1. INTRODUCCIÓN
El Servicio Geológico Colombiano tiene la necesidad de diseñar, establecer, implementar, operar y mantener un Sistema de Gestión Integrado que contemple los aspectos de Seguridad y Privacidad de la información basada en ISO27001:2013 y la ley 1581, así como los aspectos de Continuidad del Negocio basados en ISO22301:2012.
Debido a lo anterior, este documento tiene como fin establecer la Política del Sistema de Gestión Integrado de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio para el SGC.
2. OBJETIVO GENERAL
Definir la política del Sistema de Gestión Integrado de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio para el SGC, con el fin de establecer los lineamientos requeridos por los estándares ISO27001:2013, ISO22301:2012, y la ley 1581 del 2012 y de esta manera garantizar su cumplimiento.
2.1. OBJETIVOS ESPECÍFICOS
Establecer las responsabilidades y deberes de la alta dirección, funcionarios, contratistas y usuarios en general con el Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio.
Garantizar la asignación de recursos administrativos y financieros necesarios para alcanzar y mantener los objetivos del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales Y Continuidad de Negocio.
Establecer los lineamientos mínimos necesarios para dar cumplimiento a los estándares que conforman el Sistema de Gestión Integrado.
3. POLÍTICA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, PROTECCIÓN DE DATOS PERSONALES Y CONTINUIDAD DE NEGOCIO
El Servicio Geológico Colombiano como Instituto de Ciencia y Tecnología, en cumplimiento de sus funciones y entendiendo la importancia de una adecuada gestión de la información, se ha comprometido con el establecimiento, implementación y mejora continua del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio, como mecanismo para identificar y mitigar los riesgos asociados a la generación e integración de conocimientos, el levantamiento, compilación, validación, almacenamiento y suministro de información geocientífica, en el ejercicio de sus deberes con el Estado y los ciudadanos, enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la entidad.
El conocimiento geocientífico es la base para el progreso social y económico del país, por lo tanto, los datos y la información generada en las etapas de investigación y desarrollo de los productos misionales, se almacenan de forma integrada en los fondos documentales y repositorios institucionales, asegurando su confiabilidad para suministrarla a nuestros usuarios. El Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio establece los mecanismos para proteger, recuperar y conservar la información física y digital en el tiempo, asegurando su integridad, confidencialidad, disponibilidad, interacción y usabilidad, consolidando la cultura de seguridad de la información y protección de la propiedad intelectual del Servicio Geológico Colombiano.
Esta política aplica a la Entidad según lo establecido en el alcance del sistema a: activos y contenedores de información gestionados por todos los procesos, así como a todos los funcionarios, contratistas, proveedores y la ciudadanía en general que generen, accedan o utilicen información de la Entidad, con el fin de garantizar su confidencialidad, integridad y disponibilidad. Esto teniendo en cuenta que los principios sobre los que se basa el desarrollo de las acciones o toma de decisiones alrededor del sistema integrado estarán determinadas por las siguientes premisas:
- Minimizar el riesgo en las funciones más importantes de la entidad.
- Cumplir con los principios de seguridad de la información, protección de datos personales y continuidad del negocio.
- Cumplir con los principios de la función administrativa.
- Mantener la confianza de sus clientes, socios y empleados.
- Apoyar la innovación tecnológica.
- Proteger los activos tecnológicos.
- Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información, protección de datos personales y continuidad del negocio.
- Fortalecer la cultura de seguridad de la información, protección de datos personales y continuidad del negocio en los funcionarios, terceros, aprendices, practicantes y clientes del SGC.
- Garantizar la continuidad del negocio frente a incidentes.
Por lo anterior, se definen los siguientes roles: Oficial de Seguridad de la Información, Oficial de Protección de Datos Personales y Oficial de Continuidad, al igual que los equipos de trabajo comités de: Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio y Crisis. Estos roles deben encontrase libre de conflicto de intereses por ende deben depender de la Alta Dirección del SGC, con el fin de monitorear y dar cumplimiento a las políticas establecidas en Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio.
Cabe destacar que el SGC, cuenta con el comité Institucional de Gestión y Desempeño (resolución 093 de 2018), el cual se compromete a desarrollar las funciones dependiendo del Rol que se requiera según las necesidades, es decir deberá hacer las veces de los Comités mencionados anteriormente.
De igual manera el Servicio Geológico Colombiano se compromete con lo siguiente:
- El SGC deberá asegurar que las políticas y los objetivos del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales Y Continuidad de Negocio sean adecuados al propósito de la institución.
- El SGC dispondrá los recursos administrativos y financieros necesarios para alcanzar y mantener los objetivos del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales Y Continuidad de Negocio.
- El SGC protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.
- El SGC gestionará los riesgos Seguridad de la Información, Protección de Datos Personales y Continuidad de Negocio acorde con la metodología de gestión de riesgos aprobada.
- El SGC protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.
- El SGC controlará la operación de sus procesos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.
- El SGC implementará control de acceso a la información, sistemas y recursos de red.
- El SGC garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.
- El SGC garantizará a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.
- El SGC garantizará la disponibilidad de sus procesos de negocio y la continuidad de su operación basada en el impacto que pueden generar los eventos.
- El SGC deberá velar por el cumplimiento de los requisitos legales o reglamentarios y las obligaciones contractuales en materia de Seguridad de la Información, Protección de Datos Personales Y Continuidad de Negocio, que le apliquen a la institución, para esto se han definido los siguientes documentos como pilares del Sistema de Gestión de Seguridad de la Información, Protección de Datos Personales Y Continuidad de Negocio, los cuales también deben ser cumplidos por funcionarios, contratistas y usuarios en general del sistema: