RM 004-2016-PCM Aprueban el uso obligatorio de la NTP ISO/IEC 27001:2014

Artículo 1.- De la aprobación

Apruébese el uso obligatorio de la Norma Técnica Peruana “NTP ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos. 2ª Edición”, en todas las entidades integrantes del Sistema Nacional de Informática.

 

COMENTARIO : Un primer aspecto es la comprensión que quienes son los conformantes del sistema nacional de informatica, sobre este aspecto debemos remitirnos al Decreto Legislativo 604 en el que podemos identificar:

• Las Oficinas Sectoriales de Informática y demás Oficinas de Informática de los Ministerios, de los Organismos Centrales, Instituciones Públicas Descentralizadas y Empresas del Estado
• Las Oficinas Sectoriales de Informática y demás Oficinas de Informática de los Ministerios, de los Organismos Centrales, Instituciones Públicas Descentralizadas y Empresas del Estado
• Los Órganos de Informática de las Municipalidades.
• Los Órganos de Informática de los Poderes Públicos y de los Organismos Autónomos

 

Artículo 2.- Publicación

La Norma Técnica Peruana NTP ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos. 2ª Edición” será publicada en el Portal de la Presidencia del Consejo de Ministros (www.pcm.gob.pe) y en el Portal de la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) (www.ongei.gob.pe) el mismo día de la publicación de la presente resolución en el Diario Oficial El Peruano.

 

COMENTARIO : La publicación hace accesible la referida NTP para los fines que determina la resolución ministerial y debería entenderse que su público objetivo es las entidades integrantes del sistema nacional de informática.

 

Artículo 3.- De la implementación

Las entidades integrantes del Sistema Nacional de Informática, tendrán un plazo máximo de dos (2) años para la implementación y/o adecuación de la presente norma.

Dichas entidades públicas tendrán un plazo de 60 días contados a partir de la fecha de publicación de la presente norma, para la presentación del cronograma de implementación y/o adecuación del sistema de gestión de la Seguridad de la Información, que deberá ser presentado a la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros.

La ONGEI brindará asistencia técnica a las entidades que lo requieran. Las entidades públicas que a la fecha cuenten con la certificación ISO 27001, están exoneradas del presente proceso de implementación.

 

COMENTARIO : En cuanto a la presentación de cronograma de implementación o alineamiento, al no indicarse si son días hábiles o dias calendario, podemos referirnos a la Ley 27444, Ley del procedimiento administrativo general,  CAPITULO IV Plazos y términos, Art. 134 transcurso del plazo " 134.1 Cuando el plazo es señalado por días, se entenderá por hábiles consecutivos, excluyendo del cómputo aquellos no laborables del servicio, y los feriados no laborables de orden nacional o regional".

Se indica también que este cronograma deberá ser presentada a la ONGEI, con lo cual podemos dedcir que para efectos de cumplimiento, se tendrá en consideración la fecha de recepción por dicha entidad (ONGEI) del documento indicado.

Un aspecto importante es el mandato a ONGEI en cuanto a brindar asistencia técnica a las entidades que lo soliciten, con lo cual se abre la posibilidad  a que cualquier entidad del sistema nacional de informática pueda solicitar este apoyo, sin embargo no indica si el referido apoyo tendra costo o no, entendemos que no debería tener costo tda vez que no hay referecia a un TUPA específico.

Un aspecto a tomar en consideración es la exoneración a las entidades que ya cuenten con la certificación ISO 27001, toda vez que no indica el alcance que debería contemplar, con lo cual podria referirse a un alcance que no necesariamente aporte valor o confianza a los objetivos de la organización. 

 

Artículo 4.- De la certificación de la norma

Las entidades que requieran certificarse de acuerdo a lo establecido en la Norma Técnica Peruana “NTP ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos. 2 Edición”; podrán realizar dicha certificación de forma opcional y con recursos propios de cada entidad.

 

COMENTARIO : Señala como opcional la certificación, clarificando que cualquier certificación corre por cuenta de la entidad interesada.

 

Artículo 5.- Del Comité de Gestión de Seguridad de la Información

Cada entidad designará un Comité de Gestión de Seguridad de la Información, conformado por:

- El/la titular de la entidad;

- El/la responsable de administración o quien haga sus veces;

- El/la responsable de planificación o quien haga sus veces;

- El/la responsable del área de informática o quien haga sus veces;

- El/la responsable de área legal o quien haga sus veces y

- El/la oficial de seguridad de la información.

Las funciones del Comité de Gestión de Seguridad de la Información, serán establecidas por cada entidad de acuerdo a la norma que se aprueba mediante el Artículo 1º de la presente Resolución Ministerial.

 

COMENTARIO : Un aspecto interesante corresponde a la conformación del comite de seguridad, necesario para la NTP-ISO/IEC 27001 ( Podriamos citar la Clausula 5.3 y el control A6.1.1 ), sin mebargo entre las funciones del comite de seguridad esta elevar documentos a la alta dirección para su aprobación, al ser el titular de la institución parte del comité de seguridad esto facilita la aprobación de dichos mecanismos documentales o se convierte en una limitante de tiempo para las reuniones del comité toda vez que el titular de la institución no dispondra de todo el tiempo necesario para las funciones y responsabilidades del comité. Este punto es poco claro y en la medida de las experiencias de implementación se podra observar el desarrollo.

 

Artículo 6.- De la responsabilidad de la implementación

La responsabilidad de la implementación de la presente norma será del titular de cada entidad.

 

COMENTARIO : Es un aspecto relevante el asignar responsabilidad directa, toda vez que se fuerza a que el titular asigne los recursos necesarios para cumplir este encargo bajo responsabilidad.

 

Artículo 7.- Déjese sin efecto

Deróguese la Resolución Ministerial Nº 129-2012-PCM.

 

COMENTARIO : Al derogarse la Resolución Ministerial 129-2012-PCM, todos los articulos de esta referida norma son derogados, con lo cual aspectos como la implementación incremental y la designación del rol de seguridad de la información sn tambien derogados.

 

Sin duda alguna una resolución importante para el desarrollo de la seguridad de la información en Perú y una gran oportunidad de articular los esfuerzos de modernización del estado con los niveles apropiados de protección, mediante un sistema de gestión de seguridad de la información.

GTDI como parte interesada en el desarrollo tecnológico nacional ha iniciado un cnjunto de actividades y mecanismos  para apoyar a las entidades del sistema ncional de informática a conseguir este importante el objetivo, por lo cual por intermedio de nuestra Iniciativa de Impulso a la seguridad de la Información (IPSI) , nos comprometemos a formular propuestas, instrumentos de apoyo y difusión en aspectos de seguridad de la información.

GTDI como una empresa de investigación, desarrollo e innovación , como parte de sus líneas de acción en consultoria estratégica, seguridad de la información, privacidad y protección de datos personales, Gestión del riesgo, Gobernanza de T.I. y apoyo al sector público, puede ayudar a las diversas entidades en cuanto al cumplimiento de la referida resolución ministerial por medio de su oferta de consultoría y servicios.

Para mayor información o consultas puede comunicarse con nosotros a info@gtdi.pe