Política de Seguridad de la Información PDF Imprimir E-mail
Martes, 01 de Agosto de 2017 12:07

1.    Introducción

2.    Declaración de Intención de la Dirección

3.    Principios de Seguridad de la Información

4.    Objetivos de la Gestión de Seguridad de la Información

4.1    Objetivos General

4.2    Objetivos Específicos

5.    Alcance de la Política de Seguridad de la Información

5.1    Alcance General

5.2    Definición de los Activos de Información

5.3    Definición de la Seguridad de la Información

6.    Marco General de las Políticas de Seguridad Institucionales

6.1    Aspectos Generales

6.2    Aprobación de la Política

6.3    Difusión de la Política

6.4    Revisión de la Política

6.5    Evaluación del Cumplimiento de la Política

7.    Marco de Control de la Seguridad de la Información

7.1    Estructura del Sistema de la Seguridad de la Información

7.2    Aspectos Generales a Controlar

8.    Responsabilidades en Materia de Seguridad de la Información

8.1    Director Nacional

8.2    Directivos

8.3    Comité de Seguridad de la Información

8.4    Encargado de Seguridad de la Información Institucional

8.5    Encargado Técnico de Seguridad de la Información Institucional

8.6    Responsable Área Informática

8.7    Propietarios de los Activos de la Información Institucional

8.8    Responsable del Área de Recursos Humanos

8.9    Responsable del Área Legal

8.10    Unidad de Auditoría Interna

8.11    Usuarios de la Información y de los Sistemas de Procesamiento de la Información

9.    Referencia Documental

1. Introducción

El Servicio Nacional de Pesca y Acuicultura es una entidad pública dependiente del Ministerio de Economía, Fomento y Turismo, cuya misión es "Contribuir a la sustentabilidad del sector y a la protección de los recursos hidrobiológicos y su medio ambiente, a través de una fiscalización integral y gestión sanitaria que influye en el comportamiento sectorial promoviendo el cumplimiento de las normas".

Objetivos estratégicos:


  • Contar con un enfoque de fiscalización integral eficaz para generar una disuasión efectiva de las conductas transgresoras.
  • Participar de la agenda normativa sectorial para contribuir activamente a un buen diseño y evaluación de las normas de manera que incorporen elementos claves para su cumplimiento.
  • Facilitar el cumplimiento de la norma a los usuarios sectoriales proveyendo servicios de calidad, de manera accesible, oportuna y con estándares definidos, para disminuir las conductas transgresoras.
  • Fortalecer la seguridad y transparencia del rol fiscalizador, para incrementar la capacidad institucional para realizar controles destinados a optimizar los procedimientos de fiscalización, asegurando la protección de los funcionarios y la Institución en estas tareas.
  • Potenciar el proceso modernizador en Sernapesca a fin de lograr la excelencia institucional para el cumplimiento de su misión, a través del desarrollo tecnológico y de las personas.

De acuerdo a lo anterior, la información que genera y gestiona la Institución constituye un activo estratégico clave para asegurar la continuidad del negocio. En este contexto, la Política General de Seguridad de la Información está orientada a proteger: la información en la totalidad de su ciclo de vida (creación, difusión, modificación, almacenamiento, preservación y eliminación), los medios que permiten dicho ciclo y las personas que acceden a la información y/o manipulan. Lo anterior, con el fin de garantizar su integridad, disponibilidad y confidencialidad.

2. Declaración de Intención de la Dirección

El Servicio Nacional de Pesca y Acuicultura protegerá los recursos de información y la tecnología usada para su procesamiento de las amenazas internas o externas, deliberadas o accidentales; con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. Además de poder garantizar la continuidad de los sistemas de información, minimizar riesgos de daño y asegurar el eficiente cumplimiento de sus objetivos estratégicos.

3. Principios de Seguridad de la Información


  • Promover una cultura organizacional orientada a la seguridad de la información.
  • Comprometer a las máximas autoridades de la Institución en la difusión, consolidación y cumplimiento de la política.
  • Implementar las medidas de seguridad comprometidas identificando los recursos y las partidas presupuestarias disponibles.
  • Mantener las políticas, normativas y procedimientos actualizados, con el fin de asegurar su vigencia y nivel de eficacia.
  • Promover prácticas que aseguren la continuidad de las funciones de la Institución de acuerdo a los dominios de seguridad establecidos.

