APRUEBA NUEVA POLITICA GENERAL DE SEGURIDAD DE LA INFORMACION DE LA AGENCIA DE CALIDAD DE LA EDUCACION, ¥ [ AGENCIA DEJA SIN EFECTO RESOLUCION EXENTA j i BELA 1 N° 1440, DE 2014 QUE INDICA. ResoLuCION Exentane (589 santiago, 16 MAY 2019 vIsTos: Lo dispuesto en et DFL N° 1/19.653, de 2000, del Ministerio Secretaria General de la Presidencia, que fija el texto refundide, coordinado y sistematizaco de le Ley N° 18.575, Orgénica Constitucional de Bases Generales de la Administracién del Estado; en la Ley N° 19.880, que Establece las Bases de los Procadimientos Administrativos que rigen los Actos de los Organos de la Administracién del Estedo; en Ie Ley N° 20.529, que crea el Sistema Nacional de Aseguramiento de la Calidad de la Educacién Parvularla, Basica y Media y su Fiscalizacién; en el DFL N® 29, de 2004, que fija el texto refundido, coordinado ¥ sistematizado de la Ley N° 18.834, sobre Estatuto Administrative; en la Ley N° 20.285, sobre Acceso @ la Informacién Piblica; en la Ley N° 19.799, sobre Documentos Electrénicos, Firma Electronica y Servicios de Certificacién de dicha Firmas; en la Ley 1N® 19.628, sobre Proteccién a la Vida Privada; en el Decreto Supremo N° 83, de 2005, del Ministerio Secretaria General de la Presidencia, que Aprueba Norma Técnica para los Grganos de la Administracién del Estado sobre Seguridad y Confidencialidad de los Documentos Electrénicos; en la norma chilena NCh-ISO 27001; en la Resolucién N° 136, de 2033, de la Agencia; en lo Resolucién TRA 120441/1064/2016, de 2016, de la Agencia: fen el Decreto Exento N° 48, de 2019, del Ministerio de Educacién; y en la Resolucién N° 1.600, de 2008, de la Contraloria General de le Repiiblica; y CONSIDERANDO: 1° Que, de acuerdo al Decreto Supreme N° 83, de 2005, del Ministerio Secretaria General de la Presidencia, le norma chilena NCh-1S0 27001, y otras normativas presentes en el Sistema de Gestién de Seguridad de la Informacién, las exigencias y recomendaciones que se proveen, presentan desafios en cuanto @ la necesidad de garantizar estandares minimos de seguridad en e! uso, almacenamiento, acceso y distribucién de informacién,2° Que, de conformidad con to sefialado en el articulo 11 del decreto supremo individualizado fen el considerando precedente, se deberd establecer una politica que tiie las directrices generales que orienten la materia de seguridad dentro de cada instituci6n, que refleje Claramente el compromiso, apoyo e interés en el fomento y desarrollo de una cultura institucional 3° Que, la Agencia de Calidad de le Educacién ha revisada su Politica General de Seguridad e fa Informacion vigente a la fecha respecto de la cual se ha estimado necesaria su revisién y actualizacién para el cumplimiento centralizaco de uno de los indicadores del Programa de Mejoremiento de la Gestién (PMG), esto es, et relative al cumplimiento de los controles de seguridad de la informacién implementados respecto del total definido en la norma NCH ISO 27001, y de aumentar de manera progresiva en el tiempo, los niveles de madurez de la Institucion, tanto, en materia de seguridad de le informacion, como de la ciberseguridad, 4° Que, en atencién a lo ya expresado, el Comité de Seguridad de la Informacidn de este Servicio, acordé, en sesién de 30 de abril de 2019, aprobar una nueva Politica General de Seguridad de la Informacién de la Agencia de Calidad de la Educacién RESUELV PRIMERO: APRUEBASE la nueva Politica General de Seguridad de la Informacién de la ‘Agencia de Calidad de la Educacién, cuyo texto es e! siguiente: ” NERAL DE SEGURIDAD DE TON ENCH CALIDAD DE LA EDUCACION’ 1.