MINISTERIO DE SALUD

No

-

201 Ski idsn

,k,_1CA DES

?

'í5

dei 20 ,1,5

Visto, el Expediente N° 14-066417-001 que contiene el Informe N' 002-2015-0GE1-01TOFISEG/MINSA de la Oficina General de Estadística e Informática del Ministerio de Salud; y, CONSIDERANDO: Que, el artículo 9° de la Ley N° 29733, Ley de Protección de Datos Personales, establece que el titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate; Que, mediante Resolución Ministerial N° 520-2006/MINSA, del 30 de mayo de 2006, se aprobó el documento técnico "Lineamientos de Política de Seguridad de la Información del Ministerio de Salud", con el fin de preservar la integridad, disponibilidad y confidencialidad de la información del Ministerio de Salud, en todos sus medios de soporte y tratamiento; A. Velásquez

S. RUIZ Z.

G?

1. avlí a S.

Que, mediante Resolución Ministerial N° 246-2007-PCM, se aprobó el uso obligatorio de la Norma Técnica Peruana "NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2a Edición" en todas las entidades integrantes del Sistema Nacional de Informática, con la finalidad de establecer un modelo integral para el desarrollo de los planes de seguridad de la información en la Administración Pública; Que, la Norma Técnica Peruana referida en el considerando precedente, señala que la Política de Seguridad de la Información, tiene como objetivo dirigir y dar soporte a la gestión de seguridad de la información en concordancia con los requerimientos de la institución, las leyes y las regulaciones; correspondiendo a la Alta Dirección establecer las líneas de la ,política de actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo una Política de Seguridad en toda la organización; Que, la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros recomienda la aplicación y el uso de la "NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información. Técnicas de seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos.", de manera progresiva, en todas las entidades que integran el Sistema

Nacional de Informática, con la finalidad de coadyuvar con la infraestructura de Gobierno Electrónico, complementando así lo dispuesto por la Resolución Ministerial N° 246-2007-PCM antes señalada; Que, en tal sentido, mediante Resolución Ministerial N° 129-2012-PCM, se aprueba el uso obligatorio de la Norma Técnica Peruana "NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos", en todas las entidades integrantes del Sistema Nacional de Informática, estableciendo que su control deberá ser implementado de acuerdo a las recomendaciones de la Norma Técnica Peruana "NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información"; Que, mediante Resolución Comisión de Normalización y de Fiscalización de Barreras Comerciales no Arancelarias N° 129-2014/CNB-INDECOPI, del Instituto Nacional de Defensa de la Competencia y Protección de la Propiedad Intelectual — INDECOPI, se deja sin efecto la Norma Técnica Peruana "NTP-ISO/IEC 27001:2008" y se aprueba la Norma Técnica Peruana "NTPISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos 2' edición." Que, en atención a los cambios normativos referidos a la gestión de seguridad de la información, con el documento de Visto la Oficina General de Estadística e Informática propone la aprobación del Documento Técnico "Política de Seguridad de la Información del Ministerio de Salud", resultando necesario emitir el acto resolutivo correspondiente; Con el visado de la Directora General de la Oficina General de Asesoría Jurídica, del Director General de la Oficina General de Estadística e Informática y de la Secretaria General; y, De conformidad con lo dispuesto en la Ley N° 29158, Ley Orgánica del Poder Ejecutivo; en la Ley N° 29733, Ley de Protección de Datos Personales y en el Decreto Legislativo N° 1161, Ley de Organización y Funciones del Ministerio de Salud; SE RESUELVE: Artículo 1.- Aprobar el Documento Técnico "Política de Seguridad de la Información del Ministerio de Salud - MINSA", que como Anexo forma parte integrante de la presente Resolución Ministerial. Artículo 2.- Dejar sin efecto la Resolución Ministerial N° 520-2006/MINSA y cualquier

otra disposición que se oponga a la presente Resolución Ministerial. Artículo 3.- Disponer que la presente Resolución Ministerial se notifique a la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros. S. RUIZ Z.

Artículo 4.- Disponer que la Oficina General de Comunicaciones publique la presente Resolución Ministerial en el Portal Institucional del Ministerio de Salud en la dirección electrónica: P,

U.

http://www.minsa.gob.pe/transparencia/dge normas.asp

Regístrese, comuníquese y publíquese

ANÍBAL VELÁSQUEZ VALDIVIA Ministro de Salud

Ministerio de Salud

DOCUMENTO TÉCNICO: POLÍTICA DE SEGURIDAD DE LA INFORNIACIÓN DEL MINISTERIO DE SALUD

DOCUMENTO TÉCNICO: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL MINISTERIO DE SALUD

Contenido 1.

