NORMA LEGAL OFICIAL DEL DÍA 08 DE SEPTIEMBRE DEL AÑO 2023 (08/09/2023)

7 NORMAS LEGALES Viernes 8 de setiembre de 2023 El Peruano / Establecen la implementación y mantenimiento del Sistema de Gestión de Seguridad de la Información en las entidades públicas RESOLUCIÓN DE SECRETARÍA DE GOBIERNO Y TRANSFORMACIÓN DIGITAL N° 003-2023-PCM/SGTD ESTABLECE LA IMPLEMENTACIÓN Y MANTENIMIENTO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN LAS ENTIDADES PÚBLICAS Lima, 6 de setiembre de 2023VISTO: El Informe N° D000037-2023-PCM-SSPRD de la Subsecretaría de Política y Regulación Digital de la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros; y, CONSIDERANDO:Que, el Decreto de Urgencia N° 006-2020, Decreto de Urgencia que crea el Sistema Nacional de Transformación Digital, dispone en su artículo 7 que la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, es el ente rector del Sistema Nacional de Transformación Digital, constituyéndose en la autoridad técnico-normativa a nivel nacional sobre la materia; Que, el artículo 8 del Decreto Legislativo N° 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, dispone que la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, es el ente rector en materia de gobierno digital que comprende tecnologías digitales, identidad digital, interoperabilidad, servicio digital, datos, seguridad digital y arquitectura digital. Dicta las normas y establece los procedimientos en materia de gobierno digital y, es responsable de su operación y correcto funcionamiento; Que, el artículo 109 del Reglamento del Decreto Legislativo N° 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital, y establece disposiciones sobre las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo, aprobado mediante Decreto Supremo N° 029-2021-PCM, dispone que el Sistema de Gestión de Seguridad de la Información (SGSI) comprende el conjunto de políticas, lineamientos, procedimientos, recursos y actividades asociadas, que gestiona una entidad con el propósito de proteger sus activos de información, de manera independiente del soporte en que estos se encuentren. Asimismo, contempla la gestión de riesgos e incidentes de seguridad de la información y seguridad digital, la implementación efectiva de medidas de ciberseguridad, y acciones de colaboración y cooperación; Que, el artículo 105 de la precitada norma, dispone que las entidades públicas tienen como una de sus obligaciones en seguridad digital, el implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI); Que, de acuerdo con los indicadores que gestiona la Secretaría de Gobierno y Transformación Digital en materia de seguridad y con fi anza digital, se evidencia que existen oportunidades de mejora en la implementación y operación de los Sistemas de Gestión de Seguridad de la Información por parte de las entidades públicas, así como también en la articulación de los roles responsables de la gestión de la seguridad digital institucional; Que, en consonancia con lo establecido en los artículos 68 y 69 del Texto Integrado del Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros, aprobado mediante Resolución Ministerial Nº 156-2021-PCM, la Secretaría de Gobierno y Transformación Digital es el órgano de línea con autoridad técnica-normativa a nivel nacional en materia de gobierno digital, con fi anza digital y transformación digital, y tiene entre sus funciones, aprobar y supervisar el cumplimiento de normas técnicas, directivas, lineamientos, modelos, metodologías, procedimientos, protocolos, instrumentos, técnicas, estándares y demás disposiciones, en materia de su competencia; Que, en ese sentido, a fi n de dar cumplimiento a lo establecido en el Decreto Supremo Nº 029-2021-PCM; resulta necesario establecer disposiciones para la adecuada implementación y mantenimiento del Sistema de Gestión de Seguridad de la Información en las entidades públicas; De conformidad con lo dispuesto en el Decreto Legislativo Nº 1412, Decreto Legislativo que aprueba la Ley de Gobierno Digital; el Decreto Supremo Nº 029- 2021-PCM, que aprueba el Reglamento del Decreto Legislativo Nº 1412 que aprueba la Ley de Gobierno Digital, y establece disposiciones sobre las condiciones, requisitos y uso de las tecnologías y medios electrónicos en el procedimiento administrativo; y el Texto Integrado del Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros, aprobado mediante Resolución Ministerial Nº 156-2021-PCM; SE RESUELVE: Artículo 1. Implementación del Sistema de Gestión de Seguridad de la Información 1.1 Las entidades públicas usan obligatoriamente la Norma Técnica Peruana NTP ISO/IEC 27001 vigente para el análisis, diseño, implementación, operación, mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la Información (en adelante, SGSI). Asimismo, aseguran que el SGSI establezca como alcance mínimo a los procesos misionales y aquellos relevantes para la operación y funcionamiento de la entidad pública. 1.2 Las entidades públicas establecen como objetivos del SGSI: a) Preservar la con fi dencialidad, integridad y disponibilidad de la información de la entidad pública. b) Fortalecer la cultura de seguridad de la información en los servidores, funcionarios y colaboradores de la entidad pública. c) Asegurar el cumplimiento normativo en materia de seguridad y con fi anza digital. d) Gestionar de manera e fi caz los riesgos, eventos e incidentes de seguridad de la información. 1.3 Las entidades públicas pueden adecuar o establecer objetivos adicionales a los señalados en el numeral precedente considerando su contexto, tamaño, complejidad y estructura. 1.4 Las entidades públicas que hayan implementado un SGSI, a la fecha de publicación de la presente Resolución, deben registrar el plan de actividades o documento(s) de plani fi cación utilizados para la operación o mantenimiento del referido SGSI. Dicho registro se realiza anualmente en la Plataforma Integral de Solicitudes Digitales del Estado Peruano (Facilita Perú) durante el primer trimestre del año en curso o ejecución. Artículo 2. Alcance 2.1 La presente Resolución es de aplicación a: a) Las entidades de la Administración Pública establecidas en el artículo I del Título Preliminar del Texto Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General, aprobado por Decreto Supremo N° 004- 2019-JUS, con excepción de las personas jurídicas señaladas en el numeral 8 del citado artículo. b) Las empresas públicas de los gobiernos regionales y locales, y las que se encuentren en el ámbito del Fondo Nacional de Financiamiento de la Actividad Empresarial del Estado (FONAFE). 2.2 Cuando en la presente Resolución se menciona a entidades públicas, se debe entender a aquellas referidas en los literales a) y b) del numeral precedente.