Fortalecer la capacidad de respuesta de la Superintendencia Nacional de Salud ante situaciones de fallas o desastres,
OBJETIVO mediante la creacin, ejercicios de pruebas y mejora continua del plan de continuidad de negocio, para permitir la continuidad
de la operacin de los servicios crticos de la Superintendencia Nacional de Salud.
Inicia con el Anlisis de Impacto al Negocio (BIA), continua con la seleccin de estrategias y la definicin del plan y finaliza con
ALCANCE los ejercicios, pruebas y mantenimiento del BCP.
MBITO DE
Este procedimiento aplica para los procesos crticos de la Superintendencia Nacional de Salud, definidos en el anlisis de riesgos.
APLICACIN
DEFINICIONES
Procesos crticos:
Activacin: Acto de declarar que los acuerdos de la organizacin de Continuidad de Negocio deben llevarse a la prctica con el fin de continuar
la entrega de productos o servicios clave.
Anlisis de Impacto al Negocio (BIA, por sus siglas en ingls, Business Impact Analisys): Proceso del anlisis de actividades y el efecto
que una interrupcin del negocio podra tener sobre ellas.
Continuidad de Negocio: Capacidad de la organizacin para continuar con la entrega de productos o servicios a los niveles predefinidos
aceptables despus de un evento perjudicial.
Ejercicio: Proceso para entrenar, evaluar, practicar, y mejorar el desempeo en una organizacin.
Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.
Incidente: Situacin que sera o podra llevar a una interrupcin, prdida, emergencia o crisis.
Infraestructura: Sistema de instalaciones, equipos y servicios necesarios para el funcionamiento de una organizacin.
Mejoramiento continuo: Actividad peridica para mejorar el desempeo.
BCP: (por sus siglas en ingls, Business Continuity Plan - Plan de Continuidad de Negocio), Procedimientos documentados que guan a las
organizaciones para responder, recuperar, reanudar y restaurar a un nivel pre-definido de operacin debido a la interrupcin.
Pg. 1 de 13
PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02
Plan de emergencias: Documento que contempla las acciones e instrucciones que se deben seguir para responder rpida, eficaz y con el
menor traumatismo posible ante una Emergencia.
DRP: (Por sus siglas en ingls, Disaster Recovery Plan - Plan de Recuperacin de Desastres), es la estrategia que se sigue para restablecer los
servicios de tecnologa (red, servidores, hardware y software) despus de haber sufrido una afectacin por un incidente o catstrofe de cualquier
tipo, el cual atente contra la continuidad del negocio.
Prueba: Procedimiento para determinar la presencia, cualidad o veracidad de algo.
RPO: (Por sus siglas en ingls, Recovery Point Objetive - Punto Objetivo de Recuperacin), punto en el cual la informacin usada por una
actividad debe ser restaurada para permitir la reanudacin de la operacin.
Recurso: Todos los activos, recursos humanos, conocimientos, informacin, tecnologa, locales y suministros e informacin que una
organizacin tiene que tener disponibles para su uso, cuando sea necesario, con el fin de operar y cumplir con su objetivo.
Riesgo: Efecto de la incertidumbre sobre los objetivos.
RTO: (Por sus siglas en ingls, Recovery Time Objetive -Tiempo objetivo de recuperacin), periodo de tiempo despus de un incidente en el
que: El producto o servicio debe ser reanudado, o la actividad debe reanudarse, o los recursos deben ser recuperados.
CDA: Comit de Desarrollo Administrativo
NORMAS
REQUISITO LEGAL DIRECTRIZ DE CUMPLIMIENTO
Artculo 1. Objeto. La presente Ley tiene por objeto desarrollar el derecho
constitucional que tienen todas las personas a conocer, actualizar y
rectificar las informaciones que se hayan recogido sobre ellas en bancos
Ley 1266 DE 2008 Por la cual se dictan las disposiciones generales
de datos, y los dems derechos, libertades y garantas constitucionales
del habeas data y se regula el manejo de la informacin contenida en
relacionadas con la recoleccin, tratamiento y circulacin de datos
bases de datos personales, en especial la financiera, crediticia,
personales a que se refiere el artculo 15 de la Constitucin Poltica, as
comercial, de servicios y la proveniente de terceros pases y se dictan
como el derecho a la informacin establecido en el artculo 20 de la
otras disposiciones"
Constitucin Poltica, particularmente en relacin con la informacin
financiera y crediticia, comercial, de servicios y la proveniente de terceros
pases.
