POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA … · 2020-03-19 · publicada en el repositorio...

E-GES-FM-009 Versión. 9.0

Enero de 2020

POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

MACROPROCESO DE DIRECCIONAMIENTO ESTRATÉGICO PROCESO DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN Código: E-SIN-DE.001 Versión: 10.0 Vigente desde Marzo de 2020

Recuerde: Si este documento se encuentra impreso no se garantiza su vigencia, por lo tanto, se considera “Copia No Controlada”. La versión vigente se encuentra publicada en el repositorio de documentos SIG del DASCD.

Carrera 30 No 25 – 90, Piso 9 Costado Oriental. Tel: 3 68 00 38 Código Postal: 111311 www.serviciocivil.gov.co

Página 2 de 10 E-GES-FM-009 V9

POLÍTICA GENERAL DE SEGURIDAD Y

PRIVACIDAD DE LA INFORMACIÓN

Bogotá, D.C., Versión 10.0, Marzo, de 2020

http://www.serviciocivil.gov.co/





CONTENIDO 1. INTRODUCCIÓN .................................................................................................................. 4

2. OBJETIVOS .......................................................................................................................... 4

3. APLICABILIDAD ................................................................................................................... 4

4. POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN ................. 4

5. CONDICIONES PARA EL DESARROLLO DE LA POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN. ........................................................................................ 5

6. POLÍTICAS DE TRATAMIENTO DE DATOS PERSONALES ............................................... 6

7. SANCIONES POR EL INCUMPLIMIENTO DE LAS POLÍTICAS .......................................... 8

8. ATENCIÓN DE PETICIONES, CONSULTAS Y RECLAMOS. .............................................. 8

9. GLOSARIO ........................................................................................................................... 9






1. INTRODUCCIÓN El Departamento Administrativo del Servicio Civil Distrital - DASCD, entendiendo la importancia de una adecuada gestión de la información, está comprometido con la implementación del sistema de gestión de seguridad de la información, buscando establecer un marco de confianza para el ejercicio de sus deberes con el Estado y los ciudadanos, todo con base en el estricto cumplimiento de las leyes y en concordancia con la misión y visión de la entidad. Esta Política debe ser adoptada por los funcionarios, contratistas, ciudadanía y usuarios, que tengan algún tipo de relación con el DASCD. La Política está basada en el cumplimiento de la normatividad legal colombiana vigente, en las buenas prácticas de seguridad de la información, la norma ISO 27001/2013 y el Modelo de Seguridad y Privacidad de la Información – MSPI del Ministerio de Tecnologías de la Información y las Comunicaciones. 2. OBJETIVOS Proteger contra amenazas y vulnerabilidades los activos de información del DASCD en especial los datos personales administrados, garantizando la confidencialidad, disponibilidad e integridad de la información, con el fin de asegurar la continuidad del negocio y gestionar los riesgos asociados. Esta política permite cumplir con los principios de seguridad de la información, mantener la confianza y fortalecer la cultura de seguridad de la información de: ciudadanos, usuarios del SIDEAP, entidades gubernamentales y servidores públicos que se relacionan con el DASCD, para de esta forma cumplir con la misión y los objetivos estratégicos de la Entidad. 3. APLICABILIDAD Las políticas de Seguridad y Privacidad de la Información aplican y son de obligatorio cumplimiento para la Alta Dirección, Subdirectores, Jefes de Oficina, funcionarios, contratistas particulares, ciudadanía en general y usuarios de la información en la ejecución de funciones, obligaciones, responsabilidades y conducta. También aplican para los procesos misionales, de apoyo, de control y seguimiento, estratégicos y documentos que se generen en cumplimiento de los propósitos y objetivos del DASCD. 4. POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN El Departamento Administrativo del Servicio Civil Distrital, a través de la Política General de Seguridad y Privacidad de la información busca proteger la información, gestionar los riesgos y proteger los activos de información (entendidos como las personas y todo elemento que interviene en el tratamiento de información y tiene valor para la entidad), por lo que considera necesario implementar un conjunto de controles y procedimientos para alcanzar un correcto nivel de seguridad que permita responder por la integridad, confidencialidad y la disponibilidad de la






información. El desarrollo e implementación del MSPI está determinado por las siguientes premisas:

• Gestionar el riesgo de seguridad de la información. • Proteger al DASCD contra amenazas y vulnerabilidades de sus activos de información en

especial los datos personales sensibles. • Garantizar la confidencialidad, disponibilidad e integridad de la información • Asegurar la continuidad del negocio • Mantener la confianza de los ciudadanos, entidades gubernamentales y servidores

públicos. • Apoyar la innovación tecnológica. • Fortalecer la cultura de seguridad de la información en servidores públicos, proveedores,

entes gubernamentales y ciudadanos que se relacionan con el DASCD. • Asegurar el cumplimiento de leyes y decretos aplicables, en particular los relacionados

con la protección de datos personales. 5. CONDICIONES PARA EL DESARROLLO DE LA POLÍTICA GENERAL DE

SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN.

