Scribd Logo
Upload

Welcome to Scribd!

  • Reglamento de Seguridad de La Información de Petroperú S.A.

    Uploaded by

    José Fernando Pérez Apaza
    3 views36 pages

    Original Title

    Reglamento de Seguridad de La Información de Petroperú S.a.

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    3 views36 pages

    Reglamento de Seguridad de La Información de Petroperú S.A.

    Uploaded by

    José Fernando Pérez Apaza

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 36
    ‘GERENCIA GENERAL, REGLAMENTO DE SEGURIDAD DE LA INFORMACION DE PETROPERU S.A. VIGENTE DESDE EL 19.01.2011 APROBADO CON ACUERDO DE DIRECTORIO N°0114-2010-PP DE FECHA 28.12.2010 ESTE DOCUMENTO HA SIDO PREPARADO PARA USO EXCLUSIVO DE PETROPERU S.A. ef reproducido sin autorizacion expresa de PETROPERU S.A. ‘GERENCIA ‘SEGURIDAD DE LA INFORMACION DE | Codigo: MASTOG2 GENERAL PETROPERU S.A. Etaborado: CSI DOCUMENTO N2 Rovisado: 1s Diciembre 200 ‘Comité Seguridad | REGLAWENTO DE SEGURIDAD DELA | Version: v.1 dela informacién INFORMACION Pagina: 260 35 INDICE CAPITULO I: DISPOSICIONES GENERALES ARTICULO 1°: Objetivo.. ARTICULO 2°: Propésito .. ARTICULO 3°: Ambito de la Aplicacién. ARTICULO 4*: Base Legal y Normatividad Interna 4.1. Normas Legales 4.2. Normatividad Interna... ARTICULO 5: Importancia de la Segui ARTICULO 6 Orgaizacén y Funciones en Segurtad ela inormacibn on 641. Directorio. 6.2. Gerente General 6.3. Gerentes de Estructura Basica.. 6.4. Propietario del Activo de Informacion . 6.5. Oficinas de Tecnologias de Informacin y Comunicaciones. 66. Usuarios 6.7. Organizacién de Seguridad do ia informacion 6.8. Comité de Seguridad de la Informacion... ARTICULO 7*: Inobservancias a la Seguridad de la Informacién CAPITULO Il: POLITICA. ‘ARTICULO &*: Politica Corporativa de Seguridad de la Informacion... 9 CAPITULO lil: RECURSOS HUMANOS, COLABORADORES Y USUARIOS [ARTICULO 9*: Requisitos de Seguridad de la Informacién en Contratos de Trabajo, Civiles y Comerciale 9 CAPITULO IV: SEGURIDAD FISICA Y DEL ENTORNO.. 14 ARTICULO 10%: Seguridad de Equipos Fuera de las Instalaciones de PETROPERU past ARTICULO 11® Seguridad de 10s Gantros de Cémputo foeennne V CAPITULO V: GESTION DE COMUNICACIONES Y OPERACIONES. 13 ‘ARTICULO 12% Control de Riesgos de Seguridad de la Informacion de ios Servicios de Ofimatice 18 ARTICULO 13°: Iniercambio de Software o de informacién por Vaz, Fax yio Video' 4 ARTICULO 14®: Transmisién de Informacién Confidencial, Sensible o Critica... 14 ARTICULO 158: Uso de Correo Electrénico y AgjuMt0S...snsnnn ARTICULO 16%: Retencién y Eliminacion de Registros.. CAPITULO VI: CONTROL DE ACCESOS. ARTICULO 17%: Control de Accesos........ ARTICULO 18% Protector de Pantalla y Escritorio eae ARTICULO 19%: Uso Servicios de Red. ARTICULO 20®: Informatica Mévil ARTICULO 21°: Adquisicion y Desarrollo. : a ARTICULO 22*: Uso de Controles Criptograficos ..... ev 20 ESTE DOCUMENTO HA SIDO PREPARADO PARA USO EXCLUSIVO DE PETROPERU S.A. No dobe ser raproducide sin autorlzacién expresa de PETROPERU S.A, ‘SEGURIDAD DE LA INFORW PETROPERU S.A, DOCUMENTO. REGLAMIENTO DE SEGURIDAD DELA INFORMACION, CAPITULO VIII: RECURSOS HUMANOS E INFORMACION CONFIDENCIAL . ARTICULO 23%: Proteccién de Datos y Privacidad de la Informacion Personal... CAPITULO IX: DISPOSICIONES COMPLEMENTARIAS sn PRIMERA: Aplicacion Supletoria. ‘SEGUNDA: Propuesta de Procedimientes, Formatos y Otros. TERCERA: Aprobacién de Procedimientos, Formatos y Otros, CUARTA: Vigencia del Reglamenio... QUINTA: Difusion y Supervisién del Reglamento, CAPITULO