Unidad Administrativa Especial de Catastro Distrital

RESOLUCIÓN 2806 DE 2015 

(Diciembre 11)

“Por la cual se unifican las reglas de creación del Comité de Seguridad de la Información y Continuidad de Negocio de la Unidad Administrativa Especial de Catastro Distrital y se derogan las resoluciones 167 de 16 de marzo de 2010, 1094 de 4 de octubre de 2011, 0318 de 15 de abril de 2013 y 1514 de 12 de noviembre de 2014”.

(Nota: Derogada por la Resolución 890 de 2018 artículo 7° de la Unidad Administrativa Especial de Catastro Distrital)

El Director de la Unidad Administrativa Especial de Catastro Distrital (UAECD),

en uso de sus atribuciones, legales, reglamentarias y estatutarias, y,

CONSIDERANDO:

Que el artículo 209 de la Constitución Política dispone que las autoridades administrativas coordinen sus actuaciones para el adecuado cumplimiento de los fines del Estado.

Que la Unidad Administrativa Especial de Catastro Distrital UAECD, adelantó un programa de Transformación Institucional al cual se le dio viabilidad mediante el Acuerdo 004 del 2 de mayo de 2012, en el que se determinó el objetivo, la estructura organizacional y las funciones de la entidad.

Que el artículo 20 de la Resolución 305 de 2008, expedida por la Comisión Distrital de Sistemas —“Por la cual se expiden políticas públicas para las entidades, organismos y órganos de control del Distrito Capital, en materia de tecnologías de la información y comunicaciones respecto a la planeación, seguridad, democratización, calidad, racionalización del gasto, conectividad, infraestructura de datos espaciales y software libre”— establece que las entidades del Distrito Capital deben establecer un comité de seguridad de la información así como la aplicación de los dominios de control a que se refiere la norma NTC-ISO/ IEC 27001, que establece los requisitos del sistema de gestión de seguridad de la información y la norma NTC/ISO IEC 17799 con su equivalente NTC-ISO/IEC 37002 y demás normas concordantes.

Que la disposición transcrita en el considerando inmediatamente anterior tiene por objetivo facilitar la gestión de la seguridad de la información.

Que las normas ISO 22301:2012 y NTC 5722:2012, en su numeral 9.3 establecen:

“La alta dirección debe revisar el sistema de gestión de continuidad de negocio - SGCN de la organización, a intervalos planificados, para asegurar su continua idoneidad, adecuación y eficacia. La revisión debe incluir la consideración del estado de las acciones de las revisiones por la dirección previas, los cambios en los asuntos internos y externos que son pertinentes para el SGCN, información sobre el desempeño de continuidad de negocio y las oportunidades de mejora continua”.

Que el objetivo del comité de seguridad de la información y continuidad de negocio es asegurar una dirección y apoyo gerencial que soporte la administración y desarrollo de estrategias sobre seguridad de la información y continuidad de negocio de la UAECD; lo anterior, mediante compromisos apropiados y uso de recursos adecuados en el organismo, así como por medio de la formulación y mantenimiento de una política de seguridad de la información y de continuidad de negocio a través de todo el organismo.

Que el comité de seguridad de la información y continuidad del negocio de la unidad, fue creado mediante la Resolución 0167 del marzo de 2010, modificada por las resoluciones 1094 de 4 de octubre de 2011, 0318 de 15 de abril de 2013 y 1514 de 12 de noviembre de 2014.

Que del análisis de los actos administrativos, se encontró oportuno llevar a cabo los ajustes e integrar en un solo acto administrativo todo lo concerniente al comité de seguridad de la información y continuidad del negocio de la Unidad Administrativa Especial de Catastro Distrital, con el fin de dar aplicación a la Resolución 305 de 2008, expedida por la Comisión Distrital de Sistemas y a los lineamientos técnicos, operativos y de negocio.

Que, en mérito de lo expuesto, este despacho,

RESUELVE:

ART. 1º—Crear el comité de seguridad de la información y continuidad del negocio de la Unidad Administrativa Especial de Catastro Distrital.