4. Objetivos de la Gestión de Seguridad de la Información

4.1 Objetivos General


  • Lograr niveles adecuados de integridad, confidencialidad y disponibilidad para toda la información institucional relevante, con el objeto de asegurar continuidad operacional de los procesos y servicios que desarrolla el Servicio Nacional de Pesca y Acuicultura, mediante el resguardo de los activos de información asociados a los procesos críticos del negocio y su soporte.

4.2 Objetivos Específicos


  • Identificar, clasificar o asignar los dueños de los activos de información de la Institución, en orden lograr niveles adecuados de integridad, confidencialidad y disponibilidad de éstos.
  • Controlar, prevenir y/o mitigar los riesgos de seguridad de la información, identificando las vulnerabilidades y amenazas que enfrentan los activos, en orden a asegurar la continuidad del negocio.
  • Establecer políticas, normativas y procedimientos que permitan resguardar y proteger los activos de información de la Institución.
  • Definir un Plan de Difusión, Sensibilización y Capacitación que permita difundir los alcances y buenas prácticas asociadas a la seguridad de la información institucional.

5. Alcance de la Política de Seguridad de la Información

5.1 Alcance General

SERNAPESCA tiene como tarea principal fiscalizar el cumplimiento de las disposiciones de la Ley General de Pesca y Acuicultura, con especial foco en desincentivar la pesca ilegal, lo que está definido, además, como objetivo estratégico institucional en el Formulario A-1 "Contar con un enfoque de fiscalización integral eficaz para generar una disuasión efectiva de las conductas transgresoras".

Conforme lo anterior, esta política centra su alcance en dos procesos que impactan directamente en el cumplimiento de este objetivo estratégico y que además forman parte de los procesos que la institución gestiona:


  • "Monitorear naves y embarcaciones pesqueras (VMS)" proceso a través del cual se controlan las operaciones de las flotas pesqueras industrial y artesanal (de mayor escala operativa) mediante monitoreo satelital, el que se efectúa a través de un sistema satelital de posicionamiento automático de naves pesqueras. Los datos obtenidos permiten focalizar de mejor forma las actividades de fiscalización en pos de desincentivar la pesca ilegal.

El alcance específico corresponde a la Dirección Nacional, Subdirección de Pesquerías, porque es allí donde está ubicado físicamente el centro de monitoreo satelital y dónde se efectúa la compilación y análisis de la información con la que posteriormente se retroalimenta a las Direcciones Regionales para que efectúen sus labores de fiscalización.


  • "Controlar Cuotas Industriales Individuales" proceso a través del cual se fiscaliza el cumplimiento de los límites máximos de captura establecidos a través de cuotas de captura asignadas a los armadores industrial (Licencias Transables de Pesca o LTP) y el Permiso Extraordinario de Pesca o PEP, de acuerdo a la normativa vigente.

Las cuotas de pesca corresponden a cantidades máximas de pesca asignadas a armadores inscritos en el Registro Pesquero Industrial. En base a esta información las Direcciones Regionales efectúan acciones de fiscalización con el fin de controlar que se cumplan con estas normas. El alcance de este proceso se sitúa en la Subdirección de Pesquerías de la Dirección Nacional porque es ahí donde se consolida la información y se analiza, para posteriormente retroalimentar con ella a las Direcciones Regionales a fin que se concreten las acciones de control que correspondan.

Cabe destacar que la información que se genera en ambos procesos es muy relevante para el logro del objetivo estratégico al que están asociados y la misión institucional, por lo que el garantizar la integridad, disponibilidad y confidencialidad de los activos de mayor criticidad de cada uno de ellos es vital para la institución pues esto permite asegurar la continuidad del negocio.

5.2 Definición de los Activos de Información

Son todos aquellos elementos relevantes en la producción, emisión, almacenamiento, comunicación, visualización y recuperación de información de valor para la institución, en la que se distinguen tres niveles:


  1. La Información propiamente tal, en sus múltiples formatos (papel, digital, texto, imagen, audio, video, etc.).
  2. Los Equipos/Sistemas/infraestructura que soportan esta información.
  3. Las Personas que utilizan la información, y que tienen el conocimiento de los procesos institucionales.

5.3 Definición de la Seguridad de la Información

El Servicio Nacional de Pesca y Acuicultura entiende que la Seguridad de la Información es la protección de los activos de información contra una amplia gama de amenazas para asegurar la continuidad de las operaciones, minimizar el daño de la Institución y maximizar la eficiencia y las oportunidades de mejora de la gestión de la organización.

6. Marco General de las Políticas de Seguridad Institucionales

6.1 Aspectos Generales


  • La Política General de Seguridad de la Información ha sido elaborada en concordancia con la legislación vigente en el País, considerando además su compatibilidad con las prácticas sugeridas en la NCh 27001 Of.2013.
  • La Dirección se compromete a realizar las acciones que estén a su alcance para permitir la continuidad operativa de manera de hacer frente a las interrupciones de las actividades institucionales y proteger los procesos críticos de los efectos de fallas importantes o desastres en los sistemas de información y asegurar su reanudación oportuna.

6.2 Aprobación de la Política


  • Las políticas de seguridad de la información será aprobada por el (la) Director(a) Nacional de Pesca y Acuicultura, reflejando claramente su compromiso, apoyo e interés en el desarrollo de una cultura de seguridad de la información en la institución.

6.3 Difusión de la Política


  • Será responsabilidad del Director Nacional difundir los temas relevantes en materia de seguridad.
  • La política de seguridad de la información será comunicada a todo el personal del Servicio Nacional de Pesca y Acuicultura, a terceros que presten servicios en la institución y a las entidades externas relevantes.
  • Para la difusión de los contenidos de la política de seguridad de la información al interior de la institución se deberán utilizar los medios de difusión que disponga SERNAPESCA (intranet, boletín, etc.), así como también instancias de capacitación llevadas a cabo para este efecto.
  • Los principales medios utilizados serán:
    • Intranet institucional
    • Circulares informativas
    • Inducción a personal (planta, contrata y honorarios) que ingresen al servicio
    • Comunicaciones a través de charlas y reuniones
    • Correo electrónico
  • Para lo anterior se deberá definir, implementar y evaluar las acciones e iniciativas contenidas en un Plan de Difusión, Sensibilización y Capacitación en materia de seguridad de la información.

6.4 Revisión de la Política


  • La Política General de Seguridad de la Información será revisada cada tres años o en las siguientes circunstancias: a requerimiento del Director Nacional, frente a cambios en el ambiente de la institución, debido a las circunstancias del servicio, a las condiciones legales y al ambiente técnico.
  • La modificación del presente documento está a cargo del Encargado de Seguridad de la Información y será aprobado por el Director Nacional.

6.5 Evaluación del Cumplimiento de la Política


  • Todos los Subdirectores de áreas, Directores Regionales, Jefes de Departamento y Unidades son responsables de la implementación de estas políticas de seguridad de la información, dentro de sus áreas de responsabilidad, así como el cumplimiento de las Políticas, normativas y procedimientos por parte de su equipo de trabajo.
  • La institución realizara auditorías internas anuales al sistema de seguridad de la información para verificar el cumplimiento de las políticas, normas y procedimientos de seguridad de la información.
  • El incumplimiento de la Política General de Seguridad de la Información tendrá como resultado la aplicación de diversas sanciones, conforme a la magnitud y características del aspecto no cumplido.

7. Marco de Control de la Seguridad de la Información

Los controles de la seguridad de la información institucional se establecen en base a la NCh 27001, Of. 2013, a través de lo especificado en cada uno de los dominios de seguridad.

El marco para fijar los controles estará dado por el diagnóstico del estado de la seguridad de la información institucional y la planificación de las acciones para cubrir las brechas detectadas.

Además de la mantención, evaluación y mejoramiento de los controles posterior a la etapa de implementación efectuada.

7.1 Estructura del Sistema de la Seguridad de la Información

El Sistema de Gestión de la Seguridad deberá ser concebido con una estructura compuesta de cuatro etapas que son de carácter progresivo y acumulativo. A saber estas son: Diagnóstico, Planificación, Implementación y Evaluación. Estas cuatro etapas reflejan el ciclo de mejora continua (PDCA: Plan — Do — Check - Act) que deberá llevar a cabo la gestión de la seguridad de la información.

7.2 Aspectos Generales a Controlar


  • Organización de la Seguridad de la Información
    Establecer un marco referencial a nivel directivo para iniciar y controlar la implementación de la seguridad de la información dentro de la institución.
  • Gestión de Activos
    Implementar y mantener una adecuada protección de los activos de información institucionales.
  • Seguridad de los Recursos Humanos
    Asegurar que los funcionarios, personal a honorarios y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados; así como reducir el riesgo de robo, fraude y mal uso de los medios.
  • Seguridad Física y del Ambiente
    Prevenir el acceso no autorizado, daño e interferencia a las instalaciones de la institución y a la información.
  • Gestión de las Comunicaciones y las Operaciones
    Crear procedimientos y responsabilidades operacionales de manera de asegurar la operación. Correcta y segura de los medios de procesamiento de la información.
  • Control de Acceso
    Asegurar que el acceso al usuario es debidamente autorizado y evitar el acceso no autorizado a los sistemas de información.
  • Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información
    Garantizar la incorporación de medidas de seguridad en los sistemas de información desde su Desarrollo y/o implementación y durante su mantenimiento.
  • Gestión de Incidentes
    Asegurar que las debilidades y eventos de seguridad de la información asociados a sistemas de Información son comunicados de manera de permitir tomar acciones correctivas a tiempo.
  • Gestión de la Continuidad del Negocio
    Considerar los aspectos de la seguridad de la información de la gestión de la continuidad operativa de manera de hacer frente a las interrupciones de las actividades institucionales y proteger los procesos críticos de los efectos de fallas importantes o desastres en los sistemas de información y asegurar su reanudación oportuna.
  • Cumplimiento
    1. Evitar los incumplimientos de cualquier ley, estatuto, regulación u obligación contractual legal y de cualquier requisito de seguridad legal a los cuales puede estar sujeto el diseño, operación, uso y gestión de los sistemas de información.
    2. Se debe ejecutar en forma periódica un Plan de Sensibilización sobre seguridad de la Información de forma que todo el personal (Plantas, Contratas y honorarios) y los contratistas reciban capacitación y sea sensibilizado sobre las políticas y procedimientos organizacionales sobre seguridad de la información que sea relevante para la ejecución de su trabajo.

8. Responsabilidades en Materia de Seguridad de la Información

La política de seguridad de la información es de aplicación obligatoria para todo el personal de la institución, cualquiera sea su calidad jurídica, el área a la cual pertenezca y cualquiera sea el nivel de las tareas que desempeñe.

8.1 Director Nacional

El Director Nacional tendrá las siguientes funciones y responsabilidades:


  • Aprobar las políticas de seguridad de la información.
  • Validar el proceso de gestión de Seguridad de la Información.
  • Sancionar las estrategias y mecanismos de control para el tratamiento de riesgos que afecten a los activos de información institucionales, que se generen como resultado de los reportes o propuestas del Comité de Seguridad de la Información (CSI).
  • Proveer los recursos necesarios para su ejecución.

8.2 Directivos

Los directivos tendrán las siguientes funciones y responsabilidades:


  • Entregar las orientaciones básicas, para tomar las decisiones que influirán en el modo de operar de SERNAPESCA en materia de seguridad de la información.
  • Ejercer un fuerte liderazgo y compromiso en orden a asegurar el mejoramiento de los procesos en relación a la seguridad de la información.

8.3 Comité de Seguridad de la Información

El Comité tendrá las siguientes funciones y responsabilidades:


  • Revisar y proponer al Director Nacional, para su aprobación, la Política de Seguridad de la Información.
  • Supervisar la implementación de procedimientos y estándares que se desprenden de las políticas de seguridad de la información.
  • Proponer estrategias y soluciones específicas para la implantación de los controles necesarios para implementar la política de seguridad establecidas y la debida solución de las situaciones de riesgo detectadas.
  • Arbitrar conflictos en materia de seguridad de la información y los riesgos asociados, y proponer soluciones.
  • Coordinarse con los Comités de Calidad y de Riesgos de la institución, para mantener alineamiento y estrategias comunes de gestión.
  • Reportar a la Alta Dirección, respecto a oportunidades de mejora en materia de Seguridad de la Información, así como los incidentes relevantes y su solución.

