Ministerio de Salud y Protección Social

RESOLUCIÓN 509 DE 2013 

(Febrero 25)

“Por la cual se crea el Comité de Seguridad de la Información del Ministerio de Salud y Protección Social y se reglamenta su funcionamiento”.

El Ministro de Salud y Protección Social,

en uso de sus atribuciones legales y en especial, las conferidas en el numeral 20 del artículo 6º del Decreto-Ley 4107 de 2011 y,

CONSIDERANDO:

Que el artículo 230 de la Ley 1450 de 2011 establece que todas las entidades de la administración pública deberán adelantar las acciones señaladas en la Estrategia de Gobierno en Línea, liderada por el Ministerio de Tecnologías de la Información y las Comunicaciones, a través del cumplimiento de los criterios que establezca.

Que mediante Decreto 2693 de 2012, se establecieron los lineamientos generales de la Estrategia de Gobierno en Línea y se reglamentaron parcialmente las leyes 1341 de 2009 y 1450 de 2011.

Que el Ministerio de Tecnologías de la Información y las Comunicaciones, mediante documento de fecha junio de 2011, actualizó el manual para la implementación de las estrategias de gobierno en línea en las entidades de orden nacional, en el que señaló los lineamientos y criterios a que estas deben sujetarse para la implementación de la estrategia y la definición de las políticas y estándares respectivos.

Que el referido manual establece entre otros criterios “El plan de seguridad” y como acción a desarrollar por parte de cada entidad estatal “la conformación del comité de seguridad o la asignación de las funciones de seguridad al comité GEL”.

Que si bien existe la posibilidad de asignarle al Comité - GEL, las funciones de seguridad, tratándose del sector de la salud y protección social se estima necesario la creación de manera independiente del comité de seguridad de la información como órgano operativo y de apoyo para efectos de garantizar la adecuada implementación del sistema de gestión de seguridad de la información en el marco de dicha estrategia.

RESUELVE:

ART. 1º—Creación y objeto. Créase el Comité de Seguridad de la Información (CSI) del Ministerio de Salud y Protección Social, como órgano operativo y de apoyo para coordinar la formulación y la implementación del sistema de gestión de seguridad de la información, en el marco de la Estrategia de Gobierno en Línea y antitrámites, tanto al interior de esta entidad como del sector salud y protección social.

ART. 2º—Integración. El Comité de Seguridad de la Información (CSI), que se crea a través de la presente resolución, estará integrado por los siguientes servidores públicos:

a) El secretario general.

b) El jefe de la oficina de tecnología de la información y la comunicación, quien lo presidirá.

c) El jefe de la oficina asesora de planeación y estudios sectoriales.

d) El jefe de la oficina de calidad.

e) El líder de seguridad, designado por el jefe de la oficina de tecnologías de la información y la comunicación (TIC), de que trata el artículo 12 de la Resolución 2126 de 2012.

f) Director jurídico

PAR. 1º—Será invitado permanente al comité, con voz pero sin voto, un representante de la oficina de control interno. Adicionalmente, el comité podrá invitar a otros funcionarios del ministerio, de acuerdo con las temáticas a tratar, los cuales asistirán con voz pero sin voto.

PAR. 2º—Igualmente será invitado con voz pero sin voto, un delegado del Ministerio de Tecnologías de la Información y las Comunicaciones, previamente delegado por este, para efectos del seguimiento al sistema de gestión de seguridad de la información (SGSI) y la interoperabilidad de la información entre este ministerio y el Ministerio de Tecnologías de la Información y las Comunicaciones.

ART. 3º—Funciones del Comité de Seguridad de la Información. El Comité de Seguridad de la Información (CSI), tendrá a su cargo el cumplimiento de las siguientes funciones:

1. Generar recomendaciones para la formulación y adecuación de las políticas, planes, programas y proyectos en materia de seguridad de la información y controles específicos de seguridad para la implementación de nuevos sistemas o servicios.

2. Revisar los lineamientos técnicos para la implementación del sistema de gestión de seguridad de la información (SGSI), que deban ser adoptados por las entidades adscritas y vinculadas del sector, los cuales serán elaborados por la oficina de tecnología de la información y las comunicaciones (TIC) con base en el modelo de seguridad de la información del programa Gobierno en Línea (GEL).

3. Presentar a la secretaría general los requerimientos presupuestales para efectos de la implementación y mantenimiento del SGSI.

4. Realizar revisiones al sistema de gestión de seguridad de la información (SGSI) por lo menos dos (2) veces al año y según los resultados de esta revisión, definir las acciones a seguir.