5.1. Las responsabilidades y roles frente a la seguridad de la información son definidas de acuerdo con las funciones y los cargos de los funcionarios, compartidas, publicadas y aceptadas por cada uno de sus funcionarios, terceros, aprendices, practicantes, proveedores y la ciudadanía en general.

5.2. El Departamento Administrativo del Servicio Civil Distrital identifica, clasifica, inventaría,

gestiona y determina la publicación y divulgación de los activos de información e información clasificada y reservada de los procesos del Departamento, generados en el ejercicio de sus funciones.

5.3. El Departamento Administrativo del Servicio Civil Distrital protege la información

generada, procesada o resguardada por los procesos de la entidad, su infraestructura tecnológica y activos, del riesgo que se genera, de los accesos otorgados a terceros (ej.: proveedores o clientes), o como resultado de un servicio tercerizado.

5.4. El Departamento Administrativo del Servicio Civil Distrital protege la información creada,

procesada, transmitida o resguardada por los procesos de la entidad, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.

5.5. El Departamento Administrativo del Servicio Civil Distrital protege su información de las

amenazas originadas por parte del personal.






5.6. El Departamento Administrativo del Servicio Civil Distrital protege las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.

5.7. El Departamento Administrativo del Servicio Civil Distrital controla la operación de sus

procesos garantizando la seguridad de los recursos tecnológicos y las redes de datos.

5.8. El Departamento Administrativo del Servicio Civil Distrital implementa controles de acceso a la información, sistemas y recursos de red.

5.9. El Departamento Administrativo del Servicio Civil Distrital garantiza que la seguridad sea

parte integral del ciclo de vida de los sistemas de información.

5.10. El Departamento Administrativo del Servicio Civil Distrital garantiza a través de una adecuada gestión de los incidentes de seguridad de la información la continuidad de su operación.

5.11. El Departamento Administrativo del Servicio Civil Distrital implementa una apropiada

gestión de cambios en su infraestructura tecnológica.

5.12. El Departamento Administrativo del Servicio Civil Distrital garantiza la disponibilidad de sus procesos y la continuidad de su operación con base en el impacto que pueden generar los eventos.

5.13. El Departamento Administrativo del Servicio Civil Distrital garantiza el cumplimiento de

las obligaciones legales, regulatorias y contractuales establecidas. 6. POLÍTICAS DE TRATAMIENTO DE DATOS PERSONALES Con la expedición de la Ley 1581 de 2012 y el respectivo Decreto Reglamentario 1074 de 2015 en el capítulo 25, se desarrolla el derecho constitucional que tienen todas las personas naturales a conocer, actualizar y rectificar todo tipo de información recogida o, que haya sido objeto de tratamiento de datos personales en bancos o bases de datos y, en general en archivos de entidades públicas y/o privadas. El Departamento Administrativo del Servicio Civil Distrital, como entidad de carácter público informa que, con ocasión de sus funciones, ha adelantado con anterioridad a la entrada en vigencia del Decreto 1377 de 2013, derogado por el decreto 1074 de 2015, la recolección, almacenamiento, uso circulación y, en general el procesamiento de los datos relacionados con los empleados públicos y contratistas de prestación de servicios, en el formato Único de hoja de vida y las plantas de personal. Las políticas de tratamiento de Información establecen los mecanismos para que los titulares de datos personales ejerzan sus derechos a conocer, modificar, suprimir, solicitar copia de su






autorización o interponer consultas o reclamos sobre sus datos personales, sea informado sobre el uso que se da a sus datos personales y revocar la autorización otorgada, estas son:

6.1. Los datos personales proporcionados al Departamento Administrativo del Servicio civil Distrital, son objeto de tratamiento (recolección, almacenamiento, uso, circulación o supresión), con el objeto de darle la finalidad específica para la que fueron suministrados y el cumplimiento de las funciones constitucionales y legales de la Entidad, según la reglamentación de la respectiva función o del servicio en virtud del cual el titular proporcionó dichos datos.