8.4 Encargado de Seguridad de la Información Institucional

Es un funcionario nombrado por el Director Nacional como su asesor directo en materia de seguridad de la información. El Encargado de Seguridad de la Información tendrá las siguientes funciones y responsabilidades:


  • Organizar las actividades del Comité de Seguridad de la Información.
  • Tener a su cargo el desarrollo inicial de las políticas de seguridad al interior de la institución y el control de su implementación; y velar por su correcta aplicación.
  • Supervisar el Monitoreo del avance general de la implementación de las estrategias de control y tratamiento de riesgos.
  • Gestionar la coordinación con otras unidades del Servicio para apoyar los objetivos de seguridad.
  • Supervisar el establecimiento de puntos de enlace con los encargados de seguridad de otros Servicios públicos y especialistas externos que le permitan estar al tanto de las tendencias, normas y métodos de la seguridad pertinentes.

8.5 Encargado Técnico de Seguridad de la Información Institucional

Es un funcionario nombrado por el Encargado de Seguridad de la Información Institucional como su asesor directo en materia técnica de seguridad de la información. El Encargado Técnico de Seguridad de la Información tendrá las siguientes funciones y responsabilidades:


  • Gestionar operativamente las soluciones a los incidentes de seguridad de la información que afecten los activos de la información institucionales.
  • Monitorear el avance de cada una de las etapas de la implementación de la Política de Seguridad de la Información, en sus diversos aspectos, reportando periódicamente al Encargado de Seguridad de la Información.
  • Establecer puntos de enlace con los encargados técnicos de seguridad de otros Servicios públicos y especialistas externos que le permitan estar al tanto de las tendencias, normas y métodos de la seguridad pertinentes.

8.6 Responsable Área Informática

Esta función recae en el Jefe del Departamento de Tecnologías de la Información y Comunicaciones quien deberá:


  • Cumplir con los procedimientos relativos a los dominios de control de acceso; adquisición, desarrollo y mantenimiento de los sistemas de información y gestión de las comunicaciones y operaciones.
  • Gestionar los requerimientos de seguridad informática establecidos para la operación, administración y comunicación de los sistemas y recursos de tecnología de la institución.
  • Gestionar las tareas de desarrollo y mantenimiento de sistemas, siguiendo una metodología de ciclo de vida de sistemas apropiada, y que contemple la inclusión de medidas de seguridad en los sistemas en todas las fases.

8.7 Propietarios de los Activos de la Información Institucional

Esta función recae en los Directores Regionales y Jefes de Departamentos y Unidades, o aquellos que la Dirección asigne, quienes deberán:


  • Clasificar los activos de información de acuerdo con el grado de sensibilidad y criticidad de los mismos, documentar y mantener actualizada la clasificación efectuada.
  • Definir qué usuarios deberán tener permisos de acceso a la información de acuerdo a sus funciones y competencia.

8.8 Responsable del Área de Recursos Humanos

Esta función recae en el Jefe del Departamento de Desarrollo de las Personas, quien deberá:


  • Cumplir con los procedimientos relativos al dominio de Seguridad de Recursos Humanos.
  • Notificar a todo el personal que ingresa, sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas que de ella surjan.

  • Ejecutar tareas de capacitación continuas en materia de seguridad de la información.
  • Definir y coordinar un Plan de Capacitación y Sensibilización en temas de seguridad de la información, el cual se estructura en base a requerimientos del encargado de seguridad.

8.9 Responsable del Área Legal

Esta función recae en el o la Subdirector(a) de la Subdirección Jurídica, quien deberá:


  • Cumplir con los procedimientos relativos al dominio de Cumplimiento.
  • Definir, documentar y actualizar todos los requerimientos estatutarios, reguladores y contractuales relevantes en materia de seguridad de la información, y el establecer enfoque de la institución para satisfacer esos requerimientos, para cada sistema de información y la Institución.
  • Velar por la incorporación de las cláusulas en materia de seguridad de la información, en los contratos, acuerdos u otra documentación que la institución firme con funcionarios personal a honorarios o terceras partes.
  • Asesorar en materia legal, asociada a seguridad de la información, a la institución y establecer las pautas legales que permitan cumplir con los requerimientos legales en esta materia.

8.10 Departamento de Auditoría Interna


  • Practicar auditorias periódicas sobre los sistemas y actividades vinculadas con la tecnología de información, debiendo informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecida por esta Política y por las normas, procedimientos y prácticas que de ella surjan.
  • Informar de forma periódica, al encargado de seguridad, el resultado de las auditorías realizadas.
  • Proponer soluciones a las debilidades encontradas en las auditorias e informarlas al Director Nacional y al Comité de Seguridad de la Información.

8.11 Usuarios de la Información y de los Sistemas de Procesamiento de la Información

Esta función recae en todos los funcionarios de la institución sin importar su calidad jurídica y en los usuarios de terceras partes, los que deberán:


  • Ser responsables de conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad de la Información vigente y todas las normas y procedimientos establecidos por la Institución en esta materia.

9. Referencia Documental

La presente Política y documentos asociados a la seguridad de la información han sido elaborados en base a la siguiente documentación:

Leyes


  • Ley N° 17.336, octubre de 1970: Sobre propiedad intelectual. Ministerio de Educación Pública.
  • Ley N° 19.223, junio de 1993: Sobre delitos informáticos. Ministerio de Justicia.
  • Ley N° 19.553, febrero 1998: Concede asignación de modernización y otros beneficios que indica. Ministerio de Hacienda.
  • Ley N° 19.628, agosto de 1999: Sobre protección de la vida privada y datos personales. Ministerio Secretarla General de la Presidencia.
  • Ley N° 19.799, abril de 2002: Sobre documentos electrónicos, firma electrónica y los servicios de certificación de dicha firma. Ministerio de Economía.
  • Ley N° 19.880, mayo de 2003: Establece bases de los procedimientos administrativos que rigen los actos de los órganos de la administración del Estado. Ministerio Secretaría General de la Presidencia.
  • Ley N° 19.927, enero de 2004: Sobre delitos de pornografía infantil. Ministerio de Justicia.
  • Ley N° 20.212, agosto de 2007: Modifica las leyes N° 19.553, N° 19.882, y otros cuerpos legales, con el objeto de incentivar el desempeño de los funcionarios públicos. Ministerio de Hacienda.
  • Ley N° 20.285, agosto de 2oo8: Regula el principio de transparencia de la función pública y el derecho de acceso a la información de los órganos de la administración del Estado. Ministerio Secretaría General de la Presidencia.

Decretos Supremos


  • DS N° 77, 2004, Norma técnica sobre eficiencia de las comunicaciones electrónicas entre órganos de la Administración del Estado y entre éstos y los ciudadanos.
  • DS N° 81, 2004, Norma técnica para los órganos de la Administración del Estado sobre interoperabilidad de documentos electrónicos.
  • DS N° 83, 2004, Norma técnica para los órganos de la Administración del Estado sobre seguridad y confidencialidad de los documentos electrónicos.
  • DS N° 93, 2006, Norma técnica para minimizar la recepción de mensajes electrónicos masivos no deseados en las casillas electrónicas de los órganos de la Administración del Estado y de sus funcionarios.
  • DS N° 100, 2006, Norma técnica para el desarrollo de sitios web de los órganos de la Administración del Estado regulado por la Metodología del Sistema Gobierno Electrónico.
  • DS N° 158, 2007, Modifica D.S. N° 81 sobre norma técnica para la interoperabilidad de los documentos electrónicos.
  • DS N° 181, Reglamento Ley 19.799 sobre documentos electrónicos, firma electrónica y la certificación de dicha firma.
  • Decreto N° 475, Reglamento Ley 19.553 para la aplicación del incremento por Desempeño institucional del artículo 6° de la Ley y sus modificaciones.
  • DS N° 890, 1975, Seguridad del Estado.

