'UERDO No. 166
CRISTIAN CASTILLO PENAHERRERA,
SECRETARIO NACIONAL DE LA ADMINISTRACION PUBLICA
CONSIDERANDO:
Que, la Constitucién de la Repiiblica determina en el articulo 227 que la Administracién
Piblica constituye un servicio a la colectividad que se rige por princi
calidad, jerarquia, desconcentracién, descentraliz:
planificacién, transparencia y evalua
ios de eficacia,
in, coordinacién, participacién,
ne
Que, el articulo 13 del Estatuto del Régimen Juridico Administrative de la Funcién
Ejecutiva establece que la Secretaria Nacional de la Administracién Pablica es una
entidad de derecho pablico, con personalidad juridica y patrimonio propio, dotada de
autonomia presupuestaria, financiera, econémica y administrativa, encargada de
establecer las politicas, metodologias de gestién e innovacién institucional y
herramientas necesarias para el mejoramiento de la eficiencia, calidad y transparencia
de la gestién en las entidades y organismos de la Funcién Ejecutiva, con quienes
coordinaré las acciones que sean necesarias para la correcta ejecucién de dichos fines;
asi como también de realizar el control, seguimiento y evaluacién de ta gestién de los
planes, programas, proyectos y procesos de las entidades y organismos de la Funcién
Ejecutiva que se encuentran en ejecucién; y, el control, seguimiento y evaluacién de la
calidad en la gestién de los mismos.
Que, mediante Acuerdos Ministeriales Nos. 804 y 837 de 29 de julio y 19 de agosto de
2011, respectivamente, la Secretaria Nacional de Ia Administracién Publica cred la
Comisién para la Seguridad Informatica y de las Tecnologias de la Informacién y
Comunicacién conformada por delegados del Ministerio de Telecomunicaciones y de la
Sociedad de la Informacién, la Secretaria Nacional de Inteligencia y la Secretaria
Nacional de la Administracién Publica y dentro de sus atribuciones tiene la de
establecer lineamientos de seguridad . proteccién de infraestructura
computacional y todo lo relacionado con ésta, incluyendo la informacién contenida para
las entidades de la Administracién Pablica Central e Institucional.
formati
Que, es importante adoptar politicas, estrategias, normas, procesos, procedimientos,
tecnologias y medios necesarios para mantener la seguridad en la informacién que se
genera y custodia en diferentes medios y formatos de las entidades de la Administracion
Piblica Central, Institucional y que dependen de la Funcién Ejecutiva.
Que, la Administracién Piblica de forma integral y coordinada debe propender a
imizar 0 anular riesgos en la informacién asi como proteger la infraestructura
gubernamental, més atin si es estratégica, de los denominados ataques informaticos 0
cibemnéticos.
Pagina 1 de‘): Informacion y Comunicacién son herramientas
imprescindibles para el cumplimiento de la gestion institucional e inter-institucional de
la Administracién Pablica en tal virtud, deben cumplir con estindares de seguridad que
garanticen la confidencialidad, integridad y disponibilidad de la informacién;
Que, la Comisién para la Seguridad Informatica y de las Tecnologias de la Informacién
y Comunicacién en referencia ha desarrollado el Esquema Gubernamental de Seguridad
de la Informacién (EGSI), claborado en base a la norma NTE INEN-ISO/IEC 27002
‘Cédigo de Practica para la Gestién de la Seguridad de la Informacién”.
