'UERDO No. 166 CRISTIAN CASTILLO PENAHERRERA, SECRETARIO NACIONAL DE LA ADMINISTRACION PUBLICA CONSIDERANDO: Que, la Constitucién de la Repiiblica determina en el articulo 227 que la Administracién Piblica constituye un servicio a la colectividad que se rige por princi calidad, jerarquia, desconcentracién, descentraliz: planificacién, transparencia y evalua ios de eficacia, in, coordinacién, participacién, ne Que, el articulo 13 del Estatuto del Régimen Juridico Administrative de la Funcién Ejecutiva establece que la Secretaria Nacional de la Administracién Pablica es una entidad de derecho pablico, con personalidad juridica y patrimonio propio, dotada de autonomia presupuestaria, financiera, econémica y administrativa, encargada de establecer las politicas, metodologias de gestién e innovacién institucional y herramientas necesarias para el mejoramiento de la eficiencia, calidad y transparencia de la gestién en las entidades y organismos de la Funcién Ejecutiva, con quienes coordinaré las acciones que sean necesarias para la correcta ejecucién de dichos fines; asi como también de realizar el control, seguimiento y evaluacién de ta gestién de los planes, programas, proyectos y procesos de las entidades y organismos de la Funcién Ejecutiva que se encuentran en ejecucién; y, el control, seguimiento y evaluacién de la calidad en la gestién de los mismos. Que, mediante Acuerdos Ministeriales Nos. 804 y 837 de 29 de julio y 19 de agosto de 2011, respectivamente, la Secretaria Nacional de Ia Administracién Publica cred la Comisién para la Seguridad Informatica y de las Tecnologias de la Informacién y Comunicacién conformada por delegados del Ministerio de Telecomunicaciones y de la Sociedad de la Informacién, la Secretaria Nacional de Inteligencia y la Secretaria Nacional de la Administracién Publica y dentro de sus atribuciones tiene la de establecer lineamientos de seguridad . proteccién de infraestructura computacional y todo lo relacionado con ésta, incluyendo la informacién contenida para las entidades de la Administracién Pablica Central e Institucional. formati Que, es importante adoptar politicas, estrategias, normas, procesos, procedimientos, tecnologias y medios necesarios para mantener la seguridad en la informacién que se genera y custodia en diferentes medios y formatos de las entidades de la Administracion Piblica Central, Institucional y que dependen de la Funcién Ejecutiva. Que, la Administracién Piblica de forma integral y coordinada debe propender a imizar 0 anular riesgos en la informacién asi como proteger la infraestructura gubernamental, més atin si es estratégica, de los denominados ataques informaticos 0 cibemnéticos. Pagina 1 de‘): Informacion y Comunicacién son herramientas imprescindibles para el cumplimiento de la gestion institucional e inter-institucional de la Administracién Pablica en tal virtud, deben cumplir con estindares de seguridad que garanticen la confidencialidad, integridad y disponibilidad de la informacién; Que, la Comisién para la Seguridad Informatica y de las Tecnologias de la Informacién y Comunicacién en referencia ha desarrollado el Esquema Gubernamental de Seguridad de la Informacién (EGSI), claborado en base a la norma NTE INEN-ISO/IEC 27002 ‘Cédigo de Practica para la Gestién de la Seguridad de la Informacién”. Que, el articulo 15, letra i) del Estatuto del Régimen Juridico y Administrativo de la Funcién Ejecutiva establece como atribucién del Secretario Nacional de la Administracién Publica, impulsar proyectos de estandarizacién en procesos, calidad y tecnologias de la informacién y comunicacién; En uso de las facultades y atribuciones que le confiere el articulo 15, letra n) del Estatuto del Régimen Juridico y Administrativo de la Funcién Ejecutiva, ACUERDA: Articulo 1.- Disponer a las entidades de la Administracién Publica Central, Institucional y que dependen de la Funcién Ejecutiva el uso obligatorio de las Normas Técnicas Ecuatorianas NTE INEN-ISO/IEC 27000 para la Gestién de Seguridad de la Inform: mn, Articulo 2. - Las entidades de la Administracién Piblica implementaran en un plazo de dieciocho (18) meses el Esquema Gubernamental de Seguridad de la Informacién (EGSI), que se adjunta a este acuerdo como Anexo 1, a excepcidn de las disposi normas marcadas como prioritarias en dicho esquema, las cuales se implementarin en (6) meses desde la emisién del presente Acuerdo. La implementacién del EGSI se realizar en cada institucién de acuerdo al ambito de acci6n, estructura orgdnica, recursos y nivel de madurez en gestion de Seguridad de la Inform: Articulo 3.- Las entidades designardn, al interior de su institucién, un Comité de Seguridad de la Informacién liderado con un Oficial de Seguridad de la Informacién, conforme lo establece el EGSI y cuya designacién deberd ser comunicada a la Secretaria Nacional de la Administracién Publica, en el transcurso de treinta (30) dias posteriores a la emisién del_presente Acuerdo. Articulo 4. La Secretaria Nacional de la Administracién Piiblica coordinara y dard seguimiento a la implementacién del EGSI en las entidades de la Administracién Pablica Central, Institucional y que dependen de la Funcién Ejecutiva. El seguimiento y control a la implementacién de la EGSI se realizar mediante el Sistema de Gestién por Pagina 2 de 4.9}lentas que para el efecto implemente la Secretaria Nacional de la Administracion Publi Articulo 5.- La Secretaria Nacional de la Administracién Publica realizara de forma ordinaria una revisién anual del EGSI en conformidad a las modificaciones de la norma INEN ISO/IEC 27002 que se generen y de forma extraordinaria 0 periédica cuando las circunstancias asi lo ameriten, ademas definira los procedimientos 0 metodologias para su actualizacién, implementacién, seguimiento y control. Articulo 6.- Es responsabilidad de la maxima autoridad de cada entidad mantener la documentacién de la implementacién del EGSI debidamente organizada y registrada de acuerdo al procedimiento especifico que para estos efectos establezea la Secretaria Nacional de la Administracién Publica, Articulo 7.- Las entidades realizarin una evaluacién de riesgos y disefiarin e implementaran el plan de manejo de riesgos de su institucion, en base a la norma INEN ISOAEC 27005 “Gestién del Riesgo en la Seguridad de la Informacién™ DISPOSIC! NES GENERALES. Primera.- El EGSI podra ser revisado periédicamente de acuerdo a las sugerencias u observaciones realizadas por las entidades de la Administracién Pablica Central, Institucional o que dependen de la Funcién Ejecutiva, las cuales deberin ser presentadas por escrito a la Secretaria Nacional de la Administracién Piblica. Segunda.- Cualquier propuesta de inclusién de controles o directrices adicionales a los ya establecidos en el EGSI que se generen en la implementacién del mismo, deberin ser comunicados a la Secretaria Nacional de la Administracién Publica, previo a su aplicacién; de igual manera, en caso de existir alguna excepcién institucional respecto a la implementacin del EGSI, ésta debera ser justificada técnicamente y comunicada a la Secretaria Nacional de la Administracién Publica, para su andlisis y autorizacién. Tercera Los Oficiales de Seguridad de la Informacién de los Comités de Gestién de Seguridad de la Informacién designados por las instituciones, actuarin como contrapartes de la Sceretaria Nacional de la Administracién Publica en la implementacién del EGSI y en la gestion de incidentes de seguridad de la informacion. Cuarta.- Cualquier comunicacién respecto a las disposiciones realizadas en el presente Acuerdo deberd ser informada directamente a la Subsecretaria de Gobierno Electrénico de la Secretaria Nacional de la Administracién Pabli DISPOSICIONES TRANSITORIAS Primera. Para efectivizar el control y seguimiento del EGSI institucional, la Secretaria Nacional de la Administracién Publica en un plazo de quince (15) dias crearé un Pagina 3 de4 |ie se homogenice los hitos que deben de cumplir las ciones para implementar el EGSI. Segunda.- La Secretaria Nacional de la Administracién Publica emitira en el plazo de sesenta (60) dias desde la emisién del presente Acuerdo los lineamientos especificos de registro y documentacién de la implementacién institucional del ESGI. Tercera. La Secretaria Nacional de la Administracién Publica, ademés, en un plazo de noventa (90) dias desde la emisién del presente Acuerdo, definira las metodologias o procedimientos para actualizacién, implementacién, seguimiento y control del EGSI. DISPOSICION DEROGATORIA Derdguese los Acuerdo Ministeriales No. 804 de 29 de julio de 2011 y No. 837 de 19 de agosto de 2011. DISPOSICION FINAL.- Este Acuerdo entrar en vigencia a partir de su publicacién en el Registro Oficial. Dado en el Palacio Nacional, a los 19 dias del mes de septiembre de 2013. Zp AN CASTILLO PENAHERRERA . TONAL DE LA ADMINISTRACION PUBLICA, h CRIS SECRETARIO Pagina 4de4Anexo I del Acuerdo No. 166 del 19 de septiembre de 2013 SECRETARIA NACIONAL DE LA ADMINISTRACION PUBLICA ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACION (EGSI) Versién 1.0 Septiembre de 20134 COU se ipacion yore LO INTRODUCCION Los avances de las Tecnologias de la Informacion y Comunicacién (TIC) han ocasionado gue los gobiemos otorguen mayor atencién a la proteccién de sus activos de informacién ‘con el fin de generar confianza en la ciudadania, en sus propias instituciones y minimizar riesgos derivados de vulnerabilidades informaticas. La Secretaria Nacional de Administracién Publica, considerando que las TIC son herramientas imprescindibles para el desempefio de institucional ¢ inter-institucional, y como respuesta a la necesidad gestionar de forma eficiente y eficaz la seguridad de la informacién en las entidades paiblicas, emitié los Acuerdos Ministeriales No. 804 y No. 837, de 29 de julio y 19 de agosto de 2011 respectivamente, mediante los cuales creé la Comisién para la Seguridad Informatica y de las Tecnologias de la Informacién y Comunicacién. La comisién realizé un anélisis de la situacién respecto de la gestién de la Seguridad de la Informacién en las Instituciones de la Administracién Piblica Central, Dependiente Institucional, llegando a determinar la necesidad de aplicar normas y procedimientos para seguridad de la informacién, e incorporar a la cultura y procesos institucionales la gestién permanente de la misma, El presente documento, denominado Esquema Gubernamental de Seguridad de la Informacién (EGSI), esta basado en la norma técnica ecuatoriana INEN ISO/IEC 27002 para Gestién de la Seguridad de la Informacién y esté dirigido a las Instituciones de la Administracién Pablica Central, Dependiente e Institucional. ELEGSI establece un conjunto de directrices prioritarias para Gestién de la Seguridad de la Informacién e inicia un proceso de mejora continua en las instituciones de la Administracién Piblica. El EGSI no reemplaza a la norma INEN ISO/IEC 27002 sino que ‘marca como prioridad la implementacién de algunas directrices. La implementacién del EGSI incrementaré la seguridad de la informacién en las entidades piiblicas asi como en la confianza de los ciudadanos en la Administracién Publica, SNAP Septiombe 14 COU se i| 4 COU se i