Serpost El Correo del Perd RESOLUCION DE GERENCIA GENERAL N° 167-G/09 Los Olivos, 26 de Noviembre de 2009 CONSIDERANDO: Que, SERVICIOS POSTALES DEL PERU S.A. es una persona juridica de derecho privado organizada bajo la forma comercial de Sociedad Anénima de acuerdo a la Ley de la Actividad Empresarial del Estado y a la Ley General de Sociedades, conforme lo establece el Decreto Legislativo N° 685; Que mediante la Resolucién Ministerial N° 246-2007-PCM, del 25 de Agosto 2007 se aprobé el uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17999:2007 EDI. Tecnologia de la Informacién. Cédigo de buenas practicas para la gestion de la seguridad de la informacién. 2* Edicion”; Que de conformidad con el numeral 6.1.1, se debe designar a los responsables del desarrollo e implantacién de la Seguridad de la Informacién y para dar soporte para la identificacién de las medidas de control de la Empresa; En uso de las atribuciones conferidas al Gerente General ‘SE RESUELVE: Designar desde el 26 de Noviembre de 2009 a: 1. Sr, Juan José Lozada Conde, Gerente de Administracién de Recursos, quien lo presidira 2. Sr. Francisco Ceccarelll Flores, Gerente Comercial, secretario. 3. Sra, Betsi Cabrera Vela, Gerente de Desarrollo Corporativo (e), miembro de comité 4. St, Manuel Talavera Valdivia, Gerente Postal (e), miembro de comité. Como responsables del desarrollo e implantacién de la seguridad de la informacion y para dar soporte a la identificacién de las medidas de control en la Empresa. Registresef comuniquese.ne w x SEGURIDAD DE LA INFORMACION POLITICAS DE SEGURIDAD DE LA INFORMACION |. Definicién La Politic d Informacién esté formada por el conjunto de pringigigs 6 tr ‘Servicios Postales de! Peru S.A. debe seguir pare dad de sus sistemas informaticos. Por sf mista i Gonstityye una garantia para la seguridad de Servicios Postales del Pe .A., lo Bera si responde a sus intereses y necesidades. de la Informacién, como documento dinémico de Pari S.A., debe seguir un proceso de actualizacion bios organizacionales relevantes, tales como Yecnolégica, alta rotacién del personal, Cios, entre otros. ficios de la implementacién de la referida Politica son: ivizar el riesgo. de la informacion - darizar igs controles y revisiones de los sistemas de informacion. - & {a8 bases referenciales para el desarrollo de estrategias y planes relet a la seguridad de la informaci6n. - Brindar jo seguro a los usuarios. = Cumplir con los requerimientos regulatorios y legales pertinentes Servicios Postales del Peru S.A. seguird los lineamientos generales de la presente Politica de Seguridad de la Informaci6n. La Seguridad de la Informacién se caracteriza por la preservacién: a) Su confidenclalidad, asegurando que sélo quienes estén autorizados pueden acceder a la informacién; b) Su integridad, asegurando que la informacién y sus métodos de proceso sean exactos y completos, ©) Su disponibilidad, asegurando que los usuarios autorizados tengan acceso a la informacién y a sus activos asociados cuando lo requieran. Responsabilidad Todo el personal de Servicios Postales del Peru S.A. es responsable de conocer y cumplir la Politica de Seguridad de la Informacién, las normas relacionadas con ésta, los procedimientos y los estandares generales y aquellos especificamente relacionados con su area de competencia. Dentro de este contexto, podemos diferenciar los siguientes niveles de responsabilidad + Empleados.Todos los empleados de Servicios Postales del Perl S.A. deberan garantizar activamente la protecci6n de la informacion Esto implica: = La utilizacion de la informacién y de los sistemas de informacion, s6lo para fines laborales - El cuidadoso manejo de dicha informacién y de los sistemas informaticos, poniendo especial énfasis si se trata de informacion publica, privada o confidencial, asegurando la no divulgacion de éstas Ultimas. - La observacidn de las reglamentaciones y el fiel cumplimiento de los procedimientos y esténdares en cuanto a la seguridad en materia de informaci6n - El informe de las deficiencias e incidentes en materia de seguridad de la informacién o administracin de actives a sus superiores inmediatos. - Participar en las pruebas e implementacién de los Planes de Contingencia ante eventuales caidas de los sistemas de informacion Funcionarios. Los funcionarios de Servicios Postales del Peru S.A. deberan garantizar e implementar la seguridad de la informacion y los sistemas de informacion dentro de su area de responsabilidad Ellos deberan: = Supervisar periddicamente su ambito de accién a fin de detectar posibles deficiencias en materia de seguridad de la informacion - Iniciar rapidamente medidas correctivas e informar al Comité de Seguridad de Informacién de las deficiencias y demas incidentes de cardcter relevante. - _ Informar regularmente a los empleados de Servicios Postales del Peru S.A. acerca de los objetivos, medidas y reglamentaciones en materia de seguridad informatica que se encuentran en vigencia = Asegurar los niveles de confidencialidad de la informacion y a los, sistemas de informacién del personal de su dependencia. - Participar activamente en el establecimiento de de politicas y directivas de seguridad proponiendo al Comité de Seguridad de Informacién aquellas recomendaciones que considere importante implementar. - Designar a los lideres usuarios que participen activamente en la definicién, creacién, pruebas e implementacién de los sistemas de informacién. = Coordinar la activacién de los Planes de Contingencia ante eventuales caidas de los sistemas de informacién, asegurando la continuidad de los servicios y actividades de Servicios Postales del Peri S.A.a 5. Alcance La presente Politica tiene alcance en todo Servicios Postales del Peru S.A... € involucrara a todos los funcionarios, empleados y terceros que tengan acceso 0 que estén desarrollando, adquiriendo o usando sistemas de informacion y/o datos del mismo. Este documento y las siguientes disposiciones en materia de seguridad de la informacién se aplicaran en toda clase de cooperacién de terceras partes, al igual que en el supuesto de informacién creada externamente bajo contrato, o de informacién propia de Servicios Postales del Peri S.A. que haya sido revelada a terceras personas como parte constituyente de un contrato. Asimismo, se aplica a toda la informacién producida, manejada, transmitida y almacenada en Servicios Postales del Peri S.A.; y a todos los sistemas y datos asociados con el almacenamiento, procesamiento y transmision de la informacion por y a favor de Servicios Postales del Peru S.A. Politica de Seguridad de la Informacién. La informacién y los sistemas de informacién tienen un valor importante para Servicios Postales de! Peri S.A. con la finalidad de asegurar la preservacién de su confidencialidad, integridad y disponibilidad para darle una efectiva proteccién a la informacién, que equilibre los gastos utilizados en controles de seguridad de la informacion, contra los dafios a Servicios Postales del Peru S.A. y como resultado de fallas, la norma NTP-ISO/IEC 17799:2007 EDI. Tecnologia de la Informacion. Cédigo de Buenas Practicas para la Gestion de la Seguridad de la Informacién. 2da. Edicién, aceptada internacionalmente. ha identificado objetivos de control de seguridad de la informacion que resulten de los procesos y tecnologia Servicios Postales de! Peri S.A. se compromete en la formacion y sensibilizacién del personal, contratistas y terceros involucrados, respecto a la seguridad de la informacién para garantizar el cumplimiento de las normativas legales aplicables y en busca de la seguridad de la informacion al interior y fuera de la organizacién Revision y Actualizacién. Anualmente 0 cuando la magnitud de los cambios lo justifiquen, se generara una nueva versi6n. Como parte del proceso de mejora continua, semestralmente se procede a la revision de la Politica de Seguridad de la Informacién, a fin de reflejar los cambios producidos durante dicho periodo.at . Publicacién y Distribucion. La Politica de Seguridad de la Informacion debe ser comunicada a todos los usuarios de Servicios Postales del Pers S.A., siendo de conocimiento y aplicacién obligatorio para todo el personal de la entidad. Por su parte, Servicios Postales de! Pert) S.A. debe publicar y distribuir de forma adecuada hacia todos los niveles de la organizacién que estén definidos dentro del alcance. . Capacitacién. Servicios Postales del Peru S.A. debe buscar de forma adecuada la formacién y sensibilizacion de personal, contratistas y terceros involucrados, respecto a la seguridad de la informacién para garantizar el cumplimiento de las normativas legales aplicables. . Violaciones a la Politica. Las violaciones a la Politica de Seguridad de ta Informacién y a cualquier procedimiento o pauta derivados de ésta, que ocasionen cualquier riesgo 0 pérdida para la organizacién, pueden resultar en accion disciplinaria por parte de la organizacién cuya magnitud dependerd del tipo y severidad de la violacién,