X: ANEXOS. ‘ANEXO 1: Glosario de Términos . ANEXO 3: Requisitos do Soguridad de ia Informacién con Emploados, Colaboradores, Usuarios y Otros Terceros... ANEXO 4: Modelo Cronograma de Retencion de Regisiros ANEXO 5: Transmision de Informacién Confidencial, Critica ‘ANEXO 6: Composicién del Comité de Seguridad de la Informacion. ESTE DOCUMENTO HA IDO PREPARADO PARA USO EXCLUSIVO DE PETROPERU S.A. No debe ser reproducido sin autorizacion expresa de PETROPERU S.A. ‘GERENCIA ‘SEGURIDAD DELA INFORMACION DE] Cigo: MASL-OG2 GENERAL, PETRO: Elaborado: ¢S1 DOCUMENTO W2, Fevisado:_15 Diciembre 200. ‘Comis Sogurded | FECLAMENTO DE SEGURIDADDELA | Version: v.t delatnormacién INFORMACION Pégina: 440.35 CAPITULO I: DISPOSICIONES GENERALES ARTICULO 1%; Objetivo EI Reglamento de Seguridad de la Informacién, desarrollado con sujecién a la Politica Corporativa de Seguridad de la Informacion y la Norma Técnica Peruana NTP-ISONEC. 17799:2007, tiene por objetivo: ~ _Asegurar una apropiada salvaguarda de todos los activos de informacién a los que PETROPERU sea sensible. = Proporcionar asesoria para la Seguridad de la Informacién, - Pemitir una aplicacién consistente de los coniroles de seguridad de la Informacién. = Acceder a una defensa contra alegatos legales. = educir y controlar los riesgos legales, comerciales y tecnologicos. = Proteger la buena imagen empresarial de PETROPERU. ARTICULO 2°: Propésito La informacién y los medios para su generaciOn, tratamiento, transmision y almacenamiento, son activos importantes de la institucién y por allo requioren ser Protegidos. La cisponibilidad, integridad y confidencialidad de la informacién, son ‘esenclales para mantener la operatividad, competitividad, efectividad, proactividad, cconfiabilidad, continuidad e imagen de PETROPERU. Para lograr este fin, es necesario contar con un documento normativo, el cual debe ser redactado de una manera clara y concisa, para comprensién y aplicacién de todos los usuarios. Se requiere educar y capacitar en forma clara y detallada, sobre las ‘consecuencias de su inobservancia, ARTICULO 3": Ambito de la Aplicacién El presente Reglamento serd de aplicacién general y obligatoria para Miembros del Directorio, Gerente General, Gerentes de Estructura Basica y Complementaria, Trabajadores en General, Practicantes, Consultores, Prestadores de Servicios Profesionales, Personal de Contratistas y otros, en adelante “usuarios”, que necesiten tener acceso a la informacién o recursos de tratamiento de la informacion de PETROPERU, mientras desempefien sus labores en la misma y exista vinculo laboral, civil o comercial y, de acuerdo a convenios o normatividad especifica, incluso cuando cese sus funciones. ARTICULO 4°; Base Legal y Normatividad Interna 4.1. Normas Legales — Ley N°27785 Ley Organica del Sistema Nacional de Control de la Contraloria General de la Repibiica. — Ley N°27806 Ley de Transparencia y Acceso a la In formacion Publica, TUO de fecha 22.04.2003, y su Reglamento DS N°072-2003-PCM de fecha 06.08 .2003. = Ley N"28716 Ley de Contra! Interno de las Entidad es del Estado. ESTE DOCUMENTO HA SIDO PREPARADO PARA USO EXCLUSIVO DE PETROPERU S.A. No debe ser reproducide sin autorizaciGn expresa de PETROPERU S.A. Codigo: MASI-002 Elaborado: CSI, evisado: 15 Dicienbre 2010 "SEGURIDAD DE LA INFORNAGION DE PETROPERU S.A. DOCUMENTO NZ = Resolucién de Contraloria General N° $20-2006-CG de fecha 11.10.2006. Aprueban las Normas de Control Interno, aplicables a las Entidades del Estado. - _ Resolucién Ministerial N°246-2007-PCM de fecha 22.08.2007. Aprueba el uso obligatorio de la Norma Técnica Peruana NTP-ISOMEC 17799:2007. - Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologia de la Informacion. Cédigo de Buenas Précticas para la Gestién de la Seguridad de la Informacién. 