Resolución N° 62/010 - 13/10/2010- CDH

Apercíbese directamente a los organismos de la Administración Pública que no hayan adoptado una Política de Seguridad de la Información, tomando como base la “Política de Seguridad de la Información para Organismos de la Administración Pública”, otorgándoles un plazo de 180 días para ello.

Montevideo, 13 de octubre de 2010.

VISTO: lo dispuesto por el Decreto del Poder Ejecutivo Nº 452/009 de 28 de setiembre de 2009 y por Resolución de este Consejo Directivo Honorario Nº 59/010 de 29 de setiembre de 2010;

RESULTANDO:        I) que dicho Decreto Nº 452/009 fija una “Política de Seguridad de la Información para Organismos de la Administración Pública” con el propósito de impulsar un Sistema de Gestión de Seguridad de la Información;

                                 II) que, en su mérito, el art. 1º de este Decreto Nº 452/009 establece que “Las Unidades Ejecutoras de los Incisos 02 al 15 del Presupuesto Nacional deberán adoptar en forma obligatoria una Política de Seguridad de la Información, tomando como base la Política de Seguridad de la Información para Organismos de la Administración Pública”;

                                 III) que, asimismo, el referido Decreto Nº 452/009 establece el deber de estos organismos de contar con una política de gestión de incidentes de seguridad de la información y de desarrollar un proceso de evaluación y tratamiento de riesgos de seguridad y de acuerdo a sus resultados implementar las acciones correctivas y preventivas correspondientes, así como elaborar y actualizar un plan de acción;

                                 IV) que por Resolución Nº 59/010, este Consejo Directivo Honorario aprobó la “Política de Gestión de Incidentes de Seguridad de la Información” y la “Política de Gestión del Riesgo de Seguridad de la Información”;

CONSIDERANDO:   I) que la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC) tiene potestades de fiscalización en materia de seguridad de la información (Decreto Nº 307/007 de 27 de agosto de 2007), pudiendo “apercibir directamente a los organismos que no cumplan con las normas y estándares en tecnología de la información establecidas por la normativa vigente, en lo que refiera a seguridad de los activos de la información” (art. 74 de la ley Nº 18.362 de 6 de octubre de 2008);                

                                  II) que en virtud de tales potestades de fiscalización atribuidas a AGESIC, corresponde controlar la adopción de la “Política de Seguridad de la Información para Organismos de la Administración Pública” por parte de éstos, así como de la “Política de Gestión de Incidentes de Seguridad de la Información” y la “Política de Gestión del Riesgo de Seguridad de la Información”;

ATENTO: a lo precedentemente expuesto y a lo preceptuado en las disposiciones citadas;

EL CONSEJO DIRECTIVO HONORARIO DE AGESIC RESUELVE:

1º. Apercíbese directamente a los organismos de la Administración Pública que no hayan adoptado una Política de Seguridad de la Información, tomando como base la “Política de Seguridad de la Información para Organismos de la Administración Pública”, otorgándoles un plazo de 180 días para ello.

2º. Difúndase la “Política de Gestión de Incidentes de Seguridad de la Información” y la “Política de Gestión del Riesgo de Seguridad de la Información” a todos los organismos de la Administración Pública, otorgándoles un plazo de 180 días para su adopción.

3º. Fiscalícese, a partir del vencimiento de dicho plazo, el efectivo cumplimiento, por parte de los organismos de la Administración Pública, de la adopción de las Políticas referidas.

Firmado por:

Ing. Jorge Abín, Ing. José Clastornik, Prof. Ida Holz, Ing. Víctor Villar.

 

Descargas

Etiquetas