Norma Legal Oficial del día 18 de septiembre del año 2016 (18/09/2016)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 15
El Peruano / Domingo 18 de setiembre de 2016
NORMAS LEGALES
599465
consistencia con sus objetivos de continuidad del negocio. A continuación se detallan las actividades mínimas que deben ser aplicadas en esta fase: a) Ejecución de pruebas: Las pruebas deben ser consistentes con el alcance y objetivos de la gestión de continuidad del negocio, deberán estar basadas en escenarios adecuados y planificados con fines y objetivos definidos. Cada prueba debe tener un reporte que resuma los resultados alcanzados, recomendaciones y acciones para implementar las mejoras. Esta información deberá ser usada para mejorar los planes de continuidad del negocio en forma oportuna. Las pruebas deben realizarse periódicamente y cuando existan cambios significativos en la organización o el ambiente en el que opera. b) Actualización de los planes: La Entidad debe definir políticas, procedimientos y la oportunidad para la actualización de los planes de gestión de la continuidad del negocio, de tal manera que cualquier cambio, interno o externo, que le impacte, sea revisado en relación con la continuidad del negocio. 8. Evaluación del desempeño: monitoreo, medición, análisis y evaluación La Entidad debe evaluar qué procesos deben ser monitoreados, medidos, analizados y evaluados periódicamente. Dichos métodos deben asegurar la validez de los resultados y mantener debidamente documentada la evidencia de los resultados. a) Monitoreo permanente: Debe monitorear en qué medida son satisfactorias las políticas, los objetivos y metas de la gestión de continuidad del negocio; los procesos, procedimientos y funciones que protegen las actividades críticas; así como el cumplimiento de las disposiciones del presente Reglamento. El registro de los resultados de medición y monitoreo deben facilitar la subsecuente acción correctiva. b) Evaluación de los procedimientos de continuidad del negocio: La Entidad debe evaluar el desempeño y la efectividad de su sistema de gestión de continuidad del negocio y tomar las acciones que fueran necesarias. La Entidad debe conducir evaluaciones de los procedimientos de continuidad del negocio y la capacidad para asegurar su conveniencia, adecuación y eficacia continua. Dichas evaluaciones deben ser realizadas periódicamente. 9. Revisión de la gestión: La Entidad debe revisar la gestión de continuidad del negocio y asegurar su conveniencia, suficiencia y efectividad continua considerando la situación actual, los cambios en factores internos y externos relevantes, los comentarios sobre el desempeño de su sistema de las partes interesadas, los resultados del ejercicio de la gestión de continuidad de negocios y el estado del plan de tratamiento del riesgo; así como las oportunidades para la mejora continua. Dicha revisión debe mantenerse documentada. La Entidad deberá mejorar constantemente la conveniencia, adecuación y eficacia de la gestión de continuidad del negocio. Artículo 16.- CAMBIOS SIGNIFICATIVOS La Entidad analizará el impacto que tienen los cambios significativos sobre la continuidad del negocio. Los cambios significativos podrán considerar entre otros: cambio de la infraestructura tecnológica que soporta los principales productos y/o servicios, fusión con otra empresa, implementación de un nuevo producto, cambio de un proveedor principal, cambio de oficina principal. TÍTULO V OTRAS DISPOSICIONES Artículo 17.- SUBCONTRATACIÓN La Entidad es responsable y debe verificar que se mantengan las características de seguridad de la
información y condiciones de continuidad del negocio contempladas en el presente reglamento, incluso cuando ciertas funciones o procesos puedan ser objeto de una subcontratación. Para toda subcontratación significativa, la Entidad deberá: a) Asegurarse de que el procesamiento y la información objeto de la subcontratación se encuentren efectivamente separados en todo momento. b) Desarrollar y aprobar un plan de continuidad respecto a los servicios contratados. La Entidad deberá verificar que los planes, en lo que corresponde a los servicios convenidos, funcionen en las condiciones pactadas. Estos planes deben estar aprobados por la Entidad y encontrarse a disposición de la SMV. c) Contar con un acuerdo de nivel de servicio con aquellas empresas subcontratadas, asegurando que los acuerdos o políticas de gestión de seguridad de la información y continuidad de negocios de la empresa subcontratada son apropiados y garanticen el cumplimiento de las disposiciones del presente Reglamento. El Directorio u órgano equivalente, en última instancia, es responsable de la seguridad de la información y continuidad del negocio de la Entidad, incluso si las operaciones de negocios son subcontratadas. Artículo 18.- CONSERVACION DE INFORMACION Las Entidades deberán conservar la información de que trata el presente Reglamento por un plazo no menor de diez (10) años. DISPOSICIONES COMPLEMENTARIAS FINALES Primera.- Como parte del informe anual requerido por el Reglamento de Gestión Integral de Riesgos, aprobado mediante Resolución SMV N° 037-2015-SMV/01, la Entidad deberá incluir información sobre los principales aspectos y resultados de la gestión del riesgo operacional, gestión de la seguridad de la información y gestión de la continuidad del negocio. Dicha obligación será exigible tratándose de Entidades que formen parte de un conglomerado financiero respecto de la información correspondiente al 2018, debiendo presentar dicha información a más tardar el 31 de marzo de 2019. En el caso de Entidades que no formen parte de un conglomerado financiero, dicha obligación será exigible respecto de la información correspondiente al ejercicio 2019, debiendo presentar dicho informe a la SMV a más tardar el 31 de marzo de 2020. Segunda.- La SMV podrá requerir a la Entidad cualquier información que considere necesaria, en el ejercicio de sus acciones de supervisión y conforme a lo previsto en el presente Reglamento. La Entidad deberá mantener a disposición de la SMV todos los documentos a que hace mención el presente Reglamento, así como la información de auditoría interna o revisiones realizadas por la matriz en caso de ser aplicable. Tercera.- Para todo lo no señalado en el presente Reglamento, será de aplicación el Reglamento de Gestión Integral de Riesgos, aprobado mediante Resolución SMV N° 037-2015-SMV/01. En particular, dicho reglamento será de aplicación para definir a los órganos y unidades responsables de la implementación y cumplimiento de la gestión del riesgo operacional, seguridad de la información, continuidad del negocio, auditoría interna, subcontratación, entre otros. DISPOSICIONES COMPLEMENTARIAS TRANSITORIAS Primera.- Las Entidades que a la fecha de entrada en vigencia del presente Reglamento cuenten con planes de seguridad de la información y de continuidad de negocios en cumplimiento de una disposición específica, deberán adecuar dichos planes a lo establecido en el presente Reglamento a más tardar el 31 de enero de 2018. Segunda.- Para los fines de la aplicación del presente Reglamento, la Entidad deberá observar lo siguiente: