GobiernoTransparente

MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS

DO 997550 2016

Ministerio de Justicia y Derechos Humanos
(IdDO 997550)
CREA COMITÉ DE SEGURIDAD DE LA INFORMACIÓN
Santiago, 29 de diciembre de 2015.- Hoy se decretó lo que sigue:
Núm. 925.
Vistos:
Lo dispuesto en el decreto con fuerza de ley N° 1/19.653 de 2000, del Ministerio Secretaría General de la Presidencia, que Fija el Texto Refundido, Coordinado y Sistematizado de la Ley N° 18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado; en el decreto ley N° 3.346, de 1980, que Fija el Texto de la Ley Orgánica del Ministerio de Justicia; en el decreto supremo de Justicia N° 1.597, de 1980, Reglamento Orgánico del Ministerio de Justicia; en Ley N° 19.880, que Establece Bases de los Procedimientos Administrativos que Rigen los Actos de los Órganos de la Administración del Estado; en la Ley N° 16.436, que Declara que las Materias que Indica podrán ser Objeto de Decretos o Resoluciones Expedidos por las Autoridades que señala, con la sola firma del respectivo funcionario; en la Ley N° 19.799, sobre Documentos Electrónicos, Firma Electrónica y Servicios de Certificación de dicha firma; en la Ley N° 19.223, que Tipifica Figuras Penales Relativas a la Informática; en la Ley N° 20.285, sobre Acceso a la Información Pública; en el DS N° 83, de 2004, del Ministerio Secretaría General de la Presidencia, que Aprueba Norma Técnica para los Órganos de la Administración del Estado sobre Seguridad y Confidencialidad de los Documentos Electrónicos; en el DS N° 19, de 2001, del Ministerio Secretaría General de la Presidencia, que Faculta a los Ministros de Estado para firmar "Por orden del Presidente de la República"; en la Norma Chilena NCh27777 ISO/IEC 17799:2000, de Tecnología de la Información - Código de Práctica para la Gestión de Seguridad de la Información; en la Norma Chilena NCh-ISO 27001:2013, de Tecnología de la Información - Técnicas de Seguridad - Sistemas de Gestión de la Seguridad de la Información; en el decreto N° 189, de 2011, del Ministerio de Justicia; en la resolución N° 1.600, de 2008, de la Contraloría General de la República; y
Considerando:
1.- Que, existe todo un marco normativo que regula la gestión y utilización electrónica e informática de los documentos oficiales, el cual comprende principalmente, en otras normas, la Ley N° 19.799, sobre Documentos Electrónicos; la Ley N° 19.223, que Tipifica Figuras Penales Relativas a la Informática; la Ley N° 20.285, sobre Acceso a la Información Pública y el decreto supremo N° 83, de 2004, del Ministerio Secretaría General de la Presidencia, que Aprueba Norma Técnica para los Órganos de la Administración del Estado sobre Seguridad y Confidencialidad de los Documentos Electrónicos.
2.- Que, el decreto supremo N° 19, de 2001, del Ministerio Secretaría General de la Presidencia, en su artículo 1, Título 1° numeral 21, faculta a los Ministros de Estado para firmar "Por orden del Presidente de la República", los decretos supremos relativos a la "Creación de comisiones asesoras ministeriales, fijación y ampliación de los plazos para el cumplimiento de sus cometidos y nombramiento de representantes de los Ministerios en comisiones técnicas o asesoras".
3.- Que, el decreto supremo N° 83, de 2004, del Ministerio Secretaría General de la Presidencia, que Aprueba Norma Técnica para los Órganos de la Administración del Estado sobre Seguridad y Confidencialidad de los Documentos Electrónicos, establece en su artículo N° 37, que el nivel avanzado de seguridad para el documento electrónico del citado decreto, exige el cumplimiento de las exigencias y condiciones reguladas en el Título IV para el nivel básico de seguridad, y las previstas en la Norma NCh2777, especificando en la letra b), sobre Seguridad Organizacional, se aplicará la sección 4.1 del capítulo 4 de la Norma NCh2777, con excepción de sus puntos 4.1.5 y 4.1.7 que se adoptarán como recomendaciones, y las secciones 4.2 y 4.3 de dicho capítulo.
4.- Que, asimismo, la Norma NCh2777, en el Punto 4, Seguridad Organizacional - 4.1. Infraestructura de la Seguridad de la Información, señala que "se debería constituir un comité adecuado con líderes de la dirección para aprobar la política de seguridad de la información, asignar roles de seguridad y coordinar la implementación de la seguridad en toda la organización".
5.- Que, en el marco del Programa de Mejoramiento de la Gestión (PMG) de Seguridad de la Información, el año 2011 se tramitó por decreto N° 189, de 2011, del Ministerio de Justicia, la creación del Comité de Seguridad de la Información.