(Nota: Derogada por la Resolución 890 de 2018 artículo 7° de la Unidad Administrativa Especial de Catastro Distrital)

ART. 2º—Competencias del comité de seguridad de la información y continuidad de negocio. El comité de seguridad de la información y continuidad del negocio tendrá las siguientes competencias:

1. Formular, validar, adoptar y mantener la política y objetivos de seguridad de la información y continuidad de negocio y que estos sean compatibles con la dirección estratégica de la UAECD.

2. Garantizar que exista una dirección y apoyo gerencial para soportar la administración y desarrollo de estrategias de seguridad de la información y continuidad de negocio, a través de compromisos apropiados y uso de recursos adecuados.

3. Asegurar la integración de los requisitos del subsistema de gestión de seguridad de la información y del subsistema de gestión de continuidad de negocio en los procesos de la UEACD.

4. Promover el desarrollo de programas de sensibilización y concientización, capacitación y entrenamiento de los funcionarios en seguridad de la información y continuidad de negocio estimulando la cultura en estos temas al interior de la entidad.

5. Establecer los mecanismos de seguimiento y evaluación del subsistema de gestión de seguridad de la información y del subsistema de gestión de continuidad de negocio.

6. Promover la mejora continua del subsistema de gestión de seguridad de la información y del subsistema de gestión de continuidad de negocio.

7. Emitir recomendaciones a todo nivel sobre las materias a su cargo.

(Nota: Derogada por la Resolución 890 de 2018 artículo 7° de la Unidad Administrativa Especial de Catastro Distrital)

ART. 3º—Funciones. El comité del que trata el presente acto administrativo ejercerá las siguientes funciones:

1. Evaluar y aprobar las estrategias de seguridad de la información y continuidad de negocio.

2. Aprobar la política, los objetivos, el alcance y la declaración de aplicabilidad del subsistema de gestión de seguridad de la información y la política, los objetivos, el alcance del subsistema de gestión de continuidad de negocio que requiera la entidad, de acuerdo con su contexto organizacional, proponer ajustes cuando lo considere pertinente y garantizar que sean comunicados a la UAECD.

3. Fijar directrices institucionales para la aplicación de los mecanismos de protección de la información y la continuidad de negocio.

4. Asegurar que los roles y responsabilidades pertinentes a la seguridad de la información y continuidad de negocio se asignen y comuniquen.

5. Facilitar la consecución y asignación de recursos que garanticen la implementación de las estrategias de continuidad de negocio y de seguridad de la información.

6. Aprobar y adoptar “planes de continuidad y recuperación de desastres” que garanticen la continuidad de las operaciones ante una situación crítica que pueda amenazar, parcial o totalmente, la prestación de servicios, planes que deberán: (i) ser avalados por la alta dirección; (ii) ser socializados en todos los niveles de la UAECD en el sentido de establecer las funciones y responsabilidades correspondientes, y (iii) ser revisados en caso de ser requerido, de acuerdo con el “plan estratégico de tecnologías de la información y comunicaciones” y con cambios en las condiciones operativas de la entidad.

7. Aprobar las actualizaciones que deban realizarse al subsistema de gestión de seguridad de información y al subsistema de gestión de la continuidad de negocio en virtud de los cambios organizacionales, tecnológicos o del entorno de la operación de la entidad.

8. Aprobar y hacer seguimiento a los programas periódicos de ejercicios y pruebas de la infraestructura tecnológica y continuidad de negocio, para asegurar su disponibilidad y funcionalidad permanentes.

9. Revisar el desempeño del subsistema de gestión de seguridad de la información y del subsistema de gestión de continuidad de negocio para asegurar su conveniencia, adecuación y eficacia continuas.

10. Revisar y hacer seguimiento a los requerimientos de entes externos en lo referente a la seguridad de la información y a la continuidad de negocio de la entidad.

11. Evaluar y analizar los incidentes de seguridad de la información cuyo impacto sea relevante para la entidad (el nivel de relevancia lo establece el oficial de seguridad de la información).

12. Promover el desarrollo de programas de sensibilización y concientización, capacitación y entrenamiento de los servidores públicos en seguridad de la información.

