NORMA LEGAL OFICIAL DEL DÍA 08 DE SEPTIEMBRE DEL AÑO 2023 (08/09/2023)

8 NORMAS LEGALES Viernes 8 de setiembre de 2023 El Peruano / 2.3 Las organizaciones del sector privado pueden tomar como referencia lo establecido en la presente Resolución en cuanto les genere valor. Artículo 3. Plan de implementación del Sistema de Gestión de Seguridad de la Información 3.1 El Plan de implementación del Sistema de Gestión de Seguridad de la Información (en adelante, Plan SGSI) es el instrumento que establece, como mínimo, los objetivos, actividades, recursos, responsables y plazos para implementar un SGSI en un periodo máximo de tres (03) años. Es aprobado por la máxima autoridad administrativa o la que haga sus veces en la entidad pública. 3.2 Las entidades públicas deben formular y aprobar el Plan SGSI, y registrarlo en la Plataforma Facilita Perú para conocimiento y evaluación del Centro Nacional de Seguridad Digital, incluyendo sus modi fi caciones o actualizaciones. La formulación, aprobación y registro del Plan SGSI se realiza de acuerdo con la siguiente clasi fi cación y plazos: Clasi fi cación EntidadesPlazos (días hábiles) Grupo1Ministerios, Empresas del FONAFE, Organismos Constitucionales Autónomos, Poder Judicial y Congreso de la República.60 Grupo 2Organismos públicos y programas del Poder Ejecutivo.90 Grupo 3Gobiernos Regionales, Municipalidades Tipo A y Tipo C (Según clasi fi cación realizada por el Ministerio de Economía y Finanzas - MEF), y las empresas públicas de los gobiernos regionales y locales.120 3.3 Los plazos establecidos en el numeral 3.2 se contabilizan a partir del día siguiente de publicación de la presente Resolución. 3.4 En caso la entidad pública disponga de un plan de implementación o documento equivalente aprobado a la fecha de publicación de la presente Resolución, debe registrarlo en la Plataforma Facilita Perú. 3.5 El Plan SGSI debe estar articulado con los instrumentos de gestión de la entidad, y debe contener, como mínimo, lo siguiente: 1. Introducción 2. Objetivos del Plan SGSI 3. Marco legal4. Términos y de fi niciones 5. Contexto de la entidad 6. Mapa de procesos de la entidad 7. Alcance del SGSI 8. Cronograma de actividades9. Recursos y presupuesto10. Monitoreo y evaluación 11. Anexos Artículo 4. Responsables en la gestión de la seguridad digital institucional 4.1 El Titular de la entidad pública es responsable de la implementación del SGSI, para lo cual, como mínimo, debe aprobar las políticas y objetivos para implementar, operar, mantener y mejorar el SGSI. 4.2 La máxima autoridad administrativa o la que haga sus veces en la entidad pública es la encargada de informar semestralmente al Titular de la entidad los avances y difi cultades en la implementación u operación del SGSI, así como el cumplimiento de la presente Resolución. Asimismo, es responsable de asegurar el cumplimiento de las políticas, objetivos, planes, procedimientos y marco normativo en materia de seguridad y con fi anza digital en la entidad pública. 4.3 El Comité de Gobierno y Transformación Digital institucional es responsable de la dirección, mantenimiento y supervisión estratégica de los planes, resultados y recursos del SGSI. Asimismo, a solicitud del Titular de la entidad o la máxima autoridad administrativa emite opinión y recomendaciones sobre la gestión estratégica del SGSI. Sin perjuicio de lo indicado la entidad puede solicitar opinión a un órgano consultivo vinculado a la gestión de riesgos de la entidad. 4.4 El O fi cial de Seguridad y Con fi anza Digital cumple con lo establecido en la Resolución de Secretaría de Gobierno y Transformación Digital N° 002-2023-PCM/SGTD, que aprueba la Directiva N° 001-2023-PCM/SGTD, Directiva que establece el Per fi l y Responsabilidades del Ofi cial de Seguridad y Con fi anza Digital, así como el marco normativo en materia de seguridad y con fi anza digital. 4.5 El Equipo de Respuestas ante Incidentes de Seguridad Digital de carácter institucional es responsable de la gestión de incidentes de seguridad digital que afectan los activos de la entidad pública. Dicho Equipo forma parte de los órganos o unidades orgánicas de Tecnologías de la Información de la entidad o de la unidad de organización especializada en seguridad de la información o similar prevista en su estructura orgánica o funcional. 4.6 El responsable de la unidad de organización de tecnologías de la información o el que haga sus veces en la entidad pública es responsable de informar al O fi cial de Seguridad y Con fi anza Digital (OSCD) todo incidente de seguridad digital crítico que afecte los procesos misionales y servicios que brinda la entidad, de forma inmediata. Asimismo, articula con el OSCD la implementación de controles de seguridad de la información y coordina con el Equipo de Respuestas ante Incidentes de Seguridad Digital la gestión de incidentes de seguridad digital. 4.7 El responsable de la unidad de organización de planeamiento y presupuesto de la entidad pública debe orientar al OSCD para asegurar una adecuada articulación con los instrumentos de gestión institucional comprendidos en los sistemas administrativos de presupuesto público, planeamiento estratégico, programación multianual y gestión de inversiones. 4.8 Los dueños de procesos y responsables de las unidades de organización de la entidad son responsables de apoyar en la gestión de riesgos e implementación de los controles de seguridad de la información identi fi cados en sus ámbitos de competencia, así como también coadyuvan en la gestión de incidentes según corresponda. Artículo 5. Equipo de trabajo técnico y multidisciplinario para el SGSI 5.1 Las entidades públicas deben conformar un equipo de trabajo técnico y multidisciplinario encargado de realizar la implementación y mantenimiento del SGSI en la entidad, dicho equipo de trabajo es liderado por el Ofi cial de Seguridad y Con fi anza Digital. La organización del equipo de trabajo debe considerar el contexto, tamaño, complejidad y estructura de la entidad. 5.2 La máxima autoridad administrativa de la entidad pública evalúa la creación de una unidad de organización o unidad funcional especializada en seguridad digital a nivel institucional para asegurar la gestión e fi ciente de la implementación, operación y mejora continua del SGSI y el cumplimiento de la regulación en materia de seguridad y con fi anza digital. Artículo 6. Certi fi cación del SGSI 6.1 Las entidades públicas pueden certi fi car su SGSI de acuerdo con los requisitos establecidos en la ISO/IEC 27001 o equivalente con el propósito de incrementar los niveles de con fi anza digital de las personas en sus procesos y servicios. 6.2 Las entidades públicas que cuenten con una certi fi cación ISO/IEC 27001 deben informar a la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros, a través de la Plataforma Facilita Perú, el estado de la certi fi cación durante el primer trimestre de cada año. Artículo 7. Seguridad Digital en los gobiernos locales y proyectos especiales del Poder Ejecutivo Los proyectos especiales del Poder Ejecutivo y los gobiernos locales tipo B, D, E, F y G, conforme a la