PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02

PROCEDIMIENTO CONTINUIDAD DEL NEGOCIO VERSIN 1

ELABOR: REVIS: APROB:

Profesional Oficina de Tecnologas de la Jefe Oficina de Tecnologas de la Informacin Jefe Oficina de Tecnologas de la Informacin
Informacin Jefe Oficina Asesora de Planeacin
Profesional de la Oficina Asesora de Planeacin

FECHA: 05/06/2016 FECHA: 20/06/2016 FECHA: 28/07/2016

Fortalecer la capacidad de respuesta de la Superintendencia Nacional de Salud ante situaciones de fallas o desastres,
OBJETIVO mediante la creacin, ejercicios de pruebas y mejora continua del plan de continuidad de negocio, para permitir la continuidad
de la operacin de los servicios crticos de la Superintendencia Nacional de Salud.
Inicia con el Anlisis de Impacto al Negocio (BIA), continua con la seleccin de estrategias y la definicin del plan y finaliza con
ALCANCE los ejercicios, pruebas y mantenimiento del BCP.
MBITO DE
Este procedimiento aplica para los procesos crticos de la Superintendencia Nacional de Salud, definidos en el anlisis de riesgos.
APLICACIN
DEFINICIONES
Procesos crticos:

Activacin: Acto de declarar que los acuerdos de la organizacin de Continuidad de Negocio deben llevarse a la prctica con el fin de continuar
la entrega de productos o servicios clave.
Anlisis de Impacto al Negocio (BIA, por sus siglas en ingls, Business Impact Analisys): Proceso del anlisis de actividades y el efecto
que una interrupcin del negocio podra tener sobre ellas.
Continuidad de Negocio: Capacidad de la organizacin para continuar con la entrega de productos o servicios a los niveles predefinidos
aceptables despus de un evento perjudicial.
Ejercicio: Proceso para entrenar, evaluar, practicar, y mejorar el desempeo en una organizacin.
Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.
Incidente: Situacin que sera o podra llevar a una interrupcin, prdida, emergencia o crisis.
Infraestructura: Sistema de instalaciones, equipos y servicios necesarios para el funcionamiento de una organizacin.
Mejoramiento continuo: Actividad peridica para mejorar el desempeo.
BCP: (por sus siglas en ingls, Business Continuity Plan - Plan de Continuidad de Negocio), Procedimientos documentados que guan a las
organizaciones para responder, recuperar, reanudar y restaurar a un nivel pre-definido de operacin debido a la interrupcin.

Pg. 1 de 13
 PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02

PROCEDIMIENTO CONTINUIDAD DEL NEGOCIO VERSIN 1

Plan de emergencias: Documento que contempla las acciones e instrucciones que se deben seguir para responder rpida, eficaz y con el
menor traumatismo posible ante una Emergencia.
DRP: (Por sus siglas en ingls, Disaster Recovery Plan - Plan de Recuperacin de Desastres), es la estrategia que se sigue para restablecer los
servicios de tecnologa (red, servidores, hardware y software) despus de haber sufrido una afectacin por un incidente o catstrofe de cualquier
tipo, el cual atente contra la continuidad del negocio.
Prueba: Procedimiento para determinar la presencia, cualidad o veracidad de algo.
RPO: (Por sus siglas en ingls, Recovery Point Objetive - Punto Objetivo de Recuperacin), punto en el cual la informacin usada por una
actividad debe ser restaurada para permitir la reanudacin de la operacin.
Recurso: Todos los activos, recursos humanos, conocimientos, informacin, tecnologa, locales y suministros e informacin que una