Introducción

1

2.

Finalidad

1

3.

Objetivo

1

4.

Base Legal

1

5.

Ámbito de Aplicación

2

6.

Disposiciones Generales

2

7.

Disposiciones Específicas

3

8.

Responsabilidades

5

DOCUMENTO TÉCNICO: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL MINISTERIO DE SALUD

1.

INTRODUCCIÓN

La información en todo tipo de organización, se presenta de muchas formas manuales o automatizadas. En algunos casos la información incluye datos de índole personal. La información junto con los procesos, sistemas, equipamiento de redes, personal técnico y servicios vinculados con el tratamiento de la misma, conforman activos importantes (a los que se les denomina activos de información), que son de vital importancia para el cumplimiento de su misión, visión, funciones, planes y objetivos de la organización. Los activos de información, con el desarrollo de la tecnología, se encuentran disponibles en ambientes cada vez más diversos e interconectados, que los expone a una amplia gama de riesgos que pueden afectar su funcionamiento. Por tal razón, las organizaciones deben proteger adecuadamente la integridad, confidencialidad y disponibilidad de sus activos de información, mediante el tratamiento de los riesgos presentes y la implementación de controles que permitan hacer frente a amenazas de ataque o intromisión, error, actos de la naturaleza (inundación, incendio, etc.) o vulnerabilidades inherentes a su uso; dicha protección es denominada seguridad de la información. La definición, logro, mantenimiento y mejora contínua de la seguridad de la información, se conoce como gestión de seguridad de la información. La gestión de la seguridad de la información requiere como marco de acción y dirección, del establecimiento de políticas de seguridad de la información para que sea aplicado por toda la organización. Este documento técnico identifica dichas políticas de seguridad de la información para su implementación en el Ministerio de Salud.

2.

FINALIDAD

Mantener la continuidad de las operaciones del Ministerio de Salud, en relación a los sistemas de información seguros, minimizando sus riesgos y maximizando los niveles de satisfacción de los usuarios.

3.

OBJETIVO

Establecer los principios para la implementación del Sistema de Gestión de Seguridad de la Información del Ministerio de Salud.

4.

BASE LEGAL Ley N° 27815, Ley del Código de Ética de la Función Pública.

-

Ley N° 29733, Ley de Protección de Datos Personales. Ley N° 30096, Ley de Delitos Informáticos.

-

Decreto Legislativo N° 1161, Ley de Organización y Funciones del Ministerio de Salud. Decreto Supremo N° 003-2013-JUS, que aprueba el Reglamento de la Ley de Protección de Datos Personales.

-

Decreto Supremo N° 043-2003-PCM, que aprueba el Texto Único Ordenado de la Ley N° 27806, Ley de Transparencia y Acceso a la Información Pública. Decreto Supremo N° 023-2005-SA, que aprueba el Reglamento de Organización y Funciones del Ministerio de Salud y sus modificatorias.

-

Decreto Supremo N° 033-2005-PCM, que aprueba el Reglamento del Código de Ética de la Función Pública.

1

DOCUMENTO TÉCNICO: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL MINISTERIO DE SALUD

-

-

Resolución Ministerial N° 129-2012-PCM, que aprueba el uso obligatorio de la Norma Técnica Peruana "NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos" en todas las entidades integrantes del Sistema Nacional de Informática. Resolución Ministerial N° 526-2011/MINSA, que aprueba las "Normas para la Elaboración de Documentos Normativos del Ministerio de Salud". Resolución Directoral N° 019-2013-JUS/DGPDP, que aprueba la Directiva de Seguridad de la Información. Resolución de la Comisión de Normalización y de Fiscalización de Barreras Comerciales No Arancelarias N° 129-2014/CNB-INDECOPI que aprueba la Norma Técnica Peruana "NTP-ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos. 2a Edición."

5.

ÁMBITO DE APLICACIÓN

La Política de Seguridad de la Información del Ministerio de Salud es de aplicación obligatoria en todos los órganos y unidades orgánicas de la Unidad Ejecutora N° 001 Administración Central - Ministerio de Salud; así como, por las personas naturales y jurídicas que le presten servicios, en lo que les corresponda

6.