- DECLARACION INSTITUCIONAL. La Agencia de Calidad de la Educacién, en adelante la Agencia, define su misién, siendo fie! los objetivos establecidos en el Articulo 10 de la Ley 20.529, como: Evaluar tanto los logros de aprendizaje de los alumnos, como el desempefio de los establecimientos ecucacionales, con el objetivo de, tanto establecer un orden de éstos en funcién de los indicadores obtenidos, como de proporcionar informacién a la comunidad en materias de su competencia, promoviendo su correcto uso. Dado lo anterior, se desprende que la operacién central de la Agencia se basa en la recoleccién de informacién, su tratamiento para la obtencién de indicadores y métricas en las materias de su competencia, y la presentacién de éstos, tanto a nivel estatal pare el apoyo en la toma de decisiones referentes al mejoramiento de la calidad de la educacién, como 2 nivel general, en cumplimiento con su rol de informador a la comunidad en las rmaterias de su competancia, Es asi, como la Agencia reconoce la informacién como su activo de mayor relevancie, catalogéndola como un elemento critico de apoyo al cumplimiento de ta MisiénInstitucional, que por tanto, requiere ser protegida convenlentemente (junto a los procesos y sistemas que Ia utilizan) frente a amenazas que puedan poner en peligro la continuidad operacional, rentabilidad social y conformidad legal, necesarios para alcanzar los objetivos institucionales y preservar la reputacién y transparencia de las entidades de gobierno hacia los ciudadanos, Por lo tanto, la Agencia estableceré un proceso, el cual, velaré por el cumplimiento y operaciin de mecanismos que se enfoquen en la proteccién, respuesta y recuperacién frente a posibles incidentes que puedan afectar negativemente focos como: la transparencia, reputacién, imagen y operacién de la Institucién, en el marco de las otras Unidades de gobierno. En este contexto, la Agencia fortalecers su ambiente de control, con el fin de mantener el valor de Ja informacion a través de! tiempo, conservande aspectos como la confidencialidad, integridad, disponibilidad, autenticided y privacidad de los ‘actives de informacién institucionales relevantes o claves para la operacién de la organizecién, Esto, operard @ través de la implementacién de un Sistema de Gestién de le Seguridad de la Informacion y Ia Ciberseguridad a nivel institucional, en adelante SGSIC, que permite aumentar de manera progresiva en el tiempo, los niveles de madure2 de la organizacién en materia de seguridad de la informacién y ciberseguridad Aicionaimente, es parte de Is declaracién de la Agencia ver la seguridad de la informacion ¥ Ia ciberseguridad, como componentes claves y estratégicos para la mantencién y Preservacién de la imagen reputacional, cumplimiento regulatorio y prestigio de la institucion. En este escenario, el proceso de construccién de le seguridad de la informacién ¥ la cibersegurided en Agencia debers ser visto como un apalancador estratégico de los objetivos de le Organizacién 2.- ALCANCE. Esta Politica contiene los lineamientos generales Ge la Agencia de Calidad de la Educacién fen moterias relativas a la Seguridad de la Informacin y le Ciberseguridad. Esta Politica deberd ser aplicada por todes(2s) los(as) funcionarios(es) de planta y contrate, personal 2 hhonorarios y toda aquella persona natural © juridica que preste servicios (terceras y proveedores) y que a raiz de ello, tengan acceso a los activos de informacién de le Institueién. 3. MARCO GENERAL: SEGURIDAD DE LOS ACTIVOS DE INFORMACION. Dadas las facultades que apalancan el cumplimiento de le Misién institucional, detalladas en el Articulo 11 de la ley 20.529, la Agencia comprende que su actividad central es la ‘manipulacién de Gatos e Informacién propia canfidencial, y/o datos e informacion sensible de terceros, y que ésta, representa un pilar critico para la madicién y mejora continue de la educacién a nivel Nacional, por lo tanto, declara que el tratamiento de los activos de Informacién que fluyen por sus procesos, debe ser estructurado y seguro durante todo su Ciclo 6e vida, donde se destacan las siguientes etapas generales:a) Recoleccién