Redes de comunicaciones
- Soportes de información
- Equipamiento auxiliar
- Instalaciones
- Personal
4. Amenaza
Causa potencial de un incidente no deseado, que puede resultar en daños para un
sistema u organización.
5. Ataque
Intento de destruir, exponer, alterar, deshabilitar, robar u obtener acceso no
autorizado o hacer un uso no autorizado de un activo.
6. Auditoría
Proceso sistemático, independiente y documentado para obtener evidencias de
auditoría y evaluarlas de manera objetiva, con el fin de determinar el grado en el que
se cumplen los criterios de auditoría.
Nota 1 Una auditoría puede ser una auditoría interna (primera parte) o una auditoría
externa (segunda parte o tercera parte), y puede ser una auditoría combinada
(combinando dos o más disciplinas).
Nota 2 Una auditoría interna es realizada por la propia organización o por una parte
externa en su nombre.
7. Autenticación
Aportación de garantías de que son correctas las características que una entidad
reivindica para sí misma.
8. Confiabilidad
Propiedad de un comportamiento planeado consistente y resultado.
9. Confidencialidad
Propiedad de la información por la que se mantiene inaccesible y no se revela a
personas, entidades o procesos no autorizados.
10. Conformidad
Cumplimiento de un requisito.
11. Continuidad de la seguridad de la información

Procesos y procedimientos para garantizar las operaciones continuas de seguridad
de la información.
12. Control
Medida que modifica un riesgo.
Nota 1 Los controles incluyen cualquier proceso, política, dispositivo, práctica u otras
acciones que modifiquen el riesgo.
Nota 2 Es posible que los controles no siempre ejerzan el efecto de modificación
previsto o supuesto.
13. Control de acceso

Medios para asegurar que el acceso a los activos esté autorizado y restringido en
función de los requerimientos del negocio y de seguridad.
14. Criptografía
Arte de escribir con clave secreta o de un modo enigmático.
15. Datos
Conjunto de valores asociados a medidas básicas, medidas derivadas y/o
indicadores.
16. Disconformidad
Incumplimiento de un requisito.
17. Disponibilidad
Propiedad de ser accesible y utilizable bajo demanda de una entidad autorizada.
18. Dueño o propietario del riesgo

Persona o entidad que tiene la responsabilidad y autoridad para gestionar el riesgo.
19. Evaluación del riesgo

Proceso de comparar los resultados del análisis de riesgo con los criterios de riesgo
para determinar si el riesgo y/o su magnitud son aceptable o tolerable.
Nota 1 La evaluación de riesgos ayuda en la decisión acerca del tratamiento de
riesgo.
20. Evento
Ocurrencia o cambio de un conjunto particular de circunstancias.
21. Evento de seguridad de la información

Ocurrencia identificada de un sistema, servicio o estado de la red indicando una
posible infracción de la política de seguridad de la información o falla de los controles,
o una situación previamente desconocida que pueda ser relevante para la seguridad.
22. Gestión de incidentes de seguridad de información

Conjunto de procesos para detectar, reportar, evaluar (estimar), responder, tratar y
aprender de incidentes de seguridad de la información.
23. Gestión de riesgos

Actividades coordinadas para dirigir y controlar una organización con respecto al
riesgo.
24. Incidente de seguridad de la información

Uno o una serie de eventos de seguridad de la información no deseados o
inesperados que tienen una probabilidad significativa de comprometer las
operaciones comerciales y amenazar la seguridad de la información.
25. Indicador
Medida que proporciona una estimación o una evaluación de determinados atributos
usando un modelo analítico para satisfacer unas determinadas necesidades de
información.
26. Integridad
Propiedad de exactitud y completitud.
27. Mejora continua

Actividad recurrente para mejorar el rendimiento.
28. Parte interesada

Persona u organización que puede afectar, estar afectada o percibir que está
afectada por una decisión o actividad.
29. Política
Intenciones y dirección de una organización, formalmente expresado por la alta
dirección.
30. Proceso
Conjunto de actividades interrelacionadas o que interactúan, que transforma
elementos de entrada en elementos de salida.
31. Propietario del activo

