• Author / Uploaded
• gracielaguerreroi

Citation preview

DOCUMENTO DE GESTIÓN

ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Código: DG-SGSI-02 Fecha: 06/12/2017 Revisión: 1.0 Página 1 of 10

Las COPIAS CONTROLADAS de los documentos aprobados y vigentes del SGSI, se encuentran publicados en la Intranet, sección Seguridad de la Información.

ALCANCE DEL SISTEMA DE GESTIÓN DE DE SEGURIDAD DE LA INFORMACIÓN DG-SGSI-02 (Rev. 1.0)

Elaborado por

Revisado por

Aprobado por

Prohibida su reproducción

Fecha de aprobación

DOCUMENTO DE GESTIÓN

ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Código: DG-SGSI-02 Fecha: 06/12/2017 Revisión: 1.0 Página 2 of 10

Las COPIAS CONTROLADAS de los documentos aprobados y vigentes del SGSI, se encuentran publicados en la Intranet, sección Seguridad de la Información.

Tabla de Control de Cambios en Documentos Revisión

Página

Fecha de aprobación

Prohibida su reproducción

Descripción

DOCUMENTO DE GESTIÓN

ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Código: DG-SGSI-02 Fecha: 06/12/2017 Revisión: 1.0 Página 3 of 10

Las COPIAS CONTROLADAS de los documentos aprobados y vigentes del SGSI, se encuentran publicados en la Intranet, sección Seguridad de la Información.

1.

OBJETIVO .................................................................................................................................. 4

2.

ALCANCE ................................................................................................................................... 4

3.

PROCESOS................................................................................................................................. 4

4.

PRODUCTOS Y SERVICIOS CRÍTICOS ......................................................................................... 5

5.

UBICACIONES FÍSICAS............................................................................................................... 6

6.

SISTEMAS DE INFORMACIÓN Y SERVICIOS TECNOLÓGICOS .................................................... 6

7.

ORGANIZACIÓN FUNCIONAL .................................................................................................... 7

8.

REQUISITOS LEGALES Y REGULATORIOS .................................................................................. 8

9.

ESTÁNDARES ............................................................................................................................ 8

10.

POLÍTICAS INTERNAS ........................................................................................................... 8

11.

PARTES INTERESADAS RELEVANTES AL SGSI Y SUS REQUISITOS ........................................ 9

12.

EXCLUSIONES .................................................................................................................... 10

Prohibida su reproducción

DOCUMENTO DE GESTIÓN

ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Código: DG-SGSI-02 Fecha: 06/12/2017 Revisión: 1.0 Página 4 of 10

Las COPIAS CONTROLADAS de los documentos aprobados y vigentes del SGSI, se encuentran publicados en la Intranet, sección Seguridad de la Información.

1.

OBJETIVO Establecer el alcance del Sistema de Gestión de Seguridad de la Información (SGSI) en FONDECYT.

2.

ALCANCE El SGSI implementado en FONDECYT en cumplimiento de la Norma ISO/IEC 27001:2013 tiene como alcance los siguientes procesos: 



Gestión de la Convocatoria: o Gestión y Aprobación del Expediente del Concurso o Gestión de la Convocatoria Gestión de Evaluación y Selección de Propuestas: o Diseño de Evaluación y Selección o Elegibilidad o Evaluación y Selección o Comunicación de Resultados o Suscripción del Contrato

En el alcance del SGSI se asegurará la confidencialidad, disponibilidad e integridad de la información que está comprendida en los Productos y Servicios de FONDECYT brindados tanto a los usuarios internos como externos. 3.

PROCESOS Los procesos del alcance se aprecian con claridad en el siguiente mapa de procesos de FONDECYT:

Prohibida su reproducción

DOCUMENTO DE GESTIÓN

ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Código: DG-SGSI-02 Fecha: 06/12/2017 Revisión: 1.0 Página 5 of 10

Las COPIAS CONTROLADAS de los documentos aprobados y vigentes del SGSI, se encuentran publicados en la Intranet, sección Seguridad de la Información.

Dichos procesos se ejecutan con el soporte de los procesos de apoyo que se mencionan seguidamente:        4.

Gestión de Recursos Humanos Gestión de Tecnologías de la Información Gestión Logística Gestión Financiera Gestión Documentaria y Archivo Gestión Legal Gestión de Comunicaciones

PRODUCTOS Y SERVICIOS CRÍTICOS N°

TIPO DESCRIPCIÓN (Producto/Servicio) SERVICIOS Y PRODUCTO CORE 1 Servicio Gestión y Aprobación del expediente del concurso 2 Servicio Gestión de la convocatoria 3

Producto

4

Servicio

Actas de cierre de postulantes

Evaluaciones de las Propuestas (Proceso de Evaluación y Selección de Propuestas) 5 Servicio Apoyo para el Proceso de Evaluación y Selección (Proceso de Evaluación y Selección de Propuestas) 6 Producto Fondos para Subvenciones (Dirección Ejecutiva) 7 Producto Contratos /Convenios Firmados (Proceso de Evaluación y Selección de Propuestas) SERVICIOS Y PRODUCTOS DE SOPORTE 8 Servicio Servicio de Desarrollo y Soporte de la Plataforma de SIG 9

Servicio

Trámite Documentario

10

Servicio

Gestión de Transferencia Interna de Documentos al Área de Archivo

11 12

Servicio Servicio

13

Servicio

Contact Center Evaluación, selección y reevaluación de proveedores Emisión de Opinión Legal

Prohibida su reproducción

USUARIO

Unidad de Desarrollo Unidad de Desarrollo Unidad de Desarrollo Unidad de Evaluación y Selección Unidad de Evaluación y Selección Dirección Ejecutiva Unidad de Evaluación y Selección Proceso de Gestión de Tecnología de la Información Proceso de Gestión Documentaria y Archivo Proceso de Gestión Documentaria y Archivo Todas las Áreas Proceso de Gestión Logística Proceso de Gestión Legal

Código: DG-SGSI-02 Fecha: 06/12/2017 Revisión: 1.0 Página 6 of 10

DOCUMENTO DE GESTIÓN

ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Las COPIAS CONTROLADAS de los documentos aprobados y vigentes del SGSI, se encuentran publicados en la Intranet, sección Seguridad de la Información.

5.

14

Servicio

Selección y Contratación del Personal

15

Servicio

Evaluación, Capacitación y Toma de Conciencia

Proceso de Gestión de Recursos Humanos Proceso de Gestión de Recursos Humanos

UBICACIONES FÍSICAS Las actividades de los procesos dentro del alcance se desarrollan en el siguiente local: N° Departamento 1 Lima

6.

Oficina Lima - Miraflores

Dirección Calle Schell 459

Provincia Lima

SISTEMAS DE INFORMACIÓN Y SERVICIOS TECNOLÓGICOS Los sistemas de información y servicios tecnológicos comprendidos en el alcance son los siguientes: TIPO

NOMBRE

AUTOR

UTILIZADO POR

Sistema Core

Sistema Integrado de Gestión (SIG) iThenticate

FONDECYT Turnitin, LLC

Contact Center

EBD

Unidad de Desarrollo y Unidad de Evaluación y Selección Unidad de Evaluación y Selección Todas las Áreas

DINA

CONCYTEC

Público

REGINA

CONCYTEC

Público

Sistema de RDOC

FONDECYT

Todas las Áreas

Sistema de Trámite Documentario

CONCYTEC

Todas las Áreas

Página Web FONDECYT Sistema de NetSupport Sistema de HelpDesk

FONDECYT Proveedor Externo FONDECYT

Amazon S3

Amazon

Todo Público Unidad de Tecnología de Información Unidad de Tecnología de Información Todas las Áreas

Google Drive

Google

Todas las Áreas

Gmail

Google

Unidad de Desarrollo y Unidad de Evaluación y Selección

Sistema Core Sistema de Información Administrativa Sistema de Información Administrativa Sistema de Información Administrativa Sistema de Información Administrativa Sistema de Información Administrativa Sistema Core Sistema de Soporte Sistema de Soporte Servicio de Almacenamiento Servicio de Almacenamiento Servicio de Correo Electrónico

Prohibida su reproducción

DOCUMENTO DE GESTIÓN

ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Código: DG-SGSI-02 Fecha: 06/12/2017 Revisión: 1.0 Página 7 of 10

Las COPIAS CONTROLADAS de los documentos aprobados y vigentes del SGSI, se encuentran publicados en la Intranet, sección Seguridad de la Información.

7.

TIPO

NOMBRE

AUTOR

UTILIZADO POR

Servicio de Telefonía IP Servicio de Administración Remota

Central Telefónica IP

Convergia

Servicio SSH

FONDECYT

Unidad de Desarrollo y Unidad de Evaluación y Selección Unidad de Tecnología de la Información

ORGANIZACIÓN FUNCIONAL 7.1

ESTRUCTURA ORGANIZATIVA

A nivel de organización de FONDECYT el alcance del SGSI comprende:    

Órganos de Dirección o Directorio o Dirección Ejecutiva Órganos de Línea o Unidad de Desarrollo o Unidad de Evaluación y Selección Órganos de Asesoramiento o Unidad de Asesoría Jurídica o Unidad de Planeamiento y Presupuesto Órganos de Apoyo o Unidad de Atención al Usuario o Unidad de Administración y Finanzas  Área de Recursos Humanos  Área de Logística  Área de Archivo o Unidad de Tecnología de la Información

Prohibida su reproducción

DOCUMENTO DE GESTIÓN

ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Código: DG-SGSI-02 Fecha: 06/12/2017 Revisión: 1.0 Página 8 of 10

Las COPIAS CONTROLADAS de los documentos aprobados y vigentes del SGSI, se encuentran publicados en la Intranet, sección Seguridad de la Información.

8.

9.

REQUISITOS LEGALES Y REGULATORIOS 8.1

DL N° 822, Ley sobre el Derecho de Autor y sus modificatorias.

8.2

Ley N° 30096, Ley de Delitos Informáticos.

8.3

Ley N° 28613, Ley del Consejo Nacional de Ciencia, Tecnología e Innovación Tecnológica.

8.4

Ley N° 29733, Ley de Protección de Datos Personales y su modificatoria.

8.5

Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales.

8.6

Ley N° 27806, Ley de Transparencia y Acceso a la Información Pública aprobado mediante Decreto Supremo N° 072-2003-PCM y sus modificatorias.

8.7

Ley N° 27269, Ley de Firmas y Certificados Digitales y su reglamento.

8.8

Resolución Ministerial N° 004-2016-PCM, que aprueba el uso obligatorio de la Norma Técnica Peruana "ISO NTP/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos 2a. Edición", en todas las entidades integrantes del Sistema Nacional de Informática.

8.9

Ley de Seguridad y Salud en el Trabajo (Ley N° 27983) y su modificatoria Ley N° 30222 (Recursos Humanos – Legal).

ESTÁNDARES 9.1

ISO/IEC 27001:2013. Tecnología de la Información - Técnicas de Seguridad - Sistemas de Gestión de la Información.

9.2

ISO/IEC 27002:2013. Tecnología de la Información - Técnicas de Seguridad - Código de Prácticas para Gestión de Seguridad de la Información.

9.3

ISO 31000:2009. Gestión del Riesgo - Principios y Lineamientos, Provee Principios, un Marco de Trabajo y un Proceso para Gestionar el Riesgo.

9.4

ISO/IEC 29100:2011. Tecnología de la Información – Técnicas de Seguridad - Marco de Trabajo de Privacidad.

10. POLÍTICAS INTERNAS 10.1 Política de Seguridad de la Información del Pliego CONCYTEC. 10.2 Reglamento Interno de Trabajo – RIT. 10.3 Código de Ética y Buena Conducta.

Prohibida su reproducción

DOCUMENTO DE GESTIÓN

ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Código: DG-SGSI-02 Fecha: 06/12/2017 Revisión: 1.0 Página 9 of 10

Las COPIAS CONTROLADAS de los documentos aprobados y vigentes del SGSI, se encuentran publicados en la Intranet, sección Seguridad de la Información.

11. PARTES INTERESADAS RELEVANTES AL SGSI Y SUS REQUISITOS Partes Interesadas Equipo del Proyecto ISO/IEC 27001 Dirección Personal de la Unidad de Desarrollo

Personal de la Unidad de Evaluación y Selección

Personal de la Unidad de Asesoría Legal Personal del Área de Archivo Personal del Área de Logística

CONCYTEC INDECOPI Dirección General de Protección de Datos Personales SUNEDU

Postulantes (Personas Naturales o Jurídicas)

Requisitos Lograr la certificación satisfactoriamente y transmitir una mejor imagen al público en general. Asegurar la información en FONDECYT en cuanto a transparencia, equidad y protección de la reputación. Mejorar los controles de acceso en el SIG, asegurar la información documentada almacenada en Google Drive y mejorar el manejo de la información de contactos. Proteger la información física generada en la unidad, considerando las disposiciones del Archivo General. Asegurar la información documentada almacenada en Google Drive, las propuestas contenidas en el SIG y el respaldo de la base de datos de evaluadores que se tiene en Google Drive. Proteger la información física generada en la unidad, considerando las disposiciones del Archivo General. Que las normas legales relacionadas a la seguridad de la información se implementen y cumplan con los requisitos establecidos. Mantener la Confidencialidad, Integridad y Disponibilidad de la información en el Archivo, implementando medidas de seguridad. Que las cláusulas y acuerdos de seguridad de la información este de acuerdo a las mejores prácticas y que se cumplan, para proteger la información que es procesada por terceras partes. Lograr transparencia, equidad y protección de los datos. Asimismo, alcanzar el logro de las políticas y metas del pliego. Lograr el respecto de la propiedad intelectual, derechos de autor, patentes y marcas. Proteger los datos personales de los postulantes, en el marco de la Ley N° 29733 y sus modificatorias, respetando su uso de acuerdo a las finalidades consentidas. Asegurar la integridad de la información empleada para una selección adecuada de los subvencionados a fin de promover exitosamente las investigaciones científicas y tecnológicas. Asegurar la confidencialidad e integridad de la información brindada para participar en los concursos manejados por FONDECYT. Asimismo, esperan que el SIG esté disponible durante todo el tiempo estipulado en las bases de dichos concursos. Prohibida su reproducción

DOCUMENTO DE GESTIÓN

ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Código: DG-SGSI-02 Fecha: 06/12/2017 Revisión: 1.0 Página 10 of 10

Las COPIAS CONTROLADAS de los documentos aprobados y vigentes del SGSI, se encuentran publicados en la Intranet, sección Seguridad de la Información.

12. EXCLUSIONES No forma parte del alcance los locales de CONCYTEC y de los proveedores de servicios en la nube; asimismo, no son parte del alcance los recursos informáticos propios de los evaluadores.

Prohibida su reproducción