‘GERENCIA
GENERAL,
REGLAMENTO DE SEGURIDAD
DE LA INFORMACION DE
PETROPERU S.A.
VIGENTE DESDE EL 19.01.2011
APROBADO CON ACUERDO DE DIRECTORIO N°0114-2010-PP
DE FECHA 28.12.2010
ESTE DOCUMENTO HA SIDO PREPARADO PARA USO EXCLUSIVO DE PETROPERU S.A.
ef reproducido sin autorizacion expresa de PETROPERU S.A.‘GERENCIA ‘SEGURIDAD DE LA INFORMACION DE | Codigo: MASTOG2
GENERAL PETROPERU S.A. Etaborado: CSI
DOCUMENTO N2 Rovisado: 1s Diciembre 200
‘Comité Seguridad | REGLAWENTO DE SEGURIDAD DELA | Version: v.1
dela informacién INFORMACION Pagina: 260 35
INDICE
CAPITULO I: DISPOSICIONES GENERALES
ARTICULO 1°: Objetivo..
ARTICULO 2°: Propésito ..
ARTICULO 3°: Ambito de la Aplicacién.
ARTICULO 4*: Base Legal y Normatividad Interna
4.1. Normas Legales
4.2. Normatividad Interna...
ARTICULO 5: Importancia de la Segui
ARTICULO 6 Orgaizacén y Funciones en Segurtad ela inormacibn on
641. Directorio.
6.2. Gerente General
6.3. Gerentes de Estructura Basica..
6.4. Propietario del Activo de Informacion .
6.5. Oficinas de Tecnologias de Informacin y Comunicaciones.
66. Usuarios
6.7. Organizacién de Seguridad do ia informacion
6.8. Comité de Seguridad de la Informacion...
ARTICULO 7*: Inobservancias a la Seguridad de la Informacién
CAPITULO Il: POLITICA.
‘ARTICULO &*: Politica Corporativa de Seguridad de la Informacion... 9
CAPITULO lil: RECURSOS HUMANOS, COLABORADORES Y USUARIOS
[ARTICULO 9*: Requisitos de Seguridad de la Informacién en Contratos de Trabajo,
Civiles y Comerciale 9
CAPITULO IV: SEGURIDAD FISICA Y DEL ENTORNO.. 14
ARTICULO 10%: Seguridad de Equipos Fuera de las Instalaciones de PETROPERU
past
ARTICULO 11® Seguridad de 10s Gantros de Cémputo foeennne V
CAPITULO V: GESTION DE COMUNICACIONES Y OPERACIONES. 13
‘ARTICULO 12% Control de Riesgos de Seguridad de la Informacion de ios Servicios
de Ofimatice 18
ARTICULO 13°: Iniercambio de Software o de informacién por Vaz, Fax yio Video' 4
ARTICULO 14®: Transmisién de Informacién Confidencial, Sensible o Critica... 14
ARTICULO 158: Uso de Correo Electrénico y AgjuMt0S...snsnnn
ARTICULO 16%: Retencién y Eliminacion de Registros..
CAPITULO VI: CONTROL DE ACCESOS.
ARTICULO 17%: Control de Accesos........
ARTICULO 18% Protector de Pantalla y Escritorio eae
ARTICULO 19%: Uso Servicios de Red.
ARTICULO 20®: Informatica Mévil
ARTICULO 21°: Adquisicion y Desarrollo. : a
ARTICULO 22*: Uso de Controles Criptograficos ..... ev 20
ESTE DOCUMENTO HA SIDO PREPARADO PARA USO EXCLUSIVO DE PETROPERU S.A.
No dobe ser raproducide sin autorlzacién expresa de PETROPERU S.A,‘SEGURIDAD DE LA INFORW
PETROPERU S.A,
DOCUMENTO.
REGLAMIENTO DE SEGURIDAD DELA
INFORMACION,
CAPITULO VIII: RECURSOS HUMANOS E INFORMACION CONFIDENCIAL .
ARTICULO 23%: Proteccién de Datos y Privacidad de la Informacion Personal...