Tanto las personas como otros órganos que hayan sido autorizados por la Unidad
Policial como competencialmente aptos para la gestión del ciclo de los activos,
pueden ser designados como propietarios de activos.
El propietario del activo no tiene necesariamente que tener derechos de propiedad
sobre el activo.
32. Revisión
Actividad realizada para determinar la idoneidad, adecuación y efectividad de la
materia para alcanzar los objetivos establecidos.
33. Riesgo
Efecto de la incertidumbre sobre la consecución de los objetivos.
Nota 1 Un efecto es una desviación de lo esperado, positivo o negativa, respecto a
lo previsto.
Nota 2 La incertidumbre es el estado, incluso parcial, de deficiencia en la información
relativa a la comprensión o al conocimiento de un suceso, de sus consecuencias o
de su probabilidad.
Nota 3 Con frecuencia, el riesgo se caracteriza por referencia a sucesos potenciales
y a sus consecuencias o una combinación de ambos.
Nota 4 Con frecuencia, el riesgo se expresa en términos de combinación de las
consecuencias de un suceso (incluyendo los cambios en las circunstancias) y de su
probabilidad.
Nota 5 En el contexto de sistemas de gestión de seguridad de la información, los
riesgos de seguridad de la información pueden ser expresados como un efecto de
incertidumbre sobre los objetivos de seguridad de la información.
Nota 6 El riesgo de seguridad de la información está asociado con el potencial de
que las amenazas exploten las vulnerabilidades de un activo de información o grupo
de activos de información y, por lo tanto, causen daño a una organización.
34. Seguridad de información

Preservación de la confidencialidad, integridad y disponibilidad de la información.
Nota 1 Además, otras propiedades, como autenticidad, responsabilidad, no repudio
y confiabilidad también pueden estar involucradas.
35. Sistema de información

Conjunto de aplicaciones, servicios, activos de tecnología de la información u otros
componentes de manejo de la información.
36. Vulnerabilidad
Debilidad de un activo o control que puede ser explotado por una o más amenazas.
37. Banco de Datos personales

Conjunto organizado de datos personales, automatizado o no, independientemente
del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera
fuera la forma o modalidad de su creación, formación, almacenamiento, organización
y acceso.
38. Datos personales

Es aquella información numérica, alfabética, grafica, fotográfica, acústica, sobre
hábitos personales, o de cualquier otro tipo concerniente a las personas naturales
que las identifica o las hace identificables a través de medios que puedan ser
razonablemente utilizados.
39. Datos personales sensibles

Datos personales constituidos por los datos biométricos que por sí mismos pueden
identificar al titular, datos referidos al origen racial y étnico; ingresos económicos,
opiniones o convicciones lineamientos religiosas, filosóficas o morales; afiliación
sindical; e información relacionada a la salud o a la vida sexual.
40. Titular de datos personales
Persona natural a quien corresponden los datos personales. Si la persona natural es

externa a la institución se refieren a ciudadanos, si es interna se referirá a personal
de la PNP y sus proveedores.
41. Titular del banco de datos personales

Persona natural, persona jurídica de derecho privado o entidad pública que determina
la finalidad y contenido del banco de datos personales, el tratamiento de estos y las
medidas de seguridad, que debe ser designada por la Jefatura de la Entidad.
42. Tratamiento de datos personales

Cualquier operación o procedimiento técnico, automatizado o no, que permite la
recopilación, registro, organización, almacenamiento, conversación elaboración,
modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por
transferencia o por difusión o cualquier otra forma de procesamiento que facilite el
acceso, correlación o interconexión de los datos.

Política de Seguridad de La Información de La Policía Nacional Del Perú

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Política de Seguridad de La Información de La Policía Nacional Del Perú

Cargado por

Copyright:

Formatos disponibles

Código: PE-SGSI-PNP-01

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLICÍA NACIONAL DEL PERÚ

“POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA POLICÍA

Fases Responsable Visto Bueno y Sello

Director de Tecnología de la Información --------------------------------------------------------

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA POLICÍA NACIONAL DEL

Establecer y dotar de instrumento normativo para proteger los activos de información

2.2 Promover la sensibilización a todos los funcionarios, colaboradores,

2.4 Dar cumplimiento a la legislación vigente asociada a la seguridad de la

Las disposiciones y lineamientos contenidos en la presente política específica de