de datos, desde Ia elaboracién de los items y/o cuestionarios de los Instrumentos de medicién, hasta la aplicacién de los mismos en las instituciones de ‘educacién @ nivel nacional, tanto, la Agencia como los terceros que participan de este Proceso, deben mantener y garantizar la confidencialidad de estos activos de Informacién, b) Tratamiento de tos, donde Is Agencia, mediante sus divisiones, debe analizar y tratar la informacion recolectada mediante la aplicacién de los diferentes instrumentos e medicién, con especial énfasis en la integridad de ésta, para la obtencién de ‘métricas © indicadores relevantes que apoyen la consecucién de sus objetivos institucionales. ©) Elaboracién de informes de resultado, conde la Agencia, posterior al andlisis de los ates obtenidos y la obtencién de indicadores, genera informacién concerniente @ su materia de competencias, a cual, representa el principal insumo de apoyo a la toma de desiciones a nivel nacional, en funcién de la mejora de la calidad y equidad de la educacion. 4) Disponibilizacion de informacién, donde la Agencia deve disponibilizar @ le ‘Comunidad en general, informacién concerniente a su materia de competencia, velando Por su correcto uso y garantizendo que la publicacién de ésta, en caso alguno incluird la individualizacién de los alumnes. Es esi, como cualquier vuineracién 2 le seguridad de los activos de informacién, en cusiquiere de las fases descritas anteriormente, podria suponer coma consecuencia, un ‘cuestionamiento hacia le Agencia tanto a nivel reputacional, desde el punto de vista de Ia ‘administracién publica, como 2 nivel de transperencia, desde el punto de vista del servicio pblico hacia los cludadanos y ciudadanas. Dado lo anterior, y, con el fin de velar por el Cumplimiento de fo establecido en la declaracién institucional de este documento, 1a ‘Agencio deberd establecer un SGSIC. Para dar cumplimiento a 12 aplicacién de esta politica, le Agencie deberd identificar y mantener actualizados permanentemente: |. Los procesos claves, para la mantencién operative de la Agencia, con el fin de establecer la cadena de valor de procesos de la organizacién, con lo cual, Ia ‘Agencia lograré determiner el primer alcence del SGSIC, “Todos los activos de informacién que reciba, almacene, procese y emita la Agencia. Estos actives se podrén encontrar en distintos medios y formatos, tanto fisicos como digitates La tecnologia asociada a los actives de informacién, con el fin de establecer la ‘elacién entre los procesos criticos de la organizacién y la tecnologia que los soporta. Esta identificacién deberd ser gestionada a través de la implementacién de tun inventario aetualizado de componentes tecnolégices que apalancan la operacién de la organizacién,4. La clasificacion de los activos de informacién identiicados, bajo los parémetros de le confidencialidad, integridad, disponibilicad, autenticidad y privacidad, con el fin e lograr una categorizacién de los activos de informacién, en funcion de su graco de crticided pare la institucién (baja, media, alta). En esta operacién deberdn participar todas las lineas operacionales constitutwas de la cadena de valor de la organizacién. Este proceso, entregaré una mirada més detallada sobre clales son los activos de informacién mas criticos para la Agencia, y por que procesos fluyen durante la efecucién de la operacién de la instituc 5. La realizacién de andlisis de riesgos sobre los actives de Informacién con niveles de criticidad media y alta. Dichos andlisis deberén considerar al menos los siguientes Indicadores: el valor o criticidad del active de informacion, el peso de las vulnerabilidades asociadas a la tecnologia y el peso asociado a una tipficecién de ‘amenazas 0 a la captura de incicadores de amenazas para la tecnologia asociade @ los procesos criticos de la Agencia. Este proceso, entregaré una mirada mas etallada sobre donde colocar los esfuerzos para redu (© mantener el riesgo de imagen reputacional de la Agenc! materia. 