CAPITULO IX: DISPOSICIONES COMPLEMENTARIAS sn
PRIMERA: Aplicacion Supletoria.
‘SEGUNDA: Propuesta de Procedimientes, Formatos y Otros.
TERCERA: Aprobacién de Procedimientos, Formatos y Otros,
CUARTA: Vigencia del Reglamenio...
QUINTA: Difusion y Supervisién del Reglamento,
CAPITULO X: ANEXOS.
‘ANEXO 1: Glosario de Términos .
ANEXO 3: Requisitos do Soguridad de ia Informacién con Emploados,
Colaboradores, Usuarios y Otros Terceros...
ANEXO 4: Modelo Cronograma de Retencion de Regisiros
ANEXO 5: Transmision de Informacién Confidencial, Critica
‘ANEXO 6: Composicién del Comité de Seguridad de la Informacion.
ESTE DOCUMENTO HA IDO PREPARADO PARA USO EXCLUSIVO DE PETROPERU S.A.
No debe ser reproducido sin autorizacion expresa de PETROPERU S.A.‘GERENCIA ‘SEGURIDAD DELA INFORMACION DE] Cigo: MASL-OG2
GENERAL, PETRO: Elaborado: ¢S1
DOCUMENTO W2, Fevisado:_15 Diciembre 200.
‘Comis Sogurded | FECLAMENTO DE SEGURIDADDELA | Version: v.t
delatnormacién INFORMACION Pégina: 440.35
CAPITULO I: DISPOSICIONES GENERALES
ARTICULO 1%; Objetivo
EI Reglamento de Seguridad de la Informacién, desarrollado con sujecién a la Politica
Corporativa de Seguridad de la Informacion y la Norma Técnica Peruana NTP-ISONEC.
17799:2007, tiene por objetivo:
~ _Asegurar una apropiada salvaguarda de todos los activos de informacién a los
que PETROPERU sea sensible.
= Proporcionar asesoria para la Seguridad de la Informacién,
- Pemitir una aplicacién consistente de los coniroles de seguridad de la
Informacién.
= Acceder a una defensa contra alegatos legales.
= educir y controlar los riesgos legales, comerciales y tecnologicos.
= Proteger la buena imagen empresarial de PETROPERU.
ARTICULO 2°: Propésito
La informacién y los medios para su generaciOn, tratamiento, transmision y
almacenamiento, son activos importantes de la institucién y por allo requioren ser
Protegidos. La cisponibilidad, integridad y confidencialidad de la informacién, son
‘esenclales para mantener la operatividad, competitividad, efectividad, proactividad,
cconfiabilidad, continuidad e imagen de PETROPERU.
Para lograr este fin, es necesario contar con un documento normativo, el cual debe ser
redactado de una manera clara y concisa, para comprensién y aplicacién de todos los
usuarios. Se requiere educar y capacitar en forma clara y detallada, sobre las
‘consecuencias de su inobservancia,
ARTICULO 3": Ambito de la Aplicacién
El presente Reglamento serd de aplicacién general y obligatoria para Miembros del
Directorio, Gerente General, Gerentes de Estructura Basica y Complementaria,
Trabajadores en General, Practicantes, Consultores, Prestadores de Servicios
Profesionales, Personal de Contratistas y otros, en adelante “usuarios”, que necesiten
tener acceso a la informacién o recursos de tratamiento de la informacion de
PETROPERU, mientras desempefien sus labores en la misma y exista vinculo laboral,
civil o comercial y, de acuerdo a convenios o normatividad especifica, incluso cuando
cese sus funciones.
ARTICULO 4°; Base Legal y Normatividad Interna
4.1. Normas Legales
— Ley N°27785 Ley Organica del Sistema Nacional de Control de la Contraloria
General de la Repibiica.
— Ley N°27806 Ley de Transparencia y Acceso a la In formacion Publica, TUO de
fecha 22.04.2003, y su Reglamento DS N°072-2003-PCM de fecha 06.08 .2003.
= Ley N"28716 Ley de Contra! Interno de las Entidad es del Estado.
ESTE DOCUMENTO HA SIDO PREPARADO PARA USO EXCLUSIVO DE PETROPERU S.A.