6.2. El tratamiento de los datos personales se realiza con la finalidad de dirigir y ejecutar la

gestión del servicio civil en el Distrito Capital, proponer y orientar la implementación de políticas, estrategias y acciones para el fortalecimiento de la gestión integral del talento humano.

6.3. El tratamiento de datos personales es requerido en el desarrollo de procesos de apoyo

de la entidad específicamente los siguientes: 6.3.1. Talento Humano: el tratamiento de los datos se realiza para la vinculación,

desempeño de funciones o prestación de servicios, retiro o terminación, dependiendo del tipo de relación jurídica entablada con el Departamento Administrativo del Servicio civil Distrital (incluye, entre otros, funcionarios, exfuncionarios, practicantes, aspirantes a cargos y contratistas).

6.3.2. Proveedores y Contratistas: el tratamiento de los datos se realiza para los fines relacionados con el desarrollo del proceso de gestión contractual de productos o servicios que el Departamento Administrativo del Servicio civil Distrital requiera para su funcionamiento de acuerdo con la normatividad vigente.

6.3.3. Visitantes: el tratamiento se realiza para la vigilancia y seguridad de las personas, los bienes e instalaciones del Departamento Administrativo del Servicio civil Distrital.

6.4. La modalidad de divulgación del dato personal ocurre de manera legítima, cuando la

motivación de la solicitud de información está basada en una clara y específica competencia funcional del Departamento Administrativo del Servicio civil Distrital.

6.5. El titular tiene derecho a optar por no suministrar cualquier información sensible solicitada

por el Departamento Administrativo del Servicio civil Distrital, relacionada, entre otros, con datos sobre su origen racial o étnico, la pertenencia a sindicatos, organizaciones sociales o de derechos humanos, convicciones políticas, religiosas, de la vida sexual, datos biométricos o datos de salud.

6.6. El suministro de los datos personales de menores de edad es facultativo y debe realizarse

con autorización del padre, la madre o representante legal del menor.






6.7. El Departamento Administrativo del Servicio civil Distrital vela por el uso adecuado de los datos personales de los niños, niñas y adolescentes y respetará en su tratamiento el interés superior de aquellos, asegurando la protección de sus derechos fundamentales.

6.8. Una vez el Departamento Administrativo del Servicio civil Distrital accede al dato personal

se convierte en responsable y encargado del tratamiento del dato, con el deber de garantizar los derechos fundamentales del titular de la información, previstos en la Constitución Política y en consecuencia debe:

6.8.1. Conservar con las debidas seguridades la información recibida para impedir su deterioro, pérdida, alteración, uso no autorizado o fraudulento.

6.8.2. Guardar reserva de la información que le sea suministrada por el titular en los términos señalados en el ordenamiento jurídico vigente aplicable a la materia.

6.8.3. Utilizar los datos personales únicamente para los fines que justificaron la entrega, esto es, aquellos relacionados con la competencia funcional específica que motivó la solicitud de suministro del dato personal.

6.8.4. Informar a los titulares del dato el uso que le esté dando al mismo, en caso de requerirlo el titular.

6.8.5. Cumplir con las instrucciones que imparta la autoridad de control, en relación con el cumplimiento de la legislación estatutaria.

7. SANCIONES POR EL INCUMPLIMIENTO DE LAS POLÍTICAS El incumplimiento a la política de Seguridad y Privacidad de la Información, traerá consigo, las consecuencias legales que apliquen a la normativa de la Entidad, incluyendo lo establecido en las normas que competen al Gobierno nacional y territorial en cuanto a Seguridad y Privacidad de la Información se refiere. 8. ATENCIÓN DE PETICIONES, CONSULTAS Y RECLAMOS. Los titulares de datos personales para ejercer sus derechos a conocer, modificar, suprimir, solicitar copia de su autorización o interponer consultas o reclamos sobre sus datos personales, ser informado sobre el uso que se da a sus datos personales y revocar la autorización otorgada, cuentan con los siguientes canales de comunicación:

- Correo electrónico [email protected], - Nuestra oficina ubicada en la carrera 30 # 25-90 piso 9 costado oriental.

Para facilitar a los titulares la realización de una reclamación sobre el tratamiento de datos personales, se dispone el formato E-SIN-FM-007 - RECLAMACIÓN DE TRATAMIENTO DE DATOS PERSONALES, el cual se puede descargaren el enlace: https://www.serviciocivil.gov.co/portal//sites/default/files/RECLAMACION_SOBRE_TRATAMIENTO_DATOS_PERSONALES/E-SIN-FM-007_FORMATO_RECLAMACION_DATOS_PERSONALES_V1.xlsx


mailto:[email protected]

https://www.serviciocivil.gov.co/portal/sites/default/files/RECLAMACION_SOBRE_TRATAMIENTO_DATOS_PERSONALES/E-SIN-FM-007_FORMATO_RECLAMACION_DATOS_PERSONALES_V1.xlsx

https://www.serviciocivil.gov.co/portal/sites/default/files/RECLAMACION_SOBRE_TRATAMIENTO_DATOS_PERSONALES/E-SIN-FM-007_FORMATO_RECLAMACION_DATOS_PERSONALES_V1.xlsx





Y puede ser entregado en la ventanilla de correspondencia en las instalaciones del Departamento Administrativo del Servicio Civil Distrital o enviado al correo [email protected]. 9. GLOSARIO Estándar: Regla que especifica una acción o respuesta que se debe seguir a una situación dada. Los estándares son orientaciones obligatorias que buscan hacer cumplir las políticas. Los estándares son diseñados para promover la implementación de las políticas de alto nivel de la entidad antes de crear nuevas políticas. Gestión de Riesgos: Proceso de identificación, control y minimización o eliminación, a un coste aceptable, de los riesgos que afecten a la información de la entidad. Incluye la valoración de riesgos y el tratamiento de los riesgos. Incidente: Evento único o serie de eventos de seguridad de la información inesperados o no deseados que poseen una probabilidad significativa de comprometer operaciones del negocio y amenazar la seguridad de la información. Información: Datos dotados de significado y propósito. Datos relacionados que tienen significado para la Entidad. Mejor Práctica: Una regla de seguridad específica o una plataforma que es aceptada, a través de la industria al proporcionar el enfoque más efectivo a una implementación de seguridad concreta. Las mejores prácticas son establecidas para asegurar que las características de seguridad de los sistemas utilizados con regularidad estén configurados y administrados de manera uniforme, garantizando un nivel consistente de seguridad a través de la entidad. Política: Declaración de alto nivel que describe la posición de la entidad sobre un tema específico. Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Seguridad: Una condición que resulta del establecimiento y mantenimiento de medidas de protección que permiten a una empresa cumplir su misión o funciones críticas a pesar de los riesgos que plantean las amenazas a su uso de los sistemas de información. Las medidas de protección pueden incluir una combinación de disuasión, evitación, prevención, detección, recuperación y corrección que debe formar parte del enfoque de gestión de riesgos de la empresa. Tratamiento del riesgo: a partir del riesgo definido, se aplican los controles con los cuales se busca que el riesgo no se materialice.






Usuario: Datos dotados de significado y propósito. Datos relacionados que tienen significado para la Entidad. Vulnerabilidad: Debilidad en la seguridad de la información de una organización que permite potencialmente que una amenaza afecte a un activo. CONTROL DE CAMBIOS:

ELABORACIÓN, REVISIÓN Y APROBACIÓN:

ETAPA NOMBRE Y CARGO Elaboró / Actualizó JUAN MANUEL ZAPATA FORERO – PROFESIONAL ESPECIALIZADO

Revisó LUIS FERNANDO MONTERO LANCHEROS - JEFE DE OFICINA TECNOLOGÍAS DE LA INFOMACIÓN Y LAS COMUNICACIONES

Aprobó LUIS FERNANDO MONTERO LANCHEROS - JEFE DE OFICINA TECNOLOGÍAS DE LA INFOMACIÓN Y LAS COMUNICACIONES

Declaramos que hemos revisado el presente documento y lo encontramos ajustado a las normas y disposiciones legales.

VERSIÓN No. FECHA DESCRIPCIÓN DE LA MODIFICACIÓN

1 Febrero 2009 Elaboración Políticas de Seguridad Informática

2 Enero 2010 Actualización Políticas de Seguridad Informática 3 Marzo 2011 Actualización Políticas de Seguridad Informática 4 Marzo 2012 Actualización Políticas de Seguridad Informática 5 Agosto 2013 Actualización Políticas de Seguridad Informática 6 Octubre 2014 Actualización Políticas de Seguridad Informática 7 Noviembre 2015 Actualización a Políticas de Seguridad de la Información 8 Mayo de 2016 Actualización a Políticas de Seguridad de la Información 9 Julio de 2018 Actualización a Política General de Seguridad y Privacidad de la Información

10 Marzo de 2020 Actualización del formato del documento y del punto 8. atención de peticiones, consultas y reclamos


POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA … · 2020-03-19 · publicada en el repositorio...

Documents

Transcript of POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA … · 2020-03-19 · publicada en el repositorio...