6 Le determinecién, en base al andlisis de riesgo, del alcance especifico del SGSIC. Este alcence deberé estar definido en funcién de los riesges de alte impacto, o bien, ‘que podrian afectar negativamente la consecucién de los objetives de la institucién, La organizacién trabajaré en el establecimiento de mecanismas, que se enfoquen y de cumplimiento det PMG asociade a estas fen el crecimiento y madurez del ambiente de control que se establezca, para efectos de reducir los riesgos esociados a la operacién y cumplimiento de la Agencia. 7. La implementecién del SGSIC alineado a las mejores précticas del mercado en estas materias, alineado al cumplimiento derivado de regulaciones, leyes y decretos de Gobierno. En la implementacién del ambiente de conttol pare sostener el SGSIC, la Agencia declara que se enfocaré en la operacién de Ios siguientes procesos ‘esociados a la seguridad de la informacién y la cibersegurlaad: 8) Seguridad de la informacién y ciberseguridad de los recursos humanos, b) Gestién de actives de informacién. ©), Gestién del riesgo de los activos de informacién, 4) Establecimientos de mecanismos y medidas de proteccién sobre los activos ge informacién, ©) Establecimientos de mecanismos y buenas prictices de seguridad oe la Informacién, relacionadas con el proceso de desarrollo y/o adquisicién de software y tecnologia, 1) Gestién de vulnerabilidades y remediacién de brechas, 1 Establecimientos de mecanismos y medidas de monitoreo sobre los actives de informacién e identificacién de posibles incidentes. In) Establecimiento de mecanismos y medidas de contencién y respuesta frente 2 incidentes.jy Esteblecimiento de mecanismos y medidas de recuperacién y wuelte a la normalidad de los procesos y sistemas frente a posibles incidentes, 4), Esteblecimiento de mecanismos y medidas de sensibilizacién y farmacién en estas materias, con el fin de cambiar de manera progresiva, la cultura Institucional y los niveles de concientizacién en seguridad de la informacion y clberseguridad. 4. En base el punto anterior, la Agencia deberd implementar un gobierno, para Gestionar | seguridad de la informacién y la cibersegunidad al interior de la Institucién, y velar por el crecimiento en madurez de la seguridad corporativa, Este gobierno, se deberd establecer en base a la determinacién y asignacién de roles definidos para tales efectos. Por lo tanto, la Agencia incorporaré en el perfil de cargo, las funciones y responsabilidades que cada rol asume al interior de la organizacién, para gerantizar une adecuada gestién de la seguridad de la Informacién al interior de la institucién. Junto con lo anterior, la Agencia contard con una estructura funcional del SGSIC, la cual considerard: 48) Comité de Seguridad de la Informacién. b) Encargado(e) de Seguridad de la Informacién. Las responsabilidades y funciones de esta estructure se encontrarén descrites en una resolucién de creacién y nombramiento exenta 4.- OBJETIVOS ESPECIFICOS DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION Y CIBERSEGURIDAD. 2) Confidencialidad, la Agencia deberé verificar la aplicacién de los controles nnecesarios para resguarcar los activos de informacién de cualquier acceso no eutorizado, revelaciones accidentales, espionaje, violacién de la privacidad y otras acciones de similares caracteristicas. b) Integridad, 12 Agencia deberd verificar por la aplicacién de los controles nnecesarios pars resguardar los activos de informacién de cualquier degradacién por ‘efectos de agentes intemnos 0 externos, amblentales o manipulacién que afecten su ‘exactitud y completitud. ©) Disponibilidad, 12 Agencia deberé verificar por la aplicacién de los controles necesarios para resguardar a los actives de Informacién de