Ley 1273 de 2009 "Por medio de la cual se modifica el cdigo penal, Artculo 1. Adicionase el Cdigo Penal con un Ttulo VII BIS denominado
se crea un nuevo bien jurdico tutelado - denominado "de la proteccin "De la Proteccin de la informacin y de los datos", del siguiente tenor:
de la informacin y de los datos" y se preservan integralmente los CAPITULO PRIMERO de los atentados contra la confidencialidad, la
Pg. 2 de 13
PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02
sistemas que utilicen las tecnologas de la informacin y las integridad y la disponibilidad de los datos y de los sistemas informticos y
comunicaciones, entre otras disposiciones" CAPITULO SEGUNDO de los atentados informticos y otras infracciones.
Por la cual se dictan disposiciones generales para la proteccin de datos.
Esta ley busca proteger los datos personales registrados en cualquier
Ley 1581 de 2012 Por la cual se dictan disposiciones generales para base de datos que permite realizar operaciones, tales como recoleccin,
la proteccin de datos personales almacenamiento, uso, circulacin o supresin por parte de entidades de
naturaleza pblica y privada, sin embargo, a los datos financieros se les
contina aplicando la Ley 1266 de 2008, excepto los principios.
Artculo 2.2.9.1.2.1. Componentes. Los fundamentos de la estrategia
Decreto 1078 del 26 de mayo de 2015 "Por medio del cual se expide
sern desarrollados a travs de 4 componentes que facilitarn la
el Decreto nico Reglamentario del Sector de Tecnologas de la
masificacin de la oferta y la demanda de Gobierno En Lnea. 4.
Informacin y las Comunicaciones"
Seguridad y privacidad de la Informacin.
Decreto 2573 de 12 de diciembre de 2014 Por el cual se establecen Artculo 5. Componentes. Los fundamentos de la estrategia sern
los lineamientos generales de la Estrategia de Gobierno en lnea, se desarrollados a travs de 4 componentes que facilitarn la masificacin de
reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras la oferta y la demanda de Gobierno En Lnea. 4. Seguridad y privacidad
disposiciones de la Informacin.
Regula el derecho de acceso a la informacin pblica, los procedimientos
para el ejercicio y garantas del derecho y las excepciones a la publicidad
Ley 1712 de 2014 "Por medio de la cual se crea la ley de transparencia
de la informacin. Toda persona puede conocer sobre la existencia y
y del derecho de acceso a la informacin pbica nacional y se dictan
acceder a la informacin pblica en posesin o bajo control de los sujetos
otras disposiciones"
obligados. El acceso a la informacin solamente podr ser restringido
excepcionalmente.
Artculo 1. Objeto. El presente Decreto tiene como objeto reglamentar
Decreto 1377 de 2013: Por el cual se reglamenta parcialmente la Ley
parcialmente la Ley 1581 de 2012, por la cual se dictan disposiciones
1581 de 2012.
generales para la proteccin de datos personales.
Que el artculo 25 de la Ley 1581 de 2012 crea el Registro Nacional de
Bases de Datos, el cual se define como el directorio pblico de las bases
de datos personales sujetas a Tratamiento que operan en el pas,
Decreto 886 de 2014: Por el cual se reglamenta el artculo 25 de la
administrado por la Superintendencia de Industria y Comercio y de libre
Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos.
consulta para los ciudadanos. Gobierno Nacional reglamentar la
informacin mnima que debe contener el registro, as como los trminos
y condiciones de inscripcin a los que estarn sujetos los Responsables
Pg. 3 de 13
PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02
del Tratamiento.
Ley 1221 de 2008: Por la cual se establecen normas para promover y ARTCULO 3o. poltica pblica de fomento al teletrabajo. Pargrafo 1o.
regular el Teletrabajo. Teletrabajo para poblacin vulnerable.
POLTICAS DE OPERACIN
1. El lder del subsistema de Seguridad de la Informacin para el Plan de Continuidad de Negocio de la Superintendencia Nacional de Salud
tendr de insumo los riesgos crticos hallados al aplicar la gua metodolgica de anlisis de Riesgos de Seguridad de la informacin ASGU05,
sobre los cuales se hace valoracin de los riesgos de interrupcin, cualquier cambio en la definicin de la criticidad de los riesgos debe ser
informado al responsable de la gestin del Plan de Continuidad de Negocio de la Superintendencia Nacional de Salud
2. El nivel de aceptacin del riesgo de la Matiz de riesgo de seguridad de la informacin, identificado mediante la gua ASGU05 deber ser
aprobado por la alta gerencia.
3. La identificacin de los procesos crticos de la entidad debe ser un trabajo participativo de las diferentes dependencias de la Entidad.
4. Los cambios en la infraestructura y organizacin interna que afecte los procesos crticos definidos dentro del plan, deben ser informados al
responsable lder del subsistema de Seguridad de la Informacin del Plan de Continuidad de Negocio.
5. Los ejercicios y pruebas del BCP (no usar siglas) son parte vital para garantizar la operatividad del plan, los cuales se realizarn peridicamente
previa definicin del plan de trabajo y con la participacin activa de los lderes de cada rea de los procesos crticos y de la Oficina de
Tecnologas de la Informacin, generando la documentacin respectiva que soporte los resultados obtenidos e informarlos y notificarlos al
Comit de Desarrollo Administrativo.
6. La activacin y/o desactivacin del BCP, est formalizada dentro del plan de emergencias, en donde se define el comit responsable de esta
decisin y los parmetros requeridos para ello incluyendo los canales adecuados de comunicacin al interior y exterior de la entidad para
funcionarios, proveedores y terceras partes interesadas segn corresponda.
7. La Superintendencia Nacional de Salud debe proveer los recursos necesarios establecidos mediante el Plan Anual de Gestin PAG, y
mediante los proyectos de inversin.
8. El lder del subsistema de Seguridad de la Informacin ejecuta la revisin del documento del BCP como mnimo una vez en el ao, previa
definicin del plan de trabajo y debe considerar los resultados obtenidos en los ejercicios y pruebas realizados al BCP.
9. Los lderes de los procesos crticos son los responsables de liderar la operacin del BCP, e informar cualquier cambio en el Plan de Continuidad
de Negocio al lder del subsistema de Seguridad de la Informacin.
10. La Gua Anlisis de Impacto al Negocio BIA, con cdigo GGGU05 y el Plan de Continuidad de Negocio BCP, Cdigo GGPL01 sern de
conocimiento parcial para las partes interesadas definidas dentro de estos documentos y de conocimiento completo por parte del lder del
subsistema.
Pg. 4 de 13
PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02
Pg. 6 de 13
PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02
Pg. 8 de 13
PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02
Pg. 10 de 13
PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02
Jornadas de Sensibilizacin y
Capacitacin.
PUNTOS DE CONTROL
ID NOMBRE DE LA MTODO DE CONTROL FRECUENCIA RESPONSABLE REGISTRO
ACTIVIDAD
/ TAREA
Cada vez que -Listas de asistencia
cambie el entrevistas ASFT04
Diligenciar listas de asistencia y realizar
Realizar el anlisis de impacto alcance o se Profesional
1 actas para las entrevistas realizadas en el
al negocio defina por el asignado -Actas de entrevistas
levantamiento de informacin.
lder del ASFT06
proceso.
Cada vez que -Listas de asistencia
Diligenciar listas de asistencia y realizar cambie el reuniones ASFT04
Documentar el Plan de actas para las reuniones de trabajo alcance o se Profesional
4
Continuidad del Negocio realizadas con las partes interesadas para defina por el asignado -Actas de reuniones
la construccin del BCP. lder del ASFT06
proceso.
-Lista de asistencia
Capacitaciones
Cada vez que
ASFT04
Diligenciar listas de asistencia y realizar se actualice el
Realizar Jornadas de Profesional
5 actas durante la ejecucin de las BCP o se defina
Sensibilizacin y Capacitacin asignado -Acta de
capacitaciones. por el lder del
Capacitaciones
proceso.
ASFT06
Pg. 11 de 13
PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02
Plantilla Informe
Acorde al plan
Generar informe sobre la ejecucin y Documento
Realizar Ejercicios y Pruebas de trabajo Profesional
6 resultados de los ejercicios y pruebas del Institucional
definido en el asignado
BCP. COFL02
BCP.
ANLISIS DE TIEMPO
Los tiempos determinados para este procedimiento son: Levantamiento de informacin del BIA (2) meses, elaboracin de la gua BIA (1) mes,
creacin del BCP (1) mes, elaboracin y ejecucin del plan de capacitaciones (2) meses, creacin, ejecucin e informe del plan de pruebas del
BCP (2) meses y una (1) revisin anual del BCP.
DOCUMENTOS DE REFERENCIA
NTC ISO-22301:2012 Continuidad de Negocio. Sistemas de gestin de Continuidad de Negocio. Requisitos.
NTC ISO-IEC 27001:2013 Tecnologa de la Informacin. Tcnicas de Seguridad. Sistemas de Gestin de la Seguridad de la Informacin
Requisitos.
Gua para la preparacin de las TIC para la continuidad del negocio, MINTIC.
Gua para realizar el Anlisis de Impacto de Negocios BIA, MINTIC.
Gua: Controles de Seguridad y Privacidad de la Informacin, MINTIC.
Pg. 12 de 13
PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02
Pg. 13 de 13