DISPOSICIONES GENERALES

6.1. DEFINICIONES OPERATIVAS 6.1.1. Activo de información.- Cualquier información o elemento relacionado con el tratamiento de la misma (software, equipos de cómputo y telecomunicaciones, servicio de correo electrónico, servicio de internet, archivadores, entre otros) que tenga valor para la organización. 6.1.2. Confidencialidad.- Característica de la información de poder ser accedida o conocida únicamente por personas, entidades o procesos autorizados. 6.1.3. Control.- Medios para gestionar el riesgo, incluyendo políticas, procedimientos, directrices, prácticas o estructuras de la entidad que pueden ser de naturaleza administrativa, técnica, de gestión o legal. 6.1.4. Coordinador de Seguridad de la Información.Profesional que cumple las funciones de "Oficial de Seguridad de la Información", asesorando y coordinando la implementación de la Norma Técnica Peruana ISO/IEC 27001 vigente en la Administración Central del Ministerio de Salud, así como el mantenimiento, evaluación y mejora continua del Sistema de Gestión de Seguridad de la Información. 6.1.5. Custodio de la Información.- Es la persona o la entidad que tiene la responsabilidad de aplicar y mantener los niveles de protección adecuados en base a las especificaciones dadas por el Responsable de la Información. El rol será asumido generalmente por los administradores de red o el personal que sea contratado para resguardar activos de información. 6.1.6. Datos personales.- Es aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados. 6.1.7. Disponibilidad.- Característica de la información de estar accesible cuando y donde lo requiera una persona, entidad o proceso. 6.1.8. Integridad.- Característica de la información de ser exacta y completa, así como de que no pueda ser alterada o modificada por personas no autorizadas. 2

DOCUMENTO TÉCNICO: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL MINISTERIO DE SALUD

6.1.9.

Mecanismo de autenticación.- Acto o proceso para el establecimiento o confirmación de algo (o alguien) como real. A través de la validación mediante algo conocido, algo poseído o una característica física.

6.1.10. Política.- Intención y directriz aprobada formalmente. 6.1.11. Responsable de la Información.- Para cada órgano o unidad orgánica, es la persona que dirige a dicha instancia, y que tiene la responsabilidad de definir el tratamiento y los niveles de seguridad que se implementarán en la información de su Unidad. 6.1.12. Riesgo.- Combinación de la probabilidad de ocurrencia de un evento y sus consecuencias. 6.1.13. Seguridad de la Información.- Preservación de la confidencialidad, integridad y disponibilidad de la información. 6.1.14. Sistema de Gestión de Seguridad de la Información.- Es un componente del sistema de gestión de una organización, con base en un enfoque de riesgos, que tiene como función establecer, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. El SGSI está conformado por políticas, procedimientos, directrices, recursos y actividades asociadas, gestionadas por la organización, en la búsqueda de la protección de sus activos de información. 6.1.15. Titular de datos personales.- Persona natural a quien corresponden los datos personales. 6.1.16. Usuario de la Información.- Toda persona que utiliza y/o tiene acceso a la información por medios automatizados o manuales. 6.2. El Ministerio de Salud a propuesta de la Oficina General de Estadística e Informática, establece, implementa, opera, monitorea, revisa, mantiene y efectúa el mejoramiento continuo de su Sistema de Gestión de Seguridad de la Información — SGSI, basado en el enfoque documentado para el tratamiento de los riesgos de seguridad de la información, y el cumplimiento de los requisitos establecidos por la NTP ISO/IEC 27001 vigente. 6.3. El tratamiento de activos de información que incluya datos personales se efectúa conforme a lo establecido en la Ley de Protección de Datos Personales. 6.4. Los usuarios de la información son responsables del uso que hagan de la información, así como del cumplimiento de las medidas de seguridad de la información, bajo responsabilidad administrativa, civil o penal.

7. DISPOSICIONES ESPECÍFICAS Política de Seguridad de la Información del Ministerio de Salud

7.1. La información es un activo institucional. El Ministerio de Salud reconoce que, la información que genera y dispone es un activo que, como otros activos importantes, tiene valor para la institución y requiere, en consecuencia, una protección adecuada. En tal sentido, es importante implementar un compromiso con el desarrollo, el mantenimiento de sistemas de información y el tratamiento de información no automatizada. 7.2. Compromiso de la Alta Dirección y de los órganos del Ministerio de Salud. La Alta Dirección demuestra liderazgo y compromiso respecto del Sistema de Gestión de Seguridad de la Información asegurando los requisitos del sistema, los recursos necesarios y comunicando la importancia de una efectiva gestión de seguridad de la información. La Politica de Seguridad de la Información está sujeta a revisiones periódicas, y su cumplimiento es responsabilidad de los órganos y unidades orgánicas del Ministerio de Salud.