cualquier interrupcién, aseguranda que éstos se encuentren accesibles y utilizables por usuarios ‘autorizados, para que no afecte la continuidad operacional ©) Autenticidad, 2 Agencia deberé verifier por la aplicacién de los controles necesarios para resguerdar los actives de informacién que no plerdan suscaracteristicas de validez y uso asegurando el no repudio de éste. Resguerdando Ia capacidad ce demostrer que un usuario 0 una aplicacién es realmente quign dicha persona o aplicacién asegura ser, ©) Privacidad, la Agencia deberd velar por la aplicacién de los controles necesarios ara resquarder los activos de informacion y mantener las caracteristicas de Privacidad, en cumplimiento de las garantias constitucionales, estableciendo Ia exigencia sobre el manejo y uso de la informacién conforme a la legisiacién vigente. Por lo tanto, Agencia deberd atender no sélo las exigencias regulatorias, respecto @ la Informacién personal, sino desarrollar los mecanismos y estrategias ue permitan su adecuada administracién, lo que incluye espectos como su recoleccién, uso, procesemiento, almacenamiento y revelacién 5. ANALISIS Y EVALUACION DE LA POLITICA GENERAL DE SEGURIDAD DE LA INFORMACION. La Politice General de Seguridad de la Informacién deberd ser evaluada por el Comité de Seguridad de la Informacién al menos una vez al ao o cuando se produzca un cambio 0 Incidente significative que la Impacte, con la finalidad de revisar y evaluar su contenido y forientacién. Lo anterior, para asegurar la continua idoneidad, eficiencia y efectividad del Sistema de Seguricad de la Informacién, Los cambios a la Politica General de Seguridad de la Informacién serén aprobadas por el Secretario Ejecutive de la Agencia, 6.- REVISION DEL CUMPLIMIENTO DE LA POLITICA GENERAL DE SEGURIDAD DE LA INFORMACION. Anuaimente, y 2 través ce auditorias, ya sean internas 0 externas, se revisard el ‘cumplimiento de la. presente Polluca General de Seguridad de 1a Informacion, con la finalidad de recabar informacién que permite defini modificaciones en pro del cumplimiento y mejore continua de la misma, ~ COMUNICACION DE LA PRESENTE POLITICA GENERAL DE SEGURIDAD DE LA INFORMACION A LA INSTITUCION Y A TERCEROS. La Politica General de Seguridad de la Informacién de la Agencia de Calidad de la Educacién, deberé ser informada, mediante los canales de comunicacién oficiales del servicio, 8 Su personal y a todo aquel que tenga acceso a sus actives de informacién. ‘8. SANCIONES. Conforme 2 la ley 20.529, el personal de la Agencia deberé guardar absoluta reserva y Secreto de las informaciones de las cuales tome conocimiento en el cumplimiento de sus labores, sin perjuicio de les informaciones y certificaciones que deta proporcionar de conformidad ala ley.Asimismo, tendré prohibicién absoluta de prestar a las entidades sujetas 2 su evaluacién ‘otros servicios que Ios seffalados en la ley, ya sea en forma directa o Indirecta, Las infracciones @ esta norma serén consideradas falta grave para efectos de exigir responsabilidad administrative, la que se exigiré con independencia de la responsabilidad civil 0 penal que pudiera configurarse. SEGUNDO: DEJASE SIN EFECTO Ia Resolucién Exenta N° 1440, de 2014, de este servicio, que dejé sin efecto la Resolucién Exenta N° 666, de 26 de julio de 2013, asi como cuelquier otro acto administrative de este servicio en donde figure alguna referencia a la Resolucién Exenta N° 1440, de 2014,de la Agencia de la Calidad de la Educacién. TERCERO: DIFUNDASE el presente acto administrative al personal de la Agencia de Calidad de 2 Educacién y a todo aquel quien tenga acceso a sus activos de Informacién, IN EL PORTAL DE TRANSPARENCTA ANOTESE Y PUBLIQUES! E Secretaria, (0 MIRANDA EJECUTIVO (S) 1D DE LA EDUCACION (wt doaPs asi Pe onze cons ater Drostines (5) ‘Secretaria Gjecutna Unicae ce Pantiencdn Departamento de Avera ei do Parts