6.- Que, por su parte, la Red de Expertos en materia de seguridad de la información, conformada por la Dirección de Presupuestos (Dipres) y por la Secretaría y Administración General del Ministerio del Interior, en el contexto del Programa de Mejoramiento de la Gestión (PMG), en su instrumento 2015, ha definido la designación de un Comité de Seguridad de la Información, designándole funciones específicas, en referencia a la vigente Norma Chilena NCh-ISO 27001:2013, de Tecnología de la Información - Técnicas de Seguridad - Sistemas de Gestión de la Seguridad de la Información.
7.- Que, en tal contexto, se estima conveniente la creación de un Comité de Seguridad de la Información, que en función del marco legal y tecnológico vigente, establezca una política de seguridad de la información, con el objeto de mejorar los servicios e información ofrecidos a los ciudadanos, así como la eficiencia y la eficacia de la gestión de esta Cartera de Estado, contribuyendo sustantivamente a la transparencia de la información.
8.- Que, en virtud de los actuales lineamientos establecidos en el Programa de Mejoramiento de la Gestión (PMG) del Sistema de Monitoreo del Desempeño Institucional, por la Red de Expertos antes señalada, resulta necesario dejar sin efecto el decreto citado en el numeral cinco.
Decreto:
Artículo 1°.- Créase en el Ministerio de Justicia el Comité de Seguridad de la Información, que tendrá la labor de asesorar en la implementación de procedimientos y estándares que se desprenden de las políticas de seguridad de la información, proponer estrategias y soluciones específicas para la implementación de los controles necesarios para materializar las políticas de seguridad establecidas y proponer las soluciones ante las situaciones de riesgo detectadas.
Artículo 2°.- El Comité de Seguridad de la Información, en adelante CSI, el que estará conformado por los siguientes integrantes:
a) Encargado/a de Seguridad de la Información, quien será su Presidente/a.
b) Encargado/a Unidad de Informática o quien éste/a designe.
c) Encargado/a Unidad de Recursos Humanos o quien éste/a designe.
d) Encargado/a Unidad de Control de Gestión o quien éste/a designe.
e) Encargado/a Unidad de Fiscalía o quien éste/a designe.
Artículo 3°.- El CSI sesionará periódicamente, debiendo realizar, a lo menos, dos reuniones al año.
El CSI designará, entre sus miembros, un secretario ejecutivo, quien llevará un registro de actas de las reuniones periódicas del Comité, con su respectivo control de asistencia. El (La) Encargado(a) de Seguridad de la Información, velará por la mantención actualizada de estos registros.
En los casos en que el secretario ejecutivo designado no asistiere a una reunión del Comité, se nombrará un reemplazante, quien efectuará el registro del acta correspondiente con su respectivo control de asistencia de la reunión, y posteriormente, entregará estos antecedentes al secretario titular o en su defecto al (a la) Encargado(a) de Seguridad de la Información.
Artículo 4°.- Por cada titular de alguno de los integrantes que se señalan en el artículo 1°, se designará un suplente, que lo reemplazará en sus funciones con derecho a voz y voto para aquellos casos en que el titular se encuentre impedido de participar en alguna reunión del Comité de Seguridad de la Información. Los suplentes podrán asistir a las reuniones, conjuntamente con su respectivo titular, pero en este caso, sólo tendrán derecho a voz. Esta designación deberá estar previamente informada al (a la) Encargado(a) de Seguridad de la Información.
Artículo 5°.- El quórum mínimo de funcionamiento del CSI será de cuatro de sus integrantes, pero siempre deberán concurrir las personas señaladas en las letras a) y b) del artículo 2°. Sus acuerdos se adoptarán por mayoría de votos, en caso de empate dirimirá el Encargado de Seguridad de la Información o su suplente.
Artículo 6°.- Los (Las) funcionarios(as) del Ministerio de Justicia serán responsables en las tareas propias de su cargo, de aplicar las políticas y normas sobre seguridad de la información que se adopten.
Artículo 7°.- El CSI, cuando lo estime necesario, podrá invitar a terceros a sus sesiones, con derecho a voz.
Artículo 8°.- El CSI deberá proponer al (a la) Subsecretario(a) de Justicia, la Política de Seguridad de la Información del Servicio; no obstante, en el Sistema de Gestión de Seguridad de la Información, en adelante SGSI, deberán participar otros funcionarios del Servicio, con responsabilidades específicas.
Los roles y funciones del (de la) Subsecretario(a) de Justicia, del CSI y del Presidente del Comité de Seguridad de la Información, relacionadas con este tema, se definen en el siguiente cuadro:

Responsabilidad en la Administración de Seguridad	Roles Claves	Funciones y Atribuciones
Subsecretario/a de Justicia	Lidera la implantación y mejora continua del SGSI	• Aprobar políticas y validar los procesos de gestión interna en materias de seguridad de la información, con el objeto de establecer, incrementar, adaptar y/o mejorar su funcionamiento. • Aprobar las estrategias y mecanismos de control interno para el tratamiento de riesgos que afecten a los activos de información institucionales que se generen como resultado de los reportes o propuestas del CSI, así como los recursos necesarios para su ejecución.
Comité de Seguridad de la Información CSI	Proponer la Política de Seguridad de la Información	• Proponer al (a la) Subsecretario(a) la política de seguridad de la información, estrategias y soluciones específicas para la implantación de la misma, así como también de los controles necesarios definidos para la debida solución de las situaciones de riesgo se detecten. • Asesorar en la implementación de procedimientos y estándares que se desprenden de las políticas de seguridad de la información. • Reportar al (a la) Subsecretario(a) de Justicia, respecto de oportunidades de mejora en el SGSI, así como, de los incidentes relevantes y su propuesta de solución. • Otras funciones asesoras que la Autoridad encomiende en materia de Seguridad de la Información.
Presidente del Comité Seguridad de la Información	Coordinación de actividades del CSI	• Coordinar actividades para el CSI, así como la debida respuesta y priorización del CSI en asesoría referidas al tratamiento de incidentes y riesgos vinculados a los activos de información de los procesos institucionales. • Solicitar información a otras Unidades del Servicio en relación con los objetivos de seguridad de la información. • Servir de instancia para la difusión de las políticas de seguridad de la información.

Artículo 9°.- En todo lo demás, el Comité de Seguridad de la Información acordará por simple mayoría de sus integrantes, su forma de funcionamiento.
Artículo 10°.- Déjase sin efecto el decreto N° 189, de 2011, del Ministerio de Justicia, que Creó el Comité de Seguridad de la Información.
Anótese, tómese razón, publíquese y archívese.- Por orden de la Presidenta de la República, Javiera Blanco Suárez, Ministra de Justicia.
Lo que transcribo para su conocimiento.- Le saluda atentamente, Ignacio Suárez Eytel, Subsecretario de Justicia.

VolverTamaño de Fuente