Que, el articulo 15, letra i) del Estatuto del Régimen Juridico y Administrativo de la
Funcién Ejecutiva establece como atribucién del Secretario Nacional de la
Administracién Publica, impulsar proyectos de estandarizacién en procesos, calidad y
tecnologias de la informacién y comunicacién;
En uso de las facultades y atribuciones que le confiere el articulo 15, letra n) del
Estatuto del Régimen Juridico y Administrativo de la Funcién Ejecutiva,
ACUERDA:
Articulo 1.- Disponer a las entidades de la Administracién Publica Central,
Institucional y que dependen de la Funcién Ejecutiva el uso obligatorio de las Normas
Técnicas Ecuatorianas NTE INEN-ISO/IEC 27000 para la Gestién de Seguridad de la
Inform:
mn,
Articulo 2. - Las entidades de la Administracién Piblica implementaran en un plazo de
dieciocho (18) meses el Esquema Gubernamental de Seguridad de la Informacién
(EGSI), que se adjunta a este acuerdo como Anexo 1, a excepcidn de las disposi
normas marcadas como prioritarias en dicho esquema, las cuales se implementarin en
(6) meses desde la emisién del presente Acuerdo.
La implementacién del EGSI se realizar en cada institucién de acuerdo al ambito de
acci6n, estructura orgdnica, recursos y nivel de madurez en gestion de Seguridad de la
Inform:
Articulo 3.- Las entidades designardn, al interior de su institucién, un Comité de
Seguridad de la Informacién liderado con un Oficial de Seguridad de la Informacién,
conforme lo establece el EGSI y cuya designacién deberd ser comunicada a la
Secretaria Nacional de la Administracién Publica, en el transcurso de treinta (30) dias
posteriores a la emisién del_presente Acuerdo.
Articulo 4. La Secretaria Nacional de la Administracién Piiblica coordinara y dard
seguimiento a la implementacién del EGSI en las entidades de la Administracién
Pablica Central, Institucional y que dependen de la Funcién Ejecutiva. El seguimiento y
control a la implementacién de la EGSI se realizar mediante el Sistema de Gestién por
Pagina 2 de 4.9}lentas que para el efecto implemente la Secretaria
Nacional de la Administracion Publi
Articulo 5.- La Secretaria Nacional de la Administracién Publica realizara de forma
ordinaria una revisién anual del EGSI en conformidad a las modificaciones de la norma
INEN ISO/IEC 27002 que se generen y de forma extraordinaria 0 periédica cuando las
circunstancias asi lo ameriten, ademas definira los procedimientos 0 metodologias para
su actualizacién, implementacién, seguimiento y control.
Articulo 6.- Es responsabilidad de la maxima autoridad de cada entidad mantener la
documentacién de la implementacién del EGSI debidamente organizada y registrada de
acuerdo al procedimiento especifico que para estos efectos establezea la Secretaria
Nacional de la Administracién Publica,
Articulo 7.- Las entidades realizarin una evaluacién de riesgos y disefiarin e
implementaran el plan de manejo de riesgos de su institucion, en base a la norma INEN
ISOAEC 27005 “Gestién del Riesgo en la Seguridad de la Informacién™
DISPOSIC!
NES GENERALES.
Primera.- El EGSI podra ser revisado periédicamente de acuerdo a las sugerencias u
observaciones realizadas por las entidades de la Administracién Pablica Central,
Institucional o que dependen de la Funcién Ejecutiva, las cuales deberin ser presentadas
por escrito a la Secretaria Nacional de la Administracién Piblica.
Segunda.- Cualquier propuesta de inclusién de controles o directrices adicionales a los
ya establecidos en el EGSI que se generen en la implementacién del mismo, deberin ser
comunicados a la Secretaria Nacional de la Administracién Publica, previo a su
aplicacién; de igual manera, en caso de existir alguna excepcién institucional respecto a
la implementacin del EGSI, ésta debera ser justificada técnicamente y comunicada a la
Secretaria Nacional de la Administracién Publica, para su andlisis y autorizacién.
Tercera Los Oficiales de Seguridad de la Informacién de los Comités de Gestién de
Seguridad de la Informacién designados por las instituciones, actuarin como
contrapartes de la Sceretaria Nacional de la Administracién Publica en la
implementacién del EGSI y en la gestion de incidentes de seguridad de la informacion.
