Autorizan ejecucin de la "Encuesta de Seguridad de la Informacin en la

Administracin Pblica - 2010"

RESOLUCIN MINISTERIAL N187-2010-PCM
15 de junio de 2010
CONSIDERANDO:
o

Que, el artculo 2 del Decreto Supremo N066-2003-PCM y el numeral 4.8 del artculo 4 y artculo
49 del Reglamento de Organizacin y Funciones de la Presidencia del Consejo de Ministros,
aprobado por Decreto Supremo N 063-2007- PCM, disponen que la Presidencia del Consejo de
Ministros, a travs de la Oficina Nacional de Gobierno Electrnico e Informtica (ONGEI), acta
como ente rector del Sistema Nacional de Informtica, encargndose de normar, coordinar integrar y
promover el desarrollo de la actividad informtica en la Administracin Pblica, impulsando el uso
de las nuevas tecnologas de la informacin para la modernizacin y desarrollo del Estado;
Que, de acuerdo con los numerales 50.1 y 50.3 del artculo 50 del Reglamento de Organizacin y
Funciones de la Presidencia del Consejo de Ministros, aprobado por el Decreto Supremo N 0632007-PCM, son funciones de la Oficina Nacional de Gobierno Electrnico e Informtica (ONGEI),
proponer la Estrategia Nacional de Gobierno Electrnico, as como coordinar y supervisar su
implementacin, realizando acciones orientadas a la consolidacin y desarrollo del Sistema
Nacional de Informtica y supervisar el cumplimiento de la normativa correspondiente;
Que, mediante Resolucin Ministerial N 246-2007-PCM se aprob el uso obligatorio de la

Norma Tcnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la Informacin. Cdigo

a
de Buenas Prcticas para la Gestin de la Seguridad de la Informacin, 2 Edicin" en las
entidades integrantes del Sistema Nacional de Informtica;
Que, la Oficina Nacional de Gobierno Electrnico e Informtica ha propuesto ejecutar el
Reporte de Seguridad de la Informacin en la Administracin Pblica -2010, para obtener y
mantener actualizada la informacin tcnica relacionada con la seguridad de la informacin de
las entidades del Sistema Nacional de Informtica;
De conformidad con lo dispuesto en la Ley N 29158 - Ley Orgnica del Poder Ejecutivo y el
Reglamento de Organizacin y Funciones de la Presidencia del Consejo de Ministros, aprobado
mediante Decreto Supremo N 063-2007-PCM y sus modificatorias;
SE RESUELVE:
o

Artculo 1 .-Autoriza la realizacin de la "Encuesta ele Seguridad de la Informacin en

la Administracin Pblica-2010"
Autorizar la ejecucin de la "Encuesta de Seguridad de la Informacin en la Administracin
Pblica - 2010" en todas la entidades de la Administracin Pblica pertenecientes al Sistema
Nacional de Informtica.
Artculo 2.- Aprueba de la "Encuesta de Seguridad de la Informacin en la
Administracin Pblica - 2010"
Aprobar la "Encuesta de Seguridad de la Informacin en la Administracin Pblica - 2010", que
como anexo forma parte integrante de la presente Resolucin Ministerial.
Artculo 3,- Publicacin
La presente Resolucin Ministerial ser publicada en el Diario Oficial El Peruano.
La "Encuesta de Seguridad de la Informacin en la Administracin Pblica -2010" ser
publicada en el Portal Institucional de la Presidencia del Consejo de Ministros
(www.pcm.gob.pe) y el Portal Institucional de la Oficina Nacional de Gobierno Electrnico e

Informtica (ONGEI) (www.ongei.gob.pe), al da siguiente de la publicacin de la presente norma

en el Diario Oficial "El Peruano".
Artculo 4.- Plazo
Las entidades de la Administracin Pblica debern remitir la Encuesta a la Oficina Nacional
de Gobierno Electrnico e Informtica (ONGEI) hasta el 30 de Julio del 2010, de acuerdo a las
o
indicaciones y a la informacin solicitada en el documento aprobado por el artculo 2 de la
presente Resolucin Ministerial.
Regstrese, comunquese y publquese.
JAVIER VELASQUEZ QUESQUN
Presidente del Consejo de Ministros

CUESTIONARIO DE SEGURIDAD DE LA INFORMACION EN LA ADMINISTRACION PUBLICA

OficinaNacionalde
Cdigo
GobiernoElectrnico
eInformtica
INFORMACION GENERAL
1. Nombre de la Institucin :
2. Poder, Sector, Gobierno Regional, Gobierno Local u otro pertinente :
3. Departamento :
4. Provincia :
5. Distrito :
6. Centro Poblado Urbano :
7. Apellidos y Nombres del Informante :
8. Telfono del Informante :
9. Correo Electrnico del informante :

(Responder con X en la columna Si o No a cada pregunta)

1.

2.

Con relacin a las Polticas de seguridad de la informacin

a.

Se han elaborado polticas de seguridad de la informacin?

b.

Se estn aplicando las polticas de seguridad de la informacin?

c.

Se hacen de conocimiento al personal de la institucin las polticas de seguridad de la informacin?

d.

Realizan evaluaciones y actualizaciones constantes de las polticas de seguridad de la informacin?

e.

Las polticas de seguridad de la informacin estn basadas en algn estndar nacional o internacional?

Con relacin a la organizacin para la seguridad de la informacin

a.

Tiene la institucin un rea o una persona asignada para labores exclusivas de seguridad de la informacin?

b.

El rea de seguridad de la informacin est formalizada dentro del organigrama de la institucin?

c.

Tienen un comit de seguridad de la informacin a nivel de alta direccin?

SI

NO

SI

NO

3.

d.

Tienen asesoramiento especializado en materia de seguridad de la informacin?

e.

Tienen algn mecanismo de cooperacin con organizaciones pblicas o privadas referidas

a seguridad de la informacin?

f.

Realizan evaluaciones de seguridad de la informacin a travs de otras entidades pblicas o privadas?

g.

Al realizar contratos con empresas externas exige requerimientos de seguridad de la informacin?

Con relacin a la clasificacin y control de activos informticos

a.

Estn clasificados los activos informticos (hardware, software)?

b.

Cuenta esta clasificacin, con un sistema software que la automatice?

c.
d
d.

4.

5.

SI

NO

SI

NO

SI

NO

Realizan peridicamente la actualizacin de su inventario de activos informticos?

Actualizan las etiquetas con nombres de contenidos
contenidos, fechas
fechas, ubicacin
ubicacin,
versiones y responsables de los activos informticos?

Con relacin a las polticas del personal respecto a la seguridad Informtica

a.

Estn preparados los usuarios para reportar los incidentes de seguridad de los sistemas de informacin?

b.

La institucin tiene acuerdos con el personal sobre la confidencialidad de la informacin?

c.

Reciben los usuarios capacitacin actualizada en temas de seguridad de la informacin?

d.

Tienen procedimientos de respuesta a incidentes y anomalas en materia de

seguridad informtica para ser aplicados por los usuarios?

e.

Los empleados,contratistas y terceros tienen una gua que establezca expectativas de seguridad de su rol?

Con relacin a la seguridad fsica y ambiental de los sistemas de Informacin

a.

Tienen identificadas las reas fsicas seguras donde se encuentran los sistemas de informacin?

b.

Tienen controles de ingreso del personal a las reas fsicas donde se encuentran los sistemas de informacin?

c.

Estn preparados para mantener el correcto funcionamiento del suministro elctrico en caso del alguna falla?

6.

7.

d.

Estn preparados para mantener el correcto funcionamiento del cableado de datos en caso del alguna falla?

e.

Tienen mecanismos de seguridad de la informacin para los equipos que ingresan y

salen fuera del mbito de la institucin?

f.

Cuentan con mantenimiento peridico del hardware y software en los equipos informticos?

g.

Se usan tcnicas para que la informacin de dispositivos de almacenamiento con data sensible no sea recuperable?

Con relacin a la gestin de las comunicaciones de datos y operaciones de los sistemas informticos
a.

Cuentan con procedimientos y responsabilidades operativas del uso y acceso a los sistemas informticos?

b.

Cuentan con documentacin de los procedimientos operativos del uso y acceso de los sistemas informticos?

c.

Tienen procedimientos para afrontar incidentes de las comunicaciones de datos y

operaciones de los sistemas informticos?

d
d.

Tienen establecidos controles en la red de datos contra software malicioso (antivirus

(antivirus, antispyware
antispyware, etc)?

e.

Tienen un registro de acceso y uso de las aplicaciones y servicios de la red de datos del personal operativo?

f.

Tienen un registro de fallas de las comunicaciones de datos?

g.

Tienen un control documentado de toda la informacin referida a la red de datos, es decir direcciones IP
de las maquinas de los usuarios, distribucin de las IP, diagrama de la red de datos, entre otros?

h.

Tienen mecanismos de seguridad para proteger la documentacin de los sistemas de informacin?

i.

Tienen establecidos controles de seguridad de los medios de almacenamiento de informacin en trnsito?

j.

Tienen establecidos controles de seguridad para el sistema de correo electrnico de la institucin?

Con relacin al control de acceso a los sistemas informticos

a.

Tienen polticas de control de acceso a los sistemas informticos de los usuarios en la red de datos?

b.

Se estn aplicando las polticas de control de acceso a los sistemas informticos de los usuarios en la red de datos?

c.

Cuentan con un registro permanente de acceso a los sistemas informticos de los usuarios en la red de datos?

SI

NO

SI

NO

8
8.

d.

Cuentan con una administracin de los privilegios para acceder a los sistemas informticos?

e.

Cuentan con una administracin de las contraseas de usuarios para los sistemas informticos?

f.

Tienen polticas de uso, de los servicios de la red de datos de su institucin?

g.

Tienen establecidos mecanismos de autenticacin de usuarios para las conexiones externas a la red de datos?

h.

Tienen establecido limitaciones de horario para la conexin a la red de datos?

i.

Estn aislados los sistemas informticos crticos de personal no autorizado?

j.

Tienen mecanismos de monitoreo del uso de los sistemas informticos?

k.

Tienen controles de seguridad informtica de los usuarios que usan computadoras porttiles?

Con relacin al desarrollo y mantenimiento de sistemas informticos

a.

Realiza el anlisis y define especificaciones de los requerimientos de seguridad informtica

cuando desarrolla sistemas informticos?

b.

Tienen mecanismos de validacin de datos de entrada y de salida los sistemas de informacin?

c.

Se han establecido controles criptogrficos en su red de datos, como por ejemplo el uso de certificados
digitales u otros programas para la encriptacin de datos?

d.

Tienen polticas de uso de los controles criptogrficos en su red de datos?

e.

Tienen servicios de no repudio, es decir que el usuario no pueda negar las acciones
realizadas en los sistemas informticos?

f.

Cuentan con una administracin de llaves para los certificados digitales?

g.

Mantienen un control del acceso a los programas fuente de las aplicaciones que utilizan en la red institucional?

h.

Tienen procedimientos de control de los cambios que se realizan en las aplicaciones software y
el sistema operativo de los servidores o las estaciones de trabajo?

i.

Realizan revisiones a posibles cdigos ocultos maliciosos o cdigo troyano dentro de sus aplicaciones software?

SI

NO

j.

9.

10
10.

11.

Tienen mecanismos de proteccin cuando se desarrolla software por parte de personal que
no pertenece a la institucin?

Con relacin a la gestin de incidentes de sistemas informticos

a.

Realiza algn procedimiento para reportar algn evento o debilidad ?

b.

Usa algn sistema de registro de incidentes o software de Helpdesk?

c.

Realiza la clasificacin de incidentes?

d.

Tienen elaborado un plan de respuesta ante incidentes?

e.

Investigan y recolectan evidencias sobre el incidente ?

f.

Evaluan el dao y costo de las incidencias?

Con relacin a la administracin de la continuidad de los sistemas Informticos

a.

Tienen elaborado planes de continuidad de las operaciones informticas?

b.

Estn implementados los planes de continuidad de las operaciones informticas?

c.

Realizan pruebas, mantenimiento y evaluacin constante de los planes de continuidad de las operaciones informticas?

Con relacin al cumplimiento legal referido a los sistemas Informticos

a.

Tienen identificada la normativa legal a la que pueda sujetarse las aplicaciones software que
usan en la red de su institucin?

b.

Tienen polticas y mecanismos de proteccin de datos y privacidad de la informacin del personal de la institucin?

c.

Tienen controles de prevencin del uso inadecuado de los recursos de procesamiento de informacin?

d.

Tienen controles del cumplimiento de las polticas de seguridad informtica?

e.

Realizan auditoria a los sistemas informticos de su institucin?

SI

NO

SI

NO

SI

NO

12.

Nivel de implementacin (marcar con una X)

Politica de Seguridad de la Informacion

No iniciado

Elaborada y en
revision

Emitida
mediante
Normativa

Elaboracion de Analisis de Riesgos

No iniciado

En Proceso

Concluido

Documento de Brecha(implementado y lo que

falta implementar)

No iniciado

En Proceso

Concluido

La implementacion de la Norma
se hace con:
Recomendaciones,
Sugerencias,
Personal
Consultoria Comentarios
propio de la
contratada
institucion