RÉGIMEN LEGAL DE BOGOTÁ D.C.

RESOLUCIÓN 1945 de 2016

(Octubre 27)

“Por medio de la cual se crea el Comité Técnico del Subsistema de Seguridad de la Información de la Secretaría de Educación del Distrito y se definen los roles y responsabilidades”

“LA SECRETARIA DE EDUCACIÓN DEL DISTRITO”

En ejercicio de sus facultades legales y en especial las conferidas por el Decreto 1421 de 1993, Decreto 330 de 2008 y por el Decreto 01 del 1 de enero de 2016 y,

CONSIDERANDO

Que en el artículo 11 de la Resolución 305 de 2008, de la Comisión Distrital de Sistemas de Bogotá D.C., “Por la cual se expiden políticas públicas para las entidades, organismos y órganos de control del Distrito Capital, en materia de Tecnologías de la Información y Comunicaciones respecto a la planeación, seguridad, democratización, calidad, racionalización del gasto, conectividad, infraestructura de Datos Espaciales y Software Libre”, señala el marco legal y define que las entidades, organismos y órganos de control del Distrito Capital disponen de un marco de referencia de las mejores prácticas para el desarrollo e implementación del Sistema de Gestión de Seguridad de la Información, basados en las recomendaciones de las normas internacionales: NTC-ISO/IEC 27001 que establece los requisitos del Sistema de Gestión de Seguridad de la Información y la norma NTC/ISO IEC 17799 con su equivalente NTC-ISO/IEC 27002 que establece las mejores prácticas para la implementación del Sistema de Gestión de Seguridad de la Información y demás normas concordantes, las cuales son de obligatoria observancia por parte de los entes públicos distritales.

Que en el Artículo 21 COMITÉS DE SEGURIDAD DE LA INFORMACIÓN (CSI) de la señalada resolución, dispuso que: “Las entidades, organismos y órganos de control del Distrito Capital dispondrán lo necesario para la creación del Comité de Seguridad de la Información (CSI) o una instancia semejante, que deben validar las Políticas de Seguridad de la Información, así como los procesos, procedimientos y metodologías específicas de seguridad de la información para el adecuado uso y administración de los recursos informáticos y físicos, asignados a los servidores públicos de cada ente público. PARÁGRAFO. El Comité de Seguridad de la Información (CSI) o una instancia semejante definida por las entidades, organismos y órganos de control del Distrito Capital, tiene como objetivo asegurar que exista una dirección y apoyo gerencial, para soportar la administración y desarrollo de iniciativas sobre seguridad de la información, a través de compromisos apropiados y uso de recursos adecuados en el organismo, así como de la formulación y mantenimiento de una política de seguridad de la información a través de todo el organismo”.

Que mediante Decreto 652 de 2011, en su artículo 1° se adopta la Norma Técnica Distrital del Sistema Integrado de Gestión para las Entidades y Organismos Distritales, NTD – SIG 001:2011, que determina las generalidades y los requisitos mínimos para establecer, documentar, implementar y mantener un Sistema Integrado de Gestión en las entidades y organismos distritales y agentes obligados.

Que la Resolución 1821 de 2014, la Secretaría de Educación del Distrito adopta el Sistema Integrado de Gestión y se crean instancias de gestión y control del mismo, y señala que estará compuesto por: 1) Subsistema de Gestión de Calidad (SGC) 2) Subsistema de Control Interno (SCI) 3) Subsistema de Gestión Ambiental (SGA) 4) Subsistema de Gestión de Seguridad de la Información (SCSI) 5) Subsistema de Responsabilidad Social (SRS) 6) Subsistema Interno de Gestión Documental y Archivo (SIGA) 7) Subsistema de Seguridad y Salud Ocupacional (S&SO). A su vez, en el artículo 8, estableció que el líder del Subsistema de Gestión de Seguridad de la Información (SGSI), es el jefe de la Oficina Administrativa de REDP.

Que en cumplimiento de lo estipulado en el artículo 21 de la Resolución 305 de 2008 y basados en las recomendaciones de las normas internacionales NTCISO/IEC 17799, NTC-BS 7799-2 y su actualización ISO 27001, se hace necesario conformar un Comité Técnico de Seguridad de la Información (CT-CSI), para validar las políticas de seguridad de la información, sus procedimientos para el adecuado uso y la administración de los recursos informáticos y físicos, asignados a los funcionarios, contratistas y servidores públicos de la Secretaría de Educación del Distrito, aportando experiencia técnica al Comité Estratégico del SIG, para asegurar que la información de la SED, se encuentra protegida, de acuerdo con el marco de la normatividad que sobre seguridad de la información y de las tecnologías se expedida a nivel nacional y distrital.

Que de acuerdo con la Resolución 1821 de 2014, de la SED el Comité Estratégico del Sistema Integrado de Gestión es el responsable de alto nivel para definir, evaluar, verificar y revisar las directrices y lineamientos del Subsistema de Seguridad de la Información de la Secretaría de Educación del Distrito.

En mérito de lo expuesto este despacho,

RESUELVE:

ARTÍCULO 1º. -Creación del Comité Técnico del Subsistema de Seguridad de la Información. Crear el Comité Técnico del Subsistema de Seguridad de la Información, como apoyo al Comité Estratégico del Sistema Integrado de Gestión (SIG, cuyo objetivo es prestar soporte técnico y recomendar la ejecución de iniciativas, proyectos y lineamientos sobre seguridad de la información. Igualmente es responsable de velar por la adopción de los controles y es el facilitador para el seguimiento de los indicadores en el cumplimiento del SGSI.

ARTÍCULO 2º.-Conformación. El Comité Técnico del Subsistema de Gestión de la Seguridad de Información estará integrado así:

Del Despacho de la Secretaría de Educación del Distrito

• Un Representante del Despacho de la Secretaría de Educación de Distrito, experto en seguridad de la información, Quien lo preside.

• Un Representante de la Oficina Asesora de Comunicación y Prensa.

• Un Representante de la Oficina Asesora de Planeación.

De la Subsecretaría de Gestión Institucional

• Un Representante de la Dirección de Talento Humano.

• Jefe de la Oficina Administrativa de Redp.

• Un representante de Gestión Documental.

De la Subsecretaría de Calidad y Pertinencia

• Un Representante de la Dirección de Ciencias, Tecnología y Medios Educativos.

De la Subsecretaría de Integración Interinstitucional

• Un delegado de la Subsecretaría. De la Subsecretaría de Acceso y Permanencia

• Un delegado de la Subsecretaría.

PARÁGRAFO PRIMERO. - Quórum: Habrá quórum deliberatorio y decisorio cuando se hallen presentes la mitad más uno de los miembros del Comité.

PARÁGRAFO SEGUNDO. - Serán integrantes también del Comité Técnico de manera permanente, con voz, pero sin voto, los representantes de la Oficina Administrativa de RedP encargados de procesos.

Adicionalmente el Comité podrá invitar a cada sesión, con voz y sin voto, a aquellas personas que considere necesario según la naturaleza de los temas a tratar.

PARÁGRAFO TERCERO. La designación de los representantes para integrar el Comité deberá realizarse mediante documento suscrito por el(a) titular de cada dependencia, el cual deberá ser allegado al momento de sesionar el Comité.

ARTÍCULO 3º.- Funciones Generales del Comité técnico. El Comité Técnico del Subsistema de Gestión de Seguridad de la Información de la Secretaría de Educación del Distrito tendrá dentro de sus funciones generales las siguientes:

• Ser el facilitador para el desarrollo de las iniciativas, proyectos sobre seguridad de la información.

• Propender por la toma acciones para la prevención de pérdidas patrimoniales o que comprometan los recursos de información.

• Desarrollar actividades específicas para proveer un ambiente seguro y definir pautas y controles que estén alineadas a preservar la seguridad de la información de manera articulada con las metas y objetivos de la Secretaría de Educación del Distrito.

• Brindar asesoría y experiencia técnica para asegurar que la información de la entidad se encuentra protegida apropiadamente que disminuya el riesgo o exposición a incidentes de seguridad.

• Liderar y articular la implementación del Sistema de Gestión de Seguridad de la Información de todos los actores y responsables al interior de la SED.

• Designar a un funcionario de Redp que ejercerá la Secretaría Técnica, preferiblemente un (1) profesional de la Oficina Administrativa de Redp.

6.Las demás funciones inherentes a la naturaleza del Comité.

ARTÍCULO 4º. - Funciones Operativas del Comité técnico. El Comité Técnico del Subsistema de Gestión de Seguridad de la Información de la Secretaría de Educación del Distrito es responsable por:

1. Realizar el diagnóstico del estado de la seguridad de la información de la Secretaría de Educación Distrital.

• Realizar y analizar los consolidados de información sobre los incidentes de seguridad presentados.

• Generar las alertas preventivas y proponer los ajustes a la política de seguridad que garanticen la exposición al riesgo de los Activos de Información.

• Recomendar los roles y responsables de la Seguridad de la información en las diferentes áreas de la SED.

• Recomendar el uso de metodologías, herramientas y procedimientos específicos para la seguridad de la información.

• Proponer las estrategias para la divulgación y comunicación de las políticas y normas de seguridad que la Secretaría de Educación del Distrito expida.

• Identificar los ajustes requeridos a los procesos y procedimientos y proponer herramientas informáticas de punta que eliminen o mitiguen los riesgos.

• Presentar el informe semestral y las propuestas de revisión de la política de seguridad, al Comité ejecutivo del sistema Integrado de Gestión, sobre la ejecución del plan de seguridad de la información.

• Establecer contacto con las autoridades pertinentes. grupos de interés especial, foros y asociaciones profesionales especializadas en seguridad.

ARTÍCULO 5°. - Funciones de la Secretaría Técnica del Comité Técnico del SGSI. Las funciones de la Secretaría Técnica del Comité serán las siguientes:

• Elaborar las actas de las reuniones del Comité y verificar su formalización por parte de sus miembros.

• Remitir oportunamente a los miembros la agenda de cada comité.

• Convocar periódicamente a reuniones ordinarias, en coordinación con la presidencia del Comité.

• Convocar a reuniones extraordinarias

• Presentar los informes que requiera el Comité.

ARTÍCULO 6º. - Reuniones del Comité Técnico de SGSI. El Comité Técnico de Subsistema Seguridad de la Información deberá reunirse una vez cada dos meses, previa convocatoria de/la Secretaría Técnica del Comité.

PARÁGRAFO PRIMERO. La convocatoria al Comité se hará con cinco (5) días hábiles de antelación a la sesión, vía correo electrónico.

PARÁGRAFO SEGUNDO. Las sesiones extraordinarias de los/las integrantes que conforman el Comité Interno del Subsistema de Gestión de Seguridad de la Información se realizarán previa citación a participar cuando las circunstancias lo ameriten o se presenten incidentes o probabilidad de materialización de riesgos sobrevinientes. Durante las etapas de diagnóstico, planeación e implementación del Subsistema de Gestión de Seguridad de la Información el comité definirá la periodicidad de las reuniones.

ARTÍCULO 7º- Vigencia. La presente resolución rige a partir de la fecha de su publicación y deroga las disposiciones que le sean contrarias.

Dada en Bogotá D.C. a los 27 días del mes de octubre de 2016.

PUBLÍQUESE, Y CÚMPLASE

MARÍA VICTORIA ANGULO GONZÁLEZ

Secretaria de Educación del Distrito

NOTA: Publicada en el Registro Distrital 5982 del 26 de diciembre de 2016