Cuarta.- Cualquier comunicacién respecto a las disposiciones realizadas en el presente
Acuerdo deberd ser informada directamente a la Subsecretaria de Gobierno Electrénico
de la Secretaria Nacional de la Administracién Pabli
DISPOSICIONES TRANSITORIAS
Primera. Para efectivizar el control y seguimiento del EGSI institucional, la Secretaria
Nacional de la Administracién Publica en un plazo de quince (15) dias crearé un
Pagina 3 de4 |ie se homogenice los hitos que deben de cumplir las
ciones para implementar el EGSI.
Segunda.- La Secretaria Nacional de la Administracién Publica emitira en el plazo de
sesenta (60) dias desde la emisién del presente Acuerdo los lineamientos especificos de
registro y documentacién de la implementacién institucional del ESGI.
Tercera. La Secretaria Nacional de la Administracién Publica, ademés, en un plazo de
noventa (90) dias desde la emisién del presente Acuerdo, definira las metodologias o
procedimientos para actualizacién, implementacién, seguimiento y control del EGSI.
DISPOSICION DEROGATORIA
Derdguese los Acuerdo Ministeriales No. 804 de 29 de julio de 2011 y No. 837 de 19 de
agosto de 2011.
DISPOSICION FINAL.- Este Acuerdo entrar en vigencia a partir de su publicacién
en el Registro Oficial.
Dado en el Palacio Nacional, a los 19 dias del mes de septiembre de 2013.
Zp
AN CASTILLO PENAHERRERA .
TONAL DE LA ADMINISTRACION PUBLICA,
h
CRIS
SECRETARIO
Pagina 4de4Anexo I del Acuerdo No. 166 del 19 de septiembre de 2013
SECRETARIA NACIONAL DE LA ADMINISTRACION PUBLICA
ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE
LA INFORMACION (EGSI)
Versién 1.0
Septiembre de 20134 COU se ipacion yore LO
INTRODUCCION
Los avances de las Tecnologias de la Informacion y Comunicacién (TIC) han ocasionado
gue los gobiemos otorguen mayor atencién a la proteccién de sus activos de informacién
‘con el fin de generar confianza en la ciudadania, en sus propias instituciones y minimizar
riesgos derivados de vulnerabilidades informaticas.
La Secretaria Nacional de Administracién Publica, considerando que las TIC son
herramientas imprescindibles para el desempefio de institucional ¢ inter-institucional, y
como respuesta a la necesidad gestionar de forma eficiente y eficaz la seguridad de la
informacién en las entidades paiblicas, emitié los Acuerdos Ministeriales No. 804 y No.
837, de 29 de julio y 19 de agosto de 2011 respectivamente, mediante los cuales creé la
Comisién para la Seguridad Informatica y de las Tecnologias de la Informacién y
Comunicacién.
La comisién realizé un anélisis de la situacién respecto de la gestién de la Seguridad de la
Informacién en las Instituciones de la Administracién Piblica Central, Dependiente
Institucional, llegando a determinar la necesidad de aplicar normas y procedimientos para
seguridad de la informacién, e incorporar a la cultura y procesos institucionales la gestién
permanente de la misma,
El presente documento, denominado Esquema Gubernamental de Seguridad de la
Informacién (EGSI), esta basado en la norma técnica ecuatoriana INEN ISO/IEC 27002
para Gestién de la Seguridad de la Informacién y esté dirigido a las Instituciones de la
Administracién Pablica Central, Dependiente e Institucional.
ELEGSI establece un conjunto de directrices prioritarias para Gestién de la Seguridad de la
Informacién e inicia un proceso de mejora continua en las instituciones de la
Administracién Piblica. El EGSI no reemplaza a la norma INEN ISO/IEC 27002 sino que
‘marca como prioridad la implementacién de algunas directrices.
La implementacién del EGSI incrementaré la seguridad de la informacién en las entidades
piiblicas asi como en la confianza de los ciudadanos en la Administracién Publica,
SNAP Septiombe 14 COU se i| 4 COU se i