5. Validar los lineamientos técnicos de la continuidad de las operaciones de los sistemas de información de esta entidad, frente a interrupciones imprevistas.

6. Evaluar los planes de acción para mitigar y/o eliminar riesgos en seguridad informática.

7. Aprobar los informes de seguridad de la información para ser presentados semestralmente ante el ministro.

8. Darse su propio reglamento.

ART. 5º—(Sic) Responsabilidades del líder de seguridad. El líder de seguridad de que trata el numeral 8º del artículo 3º y el artículo 12 de la Resolución 2126 de 2001 en lo que a materia de seguridad de la información se refiere y para efectos del comité que se crea mediante la presente resolución, deberá desarrollar adicionalmente a las funciones señaladas en el artículo 12 de la Resolución 2126 de 2012 las siguientes:

1. Analizar y presentar al comité de seguridad los aspectos de seguridad en las plataformas tecnológicas que soportan los procesos de este ministerio.

2. Documentar los procedimientos de seguridad informática y someterlos a decisión del comité de seguridad, realizando la implementación y seguimiento de los mismos.

3. Desarrollar, mantener y comunicar las políticas, estándares y guías de seguridad de la información en este ministerio, especialmente, aquellas con un enfoque tecnológico.

4. Realizar el análisis de riesgos de seguridad de la información y el plan para la mitigación de los mismos y presentarlos ante el comité, en las sesiones a que haya lugar y previa convocatoria.

5. Presentar para recomendación del comité de seguridad la respuesta a incidentes de seguridad relacionados con los problemas de seguridad informática dentro de la entidad, con fundamento en las mejores prácticas existentes.

6. Servir de punto de apoyo para la oficina de tecnología de la información y comunicaciones de este ministerio, respecto a cambios en la plataforma tecnológica, para asegurar que los aspectos de seguridad de información sean considerados en las etapas iniciales de los proyectos.

ART. 6º—Reuniones. El Comité de Seguridad de la Información (CSI) deberá reunirse la última semana de cada mes y en forma extraordinaria ante incidentes de seguridad que lo ameriten, previa convocatoria de su secretario técnico.

Las sesiones se podrán realizar de forma presencial o virtual a través de medios electrónicos, informáticos, telefónicos, audiovisuales o cualquier otro medio que permita el intercambio de información entre los miembros del comité.

La sesión virtual deberá desarrollarse dentro del término que especifique la convocatoria.

PAR. 1º—Para realizar las deliberaciones y toma de decisiones del comité, se requerirá mínimo la mitad más uno de los integrantes asistentes a la reunión, con voz y voto.

PAR. 2º—De cada una de las reuniones del comité se levantará la respectiva acta, la cual deberá ser firmada por quien presida la reunión y el secretario técnico, previa aprobación de los miembros participantes en la sesión. Las actas deberán registrar los compromisos para hacer seguimiento y serán numeradas consecutivamente durante la vigencia anual.

ART. 7º—Secretaría técnica. La secretaría técnica del Comité de Seguridad de la Información (CSI), será ejercida por un servidor público designado por el jefe de la oficina de tecnología de la información y la comunicación (TIC), el cual cumplirá las siguientes funciones:

1. Verificar el quórum al inicio de las sesiones.

2. Elaborar las actas de reunión del comité.

3. Llevar la custodia y archivo de las actas y demás documentos soportes.

4. Citar a los integrantes del comité a las sesiones ordinarias o extraordinarias.

5. Recibir y preparar la respuesta a la correspondencia que sea de competencia del comité.

6. Firmar las actas que hayan sido aprobadas.

7. Servir de interlocutor entre terceros y el comité.

8. Suministrar información a los miembros del comité sobre los asuntos de competencia relacionados con la implementación de la Estrategia de Gobierno en Línea.

9. Realizar seguimiento a los compromisos y tareas pendientes del comité.

PAR.—La convocatoria a los miembros del comité se hará por cualquier medio físico o electrónico, indicando el día, la hora y el lugar o forma de la reunión. Así mismo, extenderá la invitación a los funcionarios o personas cuya presencia se considere necesaria para debatir los temas puestos a consideración de los miembros del comité.

La citación física o electrónica deberá especificar el medio que será utilizado para realizar la sesión virtual o el lugar en caso de que sea posible y necesaria la presencia física de los integrantes. Además, deberá especificar el objeto de la sesión y anexar por vía electrónica el respectivo orden del día.

ART. 8º—Vigencia. La presente resolución rige a partir de la fecha de su publicación.

Publíquese, comuníquese y cúmplase.

Dada en Bogotá, D.C., a 25 de febrero de 2013.