Lineamientos
Resoluciones Administrativas
- Resolución Administrativa AGETIC/RA/0051/2017 de 19 de Septiembre de 2017, que aprueba los lineamientos PISI
- Resolución Administrativa AGETIC/RA/0059/2018 de 1 de Agosto de 2018, que modifica el término "Administrativa" por "Expresa".
Preguntas Frecuentes
1.- ¿Se puede ampliar el plazo de presentación del Plan Institucional de Seguridad de la Información?
No, AGETIC no fija el plazo de presentación, el plazo se encuentra dado por el Decreto Supremo 2514 que establece:
“DISPOSICIÓN TRANSITORIA SEGUNDA.- Las entidades del nivel central del Estado deberán presentar a la AGETIC, en un plazo no mayor a un (1) año, desde la aprobación de las políticas de seguridad de la información por la AGETIC, su Plan Institucional de Seguridad de la Información.” Ese plazo se cumplió el 19 de septiembre del 2018.
2.- ¿Pueden facilitar la Resolución Administrativa de aprobación de los Lineamientos para la elaboración e implementación de los Planes Institucionales de Seguridad de Información de las entidades del sector público?
Si, la resolución del 19 de Septiembre de 2017 AGETIC/RA/0051/2017 de los Lineamientos para la elaboración e implementación de los Planes Institucionales de Seguridad de Información de las entidades del sector público.
3.- ¿Mi entidad no hace resoluciones administrativas solo de otro tipo, que hago en ese caso para el nombramiento del Comité de Seguridad de la Información?
La resolución del 1 de Agosto de 2018 AGETIC/RA/0059/2018 aprueba la modificación de los Lineamientos para la elaboración e implementación de los Planes Institucionales de Seguridad de Información de las entidades del sector público para que las entidades puedan realizar "Resoluciones Expresas".
4.- ¿Debo presentar todo el Plan Institucional de Seguridad de la Información de mi institución o solo una parte?
El Decreto Supremo 2514 establece: “DISPOSICIÓN TRANSITORIA SEGUNDA.- Las entidades del nivel central del Estado deberán presentar a la AGETIC, en un plazo no mayor a un (1) año, desde la aprobación de las políticas de seguridad de la información por la AGETIC, su Plan Institucional de Seguridad de la Información.”
Indicando el Plan Institucional de Seguridad de la Información, no solo parte de el mismo.
5.- ¿El Plan Institucional de Seguridad de la Información de mi institución debe ser aprobado por mi MAE y revisado por el CSI?
Si, el documento Lineamientos para la elaboración e implementación de los Planes Institucionales de Seguridad de Información de las entidades del sector público en el punto 6.4 Aprobación del PISI, indica:
“El PISI deberá ser revisado por el CSI que impulsará su aprobación ante la Máxima Autoridad Ejecutiva de la entidad o institución pública”
6.- ¿Que pasa si la implementación del PISI de mi institución es mayor a un año?
De acuerdo al contexto de cada institución y sus recursos, este plazo podrá ser ampliado previa justificación escrita por la MAE y la documentación de respaldo elaborada por el RSI indicando las causales del retraso.
Se recomienda que la implementación de controles estén planificadas para un año, priorizando el tratamiento de riesgos importantes, considerando que algunos controles pueden ser ejecutados por fases.
7.- ¿Que pasa si elabore mi plan y me di cuenta que hay errores y este ya se encuentra aprobado?
El PISI deberá ser flexible a actualizaciones periódicas en función de la mejora continua de la seguridad de la información.
8.- ¿Que normativa establece la designación del Responsable de Seguridad de la Información?
El Decreto Supremo 2514 indica:
DISPOSICIÓN TRANSITORIA PRIMERA.- A partir de la publicación del presente Decreto Supremo:
a. Las entidades del sector público remitirán a la AGETIC, en un plazo no mayor a treinta (30) días calendario la designación de un Responsable del Gobierno Electrónico y Tecnologías de Información y Comunicación y del Responsable de Seguridad de la Información;
9-. ¿Cada cuánto tiempo se debe actualizar el Plan?
El lineamiento establece que el cronograma de implementación debe ejecutarse en el lapso de un año, al cabo de este año se debe realizar una evaluación anual del Plan para identificar mejoras que derivará en la actualización del mismo.