2 Edicion. = Resolucién de Contraloria N° 458-2008-CG de fecha 30.10.2008, Guia para la Implementacién de Control interno en las Entidades del Estado, 4.2. Normatividad Interna - Politica Corporativa de Seguridad de la Informacién de PETROPERU. ‘Aprobada con Acuerdo de Directorio N*040-2010 de f echa 29.04.2010. = Cédigo de Integridad de PETROPERU. Aprobado con Acuerdo de Directorio N° (004-2010 de fecha 28.01.2010 y Acuerdo de Directorio N°019-2009 de fecha 12.03,2010. = Normas Intemas de Conducta de PETROPERU, para la Comunicacién de Hechos de Importancias, Informaciin Reservada y otras Comunicaciones. ‘Aprobada con Acuerdo de Directorio N°105-2008 de fecha 30.11.2009. - ‘Cédigo de Buen Gobierno Corporativo de PETROPERU. Aprobado con Acuerdo de Directorio N°107-2010-PP de fecha 20.11 2010. = Reglamento Interne del Comité de Buenas Practicas de Gobierno Corporativo de PETROPERU. Aprobado con Acuerto de Directorio N° 044-2010 de fecha 12.05.2010. = Reglamento Interno de Trabajo de PETROPERU. — Politica de Conflicto de Intereses de PETROPERU. = Reglamento de Organizacion y Funciones (ROF) de PETROPERU. Aprobado ‘con Acuerdo de Directorio N’081-2009-PP de fecha 14.07.2008. = Manual de Organizacién y Funciones (MOF) de PETROPERU. ARTICULO 5:: Importancia de la Seguridad de la Informacion La informacion es cada vez més esencial en los procesos de negocio para conseguir y mantener la rentabiidad y competitividad, gestionar adecuadamente los recursos internos y externos, gestionar eficazmente las operaciones, obtener y mantener dlientes y cuota de mercado, asf como gestionar y mantener el conocimiento, entre otros, Las organizaciones y su informacion enfrentan amenazas y vuinerabilidades ‘recientes que afectan los elementos de los procesos de negocio, los comunmente denominados “fallos de seguridad” que pueden ser variados, inciuyendo fraudes informaticos, fallo electrénico, espionaje, error humano, sabotaje, vandalismo, incendios, inundaciones u otros. Ciertas fuentes de dafios como virus informéticos y ataques de intrusién o denegacién de servicios se estén volviendo cada vez mas ‘comunes, ambiciosos y sofisticados. Dado que la informacién adopta diversas formas, puede estar impresa o escrita en papel, almacenada electrénicamente, transmitida por correo o por medios electrénicos, mostrada en video o habiada en conversacién, és'a deberd protegerse [ESTE DOCUMENTO HA SIDO PREPARADO PARA USO EXCLUSIVO DE PETROPERU S.A No debe ser reproducio sn etorzacién expresa de PETROPERU S.A “SEGURIDAD DE LA INFORMAGT PETROPERU| DOCUMENTO ‘Comité Seguridad | FEGLAMENTO DE SEGURIDAD DELA dea lntormacién, INFORMACION, adecuadamente, cualquiera que sea la forma que tone o los medios por os que se ‘comparta 0 almacene en PETROPERU. Los usuarios deben ser conscientes, que la importancia de la informacion es roporcional al valor empresarial de sus procesos, lo que hace necesario adoptar ‘mecanismos de gestion de seguridad de la informacién, entre los que se pueden Contar la politica, reglamento, procedimientos, estructura organizacional y soluciones tecnoligicas sobre la base de esténdares probados y reconocides, tanto a nivel nacional como intemacional, La seguridad de la informacién se define como la salvaguarda de la inforrmacién para: + Su