Instrucciones y circulares


  • Instructivo Presidencial N° 05, mayo de 2001: Define el concepto de Gobierno Electrónico.
    Contiene la mayor parte de las instrucciones referidas al desarrollo de Gobierno Electrónico enChile.
  • Instructivo Presidencial N° 4, junio de 2003: Imparte instrucciones sobre aplicación de la Ley de Bases de Procedimientos Administrativos.
  • Instructivo Presidencial N° 06, junio de 2004: Imparte instrucciones sobre la implementación de la firma electrónica en los actos, contratos y cualquier tipo de documento en la administración del Estado, para dotar de un mayor grado de seguridad a las actuaciones Gubernamentales que tienen lugar por medio de documentos electrónicos y dar un mayor grado de certeza respecto de las personas que suscriben tales documentos.
  • Instructivo Presidencial N°08, diciembre de 2006: Imparte instrucciones sobre Transparencia. Activa y Publicidad de la Información de la Administración del Estado.
  • Instrucción General N° 2, mayo de 2009, del Consejo para la Transparencia: Designación de enlaces con el Consejo para la Transparencia.
  • Instrucción General N° 3, mayo de 2009, del Consejo para la Transparencia: índice de Actos o Documentos calificados como secretos o reservados.
  • Circular N° 3, enero de 2007: Detalla las medidas específicas que deben adoptar los servicios y dispone los materiales necesarios para facilitar la implementación del instructivo presidencial sobre transparencia activa y publicidad de la información de la Administración del Estado.

Normas Técnicas


  • N° 77, 2004, Norma técnica sobre eficiencia de las comunicaciones del Estado y entre éste y los ciudadanos.
  • NCh-ISO 27001, Of2013 Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Requisitos.

HISTORIA E IDENTIFICACIÓN DE LOS CAMBIOS
 Versión Fecha Modifica Principales Cambios Efectuados
0 (cero)31.03.2011Comité de Seguridad de la InformaciónVersión Inicial
1.128.07.2011Comité de Seguridad de la Información
  • Se precisa la definición de activo de información.
  • Se especifican las actividades de cada proceso asociado a los activos de información.
  • Se acota definición de incidente de seguridad para incluir los conceptos personas y documentos.
1.217.07.2012Comité de Seguridad de la InformaciónEliminación de definición de procesos de soporte, procesos de control y mejor y procesos de bienes y servicios.
  • Se modifica el plazo para revisión de la política de seguridad y se incluye la responsabilidad de cumplimiento evaluación de la política.
  • Se incluyen el marco de control de la seguridad de la información en cuanto a estructura del sistema y aspectos generales a controlar.
  • Se incluyen las responsabilidades de otros agentes participantes del proceso de seguridad de la información.
  • Se incluye una referencia documental.
1.320.10.2014Encargado de SeguridadSe agrega un nuevo punto en la sección de cumplimiento y una nueva tarea en la sección de responsabilidad.
1.402.11.2015Encargado de SeguridadSe Actualiza la Misión y los objetivos estratégicos, acorde a los señalados en el documento A1.

Se actualiza la norma de SII, a la actual, Nch 27001 Of 2013, donde esta es mencionada.

Se incluye una responsabilidad más para la unidad de Auditoría Interna.
1.518.11.2015Encargado de SeguridadSe agrega rol de Encargado Técnico de Seguridad de la Información Institucional.
1.628.09.2016Encargado de SeguridadSe ajustan detalles menores al contenido de la Política y se actualiza los nombres de los responsables en los puntos: 8.8, 8.9 y 8.10.
1.713.06.2017Encargado de SeguridadSe modifica la misión declarada en el punto 1 de la Política y los objetivos estratégicos asociados al A1 declarado en DIPRES.

Se modifica el alcance definido y aprobado por el Comité de Seguridad de la Información en el punto 5.

Ajuste de las funciones y responsabilidades del Encargado Técnico de Seguridad de la Información en el punto 8.4.

Documentos de Interés



 
spamme@sernapesca.cl spamme@sernapesca.cl jose.arcadio.buendia@sernapesca.cl jose.arcadio.buendia@sernapesca.cl