4.1. La Secretaría Ejecutiva (SECEJE) de la Policía Nacional del Perú es

4.2. La Dirección de Tecnología de la Información y Comunicaciones de la Policía

5.2 Ley N° 30036, Ley que regula el teletrabajo.

5.3 Ley 27806, Ley de Transparencia y Acceso a la Información Pública.

5.4 Ley N° 29733, Ley de Protección de Datos Personales.

5.5 Ley N° 30096, Ley de Delitos Informáticos y su modificatoria Ley 30171.

5.6 Decreto Legislativo Nº 1094, promulga el Código Penal Militar Policial.

5.8 Decreto Legislativo Nº 1412, aprueba la Ley de Gobierno Digital.

5.9 Decreto Supremo Nº 026-2017-IN, aprueba el Reglamento del Decreto

5.10 Resolución Ministerial Nº 004-2016-PCM, aprueba el uso obligatorio de la

5.11 Resolución Ministerial Nº 041-2017-PCM, aprueban uso obligatorio de la

5.12 Decreto Supremo Nº 118-2018-PCM, declara de interés nacional el desarrollo

5.13 Decreto Supremo Nº 017-2015-TR de 02NOV2015, aprueba el Reglamento de

5.14 Decreto de Urgencia N° 026-2020, establece diversas medidas excepcionales

5.15 Decreto de Urgencia Nº 006-2020, que crea el Sistema Nacional de

5.16 Decreto de Urgencia Nº 007-2020, que aprueba el marco de confianza digital.

5.17 Resolución Ministerial Nº 119-2018-PCM, creación del Comité de Gobierno

5.18 Resolución Ministerial Nº 042-2018-IN, aprueba la Política General de

5.19 Resolución Ministerial Nº 276-2019-IN de 19FEB2019, aprueba los

5.20 Resolución Ministerial Nº 426-2019-IN de 21MAR2019, aprueba los

VI. DISPOSICIONES GENERALES

6.1. La Política de Seguridad de la Información de la Policía Nacional del Perú es el

6.3. La Policía Nacional del Perú se compromete a:

6.3.3 Gestionar los riesgos de seguridad de la información y la oportuna

6.4. A fin de garantizar la aplicación de las medidas de seguridad de la información

6.5. El personal indicado en el alcance de la presente política debe guardar secreto

VII. DISPOSICIONES ESPECÍFICAS

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

7.1 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

7.1.1. Las asignaciones de las responsabilidades de seguridad de la

7.1.3. La DIRTIC PNP debe establecer procedimientos que especifiquen

7.1.4. Con la finalidad de mejorar el conocimiento sobre las buenas prácticas

7.1.5. En cada una de las fases de la gestión de proyectos

7.2 SEGURIDAD DE RECURSOS HUMANOS

7.2.1. La Dirección de Recursos Humanos de la Policía Nacional del Perú

7.2.2. La Dirección de Recursos Humanos de la Policía Nacional del Perú

7.2.3. La Dirección de Recursos Humanos debe gestionar la concientización

7.2.4. La Dirección de Recursos Humanos de la Policía Nacional del Perú

7.2.5. La Dirección de Recursos Humanos de la Policía Nacional del Perú

7.3 GESTIÓN DE ACTIVOS

7.3.1. Las Unidades de Organización de Policía Nacional del Perú deben

7.3.3. Comunicar inmediatamente a la Superioridad en caso de pérdida,

7.3.4. Terminada la relación laboral, todo personal policial y civil o tercero,

7.3.5. La información que se genera, procesa, almacena y transmite en la

7.3.5.1 Información pública: Es información relacionada a la

subsistencia del sistema democrático, así como respecto a

7.3.5.3 Información reservada: Es información relacionada para

7.3.5.4 Información confidencial: Es información relacionada a la

7.3.6. Para la ejecución de la gestión de riesgos de seguridad de la

7.3.7. Etiquetar la información de acuerdo al esquema de clasificación de

7.3.8. Conservar la información conforme a los requisitos legales,

7.3.9. Toda información clasificada (secreta, reservada o confidencial), que