confidencialidad, asegurando que solo quienes estén aulorizados puedan acoeder a la informacién; + Su integridad, asegurando que la informacién y sus métodos de proceso sean exactos y completos; * Su disponibilidad, asegurando que los usuatios autorizados tengan acceso @ la informacién cuando la requieran. [ARTICULO 6%: Organizacién y Funciones en Seguridad de la Informacién La organizacién y funciones para la seguridad de la informacién se asignan de la forma siguiente: 6.1. Directorio = Aprobar la Politica Comporativa de Seguridad de la informacién y sus moditicaciones. = Aprobar el Reglamento de Seguridad de la Informacion y sus modificaciones. 6.2. Gerente General = Difundir la Politica Corporativa, Reglamento y Procedimientos de Seguridad de la informacion, ~ Aprobar los provedimientos y cualquier otra disposicién complementaria de seguridad de la informacién, que las Gerencias de la Estructura Basica propongan segin su competencia. = Aprobar las propuestas del Comité de Seguridad do la Informacién, para asegurar el correcto entendimionto de la Politica Corporativa, Reglamento y Procedimientos de Seguridad de la Informacion y, que todos los usuarios se ‘comprometan razonablemente a su cumplimiento, = Aprobar ls iniciativas para mejorar la seguridad de la informacion. = Aprobar la evaluacién anual y el plan anual de la gestion de seguridad de la informacién. 6.3. Gerentes de Estructura Bésica = Difundir ta Poltica Corporativa, Regiamento y Procedimientos de Seguridad de {a Informacion, asegurando su razonable entendimiento y cumplimiento. = Asignar recursos para el cumplimiento de la Politica Corporativa, Regiamento y Procedimientos de Seguridad de Informacion, requeridos por el Comité de ‘Seguridad de la Informacién. ESTE DOCUMENTO HA SIDO PREPARADO PARA USO EXCLUSIVO DE PETROPERU S.A. 'No debe ser reproducide sin autorizacién expresa de PETROPERU S.A. "SEGURIDAD BE LA INFORMACION DE PETROPERU DOCUMENT N'2 ‘Comité Seguridad | ~~ REGLAMENTO DE SEGURIDAD DE LA se lainformacicn INFORMACION, - Proponer a Gerencia General, segtin su competencia, la aprobacién de los procedimientos y cualquier otra disposicion complomentaria de Seguridad de la Informacion. 6.4. Propietario del Activo de Informacién = Velar por la seguridad del activo de informacion que esta a su cargo. — Supervisar la implementacién y el mantenimiento de los controles que aplican al activo de informacién. = Clasificar la informacion en términos de su valor, confidencialidad, criticidad y sensibilidad para PETROPERU. 6.5. Oficinas de Tecnologias de Informactén y Comunicaciones - Administrar, monitorear y operar en forma segura las redes y sistemas informéticos de PETROPERU. = Faciltar los mecanismos técnicos que permitan dar cumplimianto a la Politica Corporativa, Reglamento y Procecimientos de Seguridad de la Informacién, - Hacer cumpiir las nommas y procedimientos de Seguridad Informatica. Usuarios ~ Proponer alternativas de mejoras en la seguridad de la informacion. ~ Reportar cuala segtin procedimiento de gestién de incidentes. - Incluir fa cléusula confidencialidad y de seguridad de la informacién en os. ‘coniratos con tercaros, clientes y proveedores. = Asumir responsabilidad en la generacién, tratamiento, transmision almacenamiento de los activos de informacion que usan en él ejercicio de sus, funciones. 6.7. Organizacién de Seguridad de la Informacion = Proponer al Comité la actualizacion de la Politica Corporativa, el Reglamento y los Procedimientos de seguridad de la informacién, = Revisar y proponer propietatios para cada activo de informacién. - _ Formular eriterios de clasiticacién de la informacién. ~ _ Revisar y mantener actualizado el inventario de actives de informacién. ~ _Presentar normas complementarias, précticas de gestién y procadimientos, razonable para que todos los usuarios cumplan la politica, reglamento y procedimientos de seguridad de la disefiados para proporcionar una convi informacion. = Analizar_y hacer seguimiento sobre los incidentes en seguridad de ta informacién, = Coordinar la ejecucién periédica de la evaluacién de riesgos y proponer controles de tratamiento de riesgos, en linea con el Sistema de Control Interno. = Asogurar que la implementacion de controles de seguridad de la informacion sea ejecutada. = Desarrallar y proponer planes y programas de concientizacién y capacitacion fen temas de seguridad de la informacion, ESTE DOCUMENTO HA SIDO PREPARADO PARA USO EXCLUSIVO DE PETROPERU S.A. Wo debe ser reproducido sin autorizacién expresa de PETROPERU S.A, incidente de seguridad de la informacién a la Organizacion de Seguridad de fa informacion ¢ al Comité de Seguridad de la Informacién, GERENCIA ‘SEGURIDAD DELA INFORMACION DE | Codigo: MAST0G2 ——] GENERAL PETROPERU S.A, Elaborado: OS! DOCUMENTO N'2 [Revisado: 1s Diembre 2010 ‘Comité Seguridad [—REGLAMENTO DE SEGURIDADDELA | Versién: v.1 dela Informacion, INFORMACION, Paging: 8 de 35 6.8. Comité de Seguridad de Ia Informacién - Identificar las metas de seguridad de la informacién, relacionarlas con las ‘exigencias organizacionales e integrarlas en los procesos relevantes. = Planiticar y coordinar la ejecucién periddica de la evaluacién de riesgos y | roponer controles para ol tratamiento de los mismos. — Proponer planes, programas y presupuesto para mantener la concientizacion de la seguridad de la informacién. = Proponer la actualizacién de la Politica Comporativa, Reglamenio y Procedimientos de seguridad de la informacién. = Proponer a la Gerencia General la inclusién de roles y responsabilidades de seguridad de la informacion en el Reglamenio de Organizacién y Funciones, Manual de Organizacién y Funciones y, Descripciones de Puesto, - Monitorear el cumplimionto do ta Politica Corporativa, Reglamento y Procedimientos de seguridad de la informacién, verificando su efectividad y correcta implementacion, ~ Proponer convenios con especialistas en seguridad de la informacién para recibir asesoria. — Solictar fos recursos necesarios para establecer y respaldar las iniciativas, { para mejorar la seguridad de la informacion. = Reunirse ordinariamente, segun su plan anual de trabajo, por lo menos cada dos (2) meses, utilzando la faciidad de videoconferencia con la que cuenta PETROPERU, de las cuales dos (2) serdn presenciales; y, extraordinariamente ‘cuando sea convocado por Gerencia General o alguno de sus miembros. | = Los miembros designados en el Comité de Seguridad de Informacién, salvo los representantes de la Gerencia Departamento Tecnologias de Informacion y Comunicaciones y de la Unidad Seguridad de Oficina Principal, seran renovados cada dos (2) afios. La designacién es hecha por Gerencia General, ‘conforme a la composicién establecida en el Anexo 6, = Lorno previsto expresamente en el presente Reglamento, seré resuelto por el ‘Comité de Seguridad de la Informacion. ARTICULO 7: Inobservanclas a la Seguridad de la Informacién Ei no cumpiimiento de la Poltica Corporativa, Reglamento y Procedimientos de Seguridad de la Informacion, asi como de cualquier oiro proceso, lineamiento o pauta

    You might also like