No debe ser reproducide sin autorizaciGn expresa de PETROPERU S.A.Codigo: MASI-002
Elaborado: CSI,
evisado: 15 Dicienbre 2010
"SEGURIDAD DE LA INFORNAGION DE
PETROPERU S.A.
DOCUMENTO NZ
= Resolucién de Contraloria General N° $20-2006-CG de fecha 11.10.2006.
Aprueban las Normas de Control Interno, aplicables a las Entidades del Estado.
- _ Resolucién Ministerial N°246-2007-PCM de fecha 22.08.2007. Aprueba el uso
obligatorio de la Norma Técnica Peruana NTP-ISOMEC 17799:2007.
- Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologia de la
Informacion. Cédigo de Buenas Précticas para la Gestién de la Seguridad de la
Informacién. 2 Edicion.
= Resolucién de Contraloria N° 458-2008-CG de fecha 30.10.2008, Guia para la
Implementacién de Control interno en las Entidades del Estado,
4.2. Normatividad Interna
- Politica Corporativa de Seguridad de la Informacién de PETROPERU.
‘Aprobada con Acuerdo de Directorio N*040-2010 de f echa 29.04.2010.
= Cédigo de Integridad de PETROPERU. Aprobado con Acuerdo de Directorio N°
(004-2010 de fecha 28.01.2010 y Acuerdo de Directorio N°019-2009 de fecha
12.03,2010.
= Normas Intemas de Conducta de PETROPERU, para la Comunicacién de
Hechos de Importancias, Informaciin Reservada y otras Comunicaciones.
‘Aprobada con Acuerdo de Directorio N°105-2008 de fecha 30.11.2009.
- ‘Cédigo de Buen Gobierno Corporativo de PETROPERU. Aprobado con
Acuerdo de Directorio N°107-2010-PP de fecha 20.11 2010.
= Reglamento Interne del Comité de Buenas Practicas de Gobierno Corporativo
de PETROPERU. Aprobado con Acuerto de Directorio N° 044-2010 de fecha
12.05.2010.
= Reglamento Interno de Trabajo de PETROPERU.
— Politica de Conflicto de Intereses de PETROPERU.
= Reglamento de Organizacion y Funciones (ROF) de PETROPERU. Aprobado
‘con Acuerdo de Directorio N’081-2009-PP de fecha 14.07.2008.
= Manual de Organizacién y Funciones (MOF) de PETROPERU.
ARTICULO 5:: Importancia de la Seguridad de la Informacion
La informacion es cada vez més esencial en los procesos de negocio para conseguir y
mantener la rentabiidad y competitividad, gestionar adecuadamente los recursos
internos y externos, gestionar eficazmente las operaciones, obtener y mantener
dlientes y cuota de mercado, asf como gestionar y mantener el conocimiento, entre
otros,
Las organizaciones y su informacion enfrentan amenazas y vuinerabilidades
‘recientes que afectan los elementos de los procesos de negocio, los comunmente
denominados “fallos de seguridad” que pueden ser variados, inciuyendo fraudes
informaticos, fallo electrénico, espionaje, error humano, sabotaje, vandalismo,
incendios, inundaciones u otros. Ciertas fuentes de dafios como virus informéticos y
ataques de intrusién o denegacién de servicios se estén volviendo cada vez mas
‘comunes, ambiciosos y sofisticados.
Dado que la informacién adopta diversas formas, puede estar impresa o escrita en
papel, almacenada electrénicamente, transmitida por correo o por medios electrénicos,
mostrada en video o habiada en conversacién, és'a deberd protegerse
[ESTE DOCUMENTO HA SIDO PREPARADO PARA USO EXCLUSIVO DE PETROPERU S.A
No debe ser reproducio sn etorzacién expresa de PETROPERU S.A“SEGURIDAD DE LA INFORMAGT
PETROPERU|
DOCUMENTO
‘Comité Seguridad | FEGLAMENTO DE SEGURIDAD DELA
dea lntormacién, INFORMACION,
adecuadamente, cualquiera que sea la forma que tone o los medios por os que se
‘comparta 0 almacene en PETROPERU.
Los usuarios deben ser conscientes, que la importancia de la informacion es
roporcional al valor empresarial de sus procesos, lo que hace necesario adoptar
‘mecanismos de gestion de seguridad de la informacién, entre los que se pueden
Contar la politica, reglamento, procedimientos, estructura organizacional y soluciones
tecnoligicas sobre la base de esténdares probados y reconocides, tanto a nivel
nacional como intemacional,
La seguridad de la informacién se define como la salvaguarda de la inforrmacién para:
+ Su confidencialidad, asegurando que solo quienes estén aulorizados puedan
acoeder a la informacién;
+ Su integridad, asegurando que la informacién y sus métodos de proceso sean
exactos y completos;
* Su disponibilidad, asegurando que los usuatios autorizados tengan acceso @
la informacién cuando la requieran.
[ARTICULO 6%: Organizacién y Funciones en Seguridad de la Informacién
La organizacién y funciones para la seguridad de la informacién se asignan de la
forma siguiente:
6.1. Directorio
= Aprobar la Politica Comporativa de Seguridad de la informacién y sus
moditicaciones.
= Aprobar el Reglamento de Seguridad de la Informacion y sus modificaciones.
6.2. Gerente General
= Difundir la Politica Corporativa, Reglamento y Procedimientos de Seguridad de
la informacion,
~ Aprobar los provedimientos y cualquier otra disposicién complementaria de
seguridad de la informacién, que las Gerencias de la Estructura Basica
propongan segin su competencia.
= Aprobar las propuestas del Comité de Seguridad do la Informacién, para
asegurar el correcto entendimionto de la Politica Corporativa, Reglamento y
Procedimientos de Seguridad de la Informacion y, que todos los usuarios se
‘comprometan razonablemente a su cumplimiento,
= Aprobar ls iniciativas para mejorar la seguridad de la informacion.
= Aprobar la evaluacién anual y el plan anual de la gestion de seguridad de la
informacién.
6.3. Gerentes de Estructura Bésica
= Difundir ta Poltica Corporativa, Regiamento y Procedimientos de Seguridad de
{a Informacion, asegurando su razonable entendimiento y cumplimiento.
= Asignar recursos para el cumplimiento de la Politica Corporativa, Regiamento y
Procedimientos de Seguridad de Informacion, requeridos por el Comité de
‘Seguridad de la Informacién.
ESTE DOCUMENTO HA SIDO PREPARADO PARA USO EXCLUSIVO DE PETROPERU S.A.
'No debe ser reproducide sin autorizacién expresa de PETROPERU S.A."SEGURIDAD BE LA INFORMACION DE
PETROPERU
DOCUMENT N'2
‘Comité Seguridad | ~~ REGLAMENTO DE SEGURIDAD DE LA
se lainformacicn INFORMACION,
- Proponer a Gerencia General, segtin su competencia, la aprobacién de los
procedimientos y cualquier otra disposicion complomentaria de Seguridad de la
Informacion.
6.4. Propietario del Activo de Informacién
= Velar por la seguridad del activo de informacion que esta a su cargo.
— Supervisar la implementacién y el mantenimiento de los controles que aplican
al activo de informacién.
= Clasificar la informacion en términos de su valor, confidencialidad, criticidad y
sensibilidad para PETROPERU.
6.5. Oficinas de Tecnologias de Informactén y Comunicaciones
- Administrar, monitorear y operar en forma segura las redes y sistemas
informéticos de PETROPERU.
= Faciltar los mecanismos técnicos que permitan dar cumplimianto a la Politica
Corporativa, Reglamento y Procecimientos de Seguridad de la Informacién,
- Hacer cumpiir las nommas y procedimientos de Seguridad Informatica.
Usuarios
~ Proponer alternativas de mejoras en la seguridad de la informacion.
~ Reportar cuala
segtin procedimiento de gestién de incidentes.
- Incluir fa cléusula confidencialidad y de seguridad de la informacién en os.
‘coniratos con tercaros, clientes y proveedores.
= Asumir responsabilidad en la generacién, tratamiento, transmision
almacenamiento de los activos de informacion que usan en él ejercicio de sus,
funciones.