3

DOCUMENTO TÉCNICO: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL MINISTERIO DE SALUD

7.3. La seguridad de la información es el soporte de los procesos y procedimientos institucionales.

El Sistema de Gestión de Seguridad de la Información del Ministerio de Salud contribuye al desempeño de los procesos institucionales establecidos, preservando la confidencialidad, integridad y disponibilidad de la información que se requiere, se procesa y se genera; para ello, a propuesta de la Oficina General de Estadística en Informática, se elaboran y aprueban estándares, prácticas, procedimientos, términos legales y regulatorios orientados al sostenimiento de la Política de Seguridad de la Información. 7.4. Personal involucrado con la seguridad de la información. El Ministerio de Salud, a propuesta de la Oficina General de Estadística e Informática, establece los niveles de autoridad y responsabilidad en el Sistema de Gestión de Seguridad de la Información, para asegurar y reportar su desempeño a la Alta Dirección. Los roles involucrados son: a) El Coordinador de Seguridad de la Información. b) Los Responsables de la Información. c) Los Custodios de Información. d) Los Usuarios de la Información. 7.5. Prevención de riesgos y aplicación de controles. Los responsables de la Información deben identificar, evaluar y tratar de manera ineludible los riesgos de seguridad de la información, aplicando formalmente la metodología de riesgos de acuerdo a lo señalado en la Norma Técnica Peruana ISO/IEC 27001 vigente. El Ministerio de Salud, a través de la Oficina General de Estadística e Informática, o la que haga sus veces, elabora y propone para su aprobación dicha metodología. 7.6. Mantener la seguridad de la información en niveles óptimos. El Ministerio de Salud, a través de la Oficina General de Estadística e Informática, evalúa continuamente el desempeño, efectividad y conveniencia del Sistema de Gestión de Seguridad de la Información en relación a sus objetivos institucionales. Todos los problemas de seguridad de la información, reales o bajo sospecha, se reportan, investigan y resuelven mediante los controles establecidos en la Norma Técnica Peruana ISO/IEC 27001 vigente y acarrean las responsabilidades administrativas, civiles y/o penales conforme al marco legal vigente. PBÉ

n relación a la Protección de Datos Personales .7. El bien público en salud respeta los datos personales individuales.

El Ministerio de Salud protege y defiende la salud de la población, como expresión del ejercicio de la Rectoría Sectorial, con pleno respeto del derecho de toda persona a la protección de sus datos personales de acuerdo a lo establecido por la Ley N° 29733, Ley de Protección de Datos Personales. La disponibilidad de listados nominales de pacientes o diagnósticos, debe restringirse a los casos en que es dispuesto por políticas públicas, y el tratamiento de dicha información se realiza con respeto y discreción, con sujeción a la normatividad vigente, difundiéndose sólo como información estadística y en forma anonimizada. 7.8. El tratamiento de datos personales requiere el consentimiento de su titular. El Ministerio de Salud protege la confidencialidad, integridad y disponibilidad de los datos personales a través de la implementación de las medidas técnicas, organizativas y normativas establecidas en la Directiva de Seguridad de la Información a que se refiere la Ley N° 29733, Ley de Protección de Datos Personales.

4

DOCUMENTO TÉCNICO: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL MINISTERIO DE SALUD

Tratándose de datos personales sensibles, el consentimiento debe ser otorgado ya sea mediante la firma manuscrita, la firma digital o cualquier otro mecanismo de autenticación que garantice la voluntad inequívoca de su titular. Las medidas deben implementarse tanto para su tratamiento en el territorio nacional, como para aquel que incluya transferencia de información fuera del territorio nacional.

8. RESPONSABILIDADES 8.1. El Ministerio de Salud, a través de la Oficina General de Estadística e Informática, es responsable de la difusión, supervisión y evaluación del cumplimiento de la Política de Seguridad de la Información. 8.2. Los directores de los diferentes órganos y unidades orgánicas del Ministerio de Salud, son responsables de difundir, aplicar y supervisar el cumplimiento de la Política de Seguridad de la Información. 8.3. Los funcionarios y el personal que labora en el Ministerio de Salud, independiente de su condición o vínculo laboral, son responsables de cumplir lo dispuesto en el presente Documento Técnico.

5