13. Buscar la integración de los requisitos del subsistema de gestión de seguridad de la información, cuyo marco normativo es la norma ISO27001, en los procesos de la entidad y su articulación frente a los requisitos aplicables para el SGI establecidos en la norma técnica distrital NTD SIG 001:2011 o aquella que la modifique o sustituya y demás disposiciones legales que apliquen.

(Nota: Derogada por la Resolución 890 de 2018 artículo 7° de la Unidad Administrativa Especial de Catastro Distrital)

ART. 4º—Conformación del comité de seguridad de la información y continuidad de negocio. El comité de seguridad de la información y de continuidad de negocio será conformado por los siguientes servidores públicos, quienes concurrirán como miembros permanentes, con voz y voto:

1. El director.

2. El gerente de tecnología.

3. El gerente de información catastral.

4. El gerente de gestión corporativa.

5. El gerente de infraestructura de datos espaciales (IDECA).

6. El gerente comercial y de atención al usuario.

7. El jefe de la oficina asesora de planeación y aseguramiento de procesos.

8. El oficial de seguridad de la información, adscrito a la gerencia de tecnología.

9. El oficial de continuidad de negocio, adscrito a la gerencia de tecnología.

PAR. 1º—La secretaría técnica del comité de seguridad de la información y de continuidad de negocio será ejercida por el oficial de seguridad de la información en primera instancia, en caso de que no esté presente la ejercerá el oficial de continuidad de negocio o quien el comité designe.

PAR. 2º—La presidencia del comité de seguridad de la información y de continuidad de negocio será ejercida por el director de la UAECD en primera instancia, en caso de que no esté presente la ejercerá quien el comité designe.

PAR. 3º—Concurrirán sólo con derecho a voz los funcionarios que por su condición jerárquica y funcional deban asistir, según el caso concreto que se discuta, además del jefe de la oficina de control interno o el que haga sus veces, quien asistirá con voz; pero sin voto.

PAR. 4º—Tanto el director, como los oficiales de seguridad de la información y continuidad de negocio podrán citar las sesiones, o uno de los miembros permanentes, en caso de que la situación lo amerite.

(Nota: Derogada por la Resolución 890 de 2018 artículo 7° de la Unidad Administrativa Especial de Catastro Distrital)

ART. 5º—Reuniones, quórum deliberativo y toma de decisiones. El comité de seguridad de la información y de continuidad de negocio de la entidad sesionará en forma ordinaria al menos una (1) vez cada semestre y en forma extraordinaria cuando sea necesario por solicitud de cualquiera de sus miembros.

Para tales efectos, sesionará, como mínimo, con la mitad más uno de sus miembros, señalados por el artículo 4º del presente instrumento, y adoptará las decisiones por mayoría simple. Lo anterior aplica tanto para las sesiones presenciales como las virtuales.

PAR.—El comité podrá reunirse dentro de las sesiones del comité directivo, si se requiere tratar temas relacionados con la seguridad de la información o de continuidad de negocio, o con respecto a ambas.

(Nota: Derogada por la Resolución 890 de 2018 artículo 7° de la Unidad Administrativa Especial de Catastro Distrital)

ART. 6º—Desarrollo de las sesiones presenciales. Las sesiones presenciales se realizarán así:

1. En el día y hora señalados, el comité instalará la sesión

2. Se decidirá el presidente y secretario de la sesión en caso de ausencia de alguno de ellos.

3. Los servidores, según sea el caso, harán una presentación verbal al comité de su propuesta, solicitud o informe y atenderán las dudas e inquietudes que se les formulen.

4. Una vez se haya surtido la intervención, los miembros y asistentes al comité deliberarán sobre los asuntos sometidos a su consideración y adoptarán las determinaciones que estimen oportunas, las cuales serán de obligatorio cumplimiento para los servidores de la entidad.

5. Una vez se haya efectuado la deliberación, el secretario técnico procederá a preguntar sobre la decisión a ser tomada por los miembros del comité.

6. Evacuados todos los asuntos sometidos a estudio del comité, el secretario técnico informará al presidente que todos los temas han sido agotados, con lo que el presidente procederá a levantar la sesión.

PAR.—El secretario técnico designado del comité elaborará las actas ejecutivas del desarrollo de la sesión.

(Nota: Derogada por la Resolución 890 de 2018 artículo 7° de la Unidad Administrativa Especial de Catastro Distrital)

ART. 7º—Desarrollo de las sesiones virtuales. Este comité podrá sesionar de manera virtual, es decir, mediante reuniones no presenciales, cuando así lo requieran. Las sesiones virtuales se realizarán de acuerdo con el siguiente procedimiento y según lo dispuesto por las leyes 527 de 1999 y 1341 de 2009 y las normas que las adicionen, modifiquen o sustituyan, así:

1. El/la secretario/secretaria técnica coordinará con el presidente de la instancia la realización de la sesión virtual, convocará la sesión virtual informando a todos sus miembros y los invitados que se estime necesario. En dicha convocatoria se deberán precisar los asuntos a tratar, los documentos que se anexan, el tiempo límite para que sean leídos y comentados por los miembros del comité.

2. En el día y hora señalados, el comité instalará la sesión por el medio virtual seleccionado para la sesión, ya sea vía correo electrónico o videoconferencia.

3. Se decidirá el presidente y secretario de la sesión en caso de ausencia de alguno de ellos.

4. Cada uno de los miembros e invitados deberá manifestar, de manera clara y expresa, su posición y decisión frente a los asuntos sometidos a consideración y remitirá su decisión a través del medio virtual seleccionado para la sesión a todos los integrantes e invitados.

5. Una vez adoptada la decisión por la mayoría simple de los miembros, el secretario técnico informará los resultados finales de cada uno los asuntos presentados.

6. Evacuados todos los asuntos sometidos a estudio del comité, el secretario técnico informará al presidente que todos los temas han sido agotados, con lo que el presidente procederá a levantar la sesión informando de esto a través del medio virtual.

7. De la sesión adelantada el secretario/secretaria técnica levantará el acta ejecutiva correspondiente, consignando las intervenciones de los miembros y los invitados si los hubiere. El acta deberá dejar constancia del medio utilizado, las decisiones adoptadas y las firmas de los integrantes de la instancia.

(Nota: Derogada por la Resolución 890 de 2018 artículo 7° de la Unidad Administrativa Especial de Catastro Distrital)

ART. 8º—Funciones del secretario técnico. Son funciones del secretario técnico del comité de seguridad de la información y de continuidad de negocio, las siguientes:

1. Coordinar los temas y orden del día y convocar las reuniones del comité. En el orden del día se deberá incluir un punto relacionado con el seguimiento a los compromisos previos relacionados en el acta del comité anterior.

2. Enviar a los integrantes la información a tratar según la agenda propuesta, con una antelación no inferior a tres (3) días hábiles a la sesión.

3. Velar por el buen funcionamiento del comité.

4. Elaborar las actas de cada sesión y enviarlas para la aprobación y firma de los miembros permanentes que hayan asistido.

5. Verificar el cumplimiento de las decisiones adoptadas en el seno de las reuniones.

6. Proyectar, proponer, presentar y someter a consideración del comité las políticas, normas, acciones o buenas prácticas necesarias para incorporar o aplicar, o ambas, en la gestión de la seguridad de la información de la entidad.

7. Las demás que le sean asignadas por el comité.

(Nota: Derogada por la Resolución 890 de 2018 artículo 7° de la Unidad Administrativa Especial de Catastro Distrital)

ART. 9º—Derogatorias. La presente resolución deroga las resoluciones 167 de 16 de marzo de 2010, 1094 de 4 de octubre de 2011, 0318 de 15 de abril de 2013 y 1514 de 12 de noviembre de 2014.

(Nota: Derogada por la Resolución 890 de 2018 artículo 7° de la Unidad Administrativa Especial de Catastro Distrital)

ART. 10.—La presente resolución rige a partir de la fecha de su publicación.

Publíquese comuníquese y cúmplase.

Dada en Bogotá, D. C., a 11 de diciembre de 2015.

(Nota: Derogada por la Resolución 890 de 2018 artículo 7° de la Unidad Administrativa Especial de Catastro Distrital)