6.7. Organizacién de Seguridad de la Informacion
= Proponer al Comité la actualizacion de la Politica Corporativa, el Reglamento y
los Procedimientos de seguridad de la informacién,
= Revisar y proponer propietatios para cada activo de informacién.
- _ Formular eriterios de clasiticacién de la informacién.
~ _ Revisar y mantener actualizado el inventario de actives de informacién.
~ _Presentar normas complementarias, précticas de gestién y procadimientos,
razonable para que todos los
usuarios cumplan la politica, reglamento y procedimientos de seguridad de la
disefiados para proporcionar una convi
informacion.
= Analizar_y hacer seguimiento sobre los incidentes en seguridad de ta
informacién,
= Coordinar la ejecucién periédica de la evaluacién de riesgos y proponer
controles de tratamiento de riesgos, en linea con el Sistema de Control Interno.
= Asogurar que la implementacion de controles de seguridad de la informacion
sea ejecutada.
= Desarrallar y proponer planes y programas de concientizacién y capacitacion
fen temas de seguridad de la informacion,
ESTE DOCUMENTO HA SIDO PREPARADO PARA USO EXCLUSIVO DE PETROPERU S.A.
Wo debe ser reproducido sin autorizacién expresa de PETROPERU S.A,
incidente de seguridad de la informacién a la Organizacion
de Seguridad de fa informacion ¢ al Comité de Seguridad de la Informacién,GERENCIA ‘SEGURIDAD DELA INFORMACION DE | Codigo: MAST0G2 ——]
GENERAL PETROPERU S.A, Elaborado: OS!
DOCUMENTO N'2 [Revisado: 1s Diembre 2010
‘Comité Seguridad [—REGLAMENTO DE SEGURIDADDELA | Versién: v.1
dela Informacion, INFORMACION, Paging: 8 de 35
6.8. Comité de Seguridad de Ia Informacién
- Identificar las metas de seguridad de la informacién, relacionarlas con las
‘exigencias organizacionales e integrarlas en los procesos relevantes.
= Planiticar y coordinar la ejecucién periddica de la evaluacién de riesgos y
| roponer controles para ol tratamiento de los mismos.
— Proponer planes, programas y presupuesto para mantener la concientizacion
de la seguridad de la informacién.
= Proponer la actualizacién de la Politica Comporativa, Reglamenio y
Procedimientos de seguridad de la informacién.
= Proponer a la Gerencia General la inclusién de roles y responsabilidades de
seguridad de la informacion en el Reglamenio de Organizacién y Funciones,
Manual de Organizacién y Funciones y, Descripciones de Puesto,
- Monitorear el cumplimionto do ta Politica Corporativa, Reglamento y
Procedimientos de seguridad de la informacién, verificando su efectividad y
correcta implementacion,
~ Proponer convenios con especialistas en seguridad de la informacién para
recibir asesoria.
— Solictar fos recursos necesarios para establecer y respaldar las iniciativas,
{ para mejorar la seguridad de la informacion.
= Reunirse ordinariamente, segun su plan anual de trabajo, por lo menos cada
dos (2) meses, utilzando la faciidad de videoconferencia con la que cuenta
PETROPERU, de las cuales dos (2) serdn presenciales; y, extraordinariamente
‘cuando sea convocado por Gerencia General o alguno de sus miembros.
| = Los miembros designados en el Comité de Seguridad de Informacién, salvo los
representantes de la Gerencia Departamento Tecnologias de Informacion y
Comunicaciones y de la Unidad Seguridad de Oficina Principal, seran
renovados cada dos (2) afios. La designacién es hecha por Gerencia General,
‘conforme a la composicién establecida en el Anexo 6,
= Lorno previsto expresamente en el presente Reglamento, seré resuelto por el
‘Comité de Seguridad de la Informacion.
ARTICULO 7: Inobservanclas a la Seguridad de la Informacién
Ei no cumpiimiento de la Poltica Corporativa, Reglamento y Procedimientos de
Seguridad de la Informacion, asi como de cualquier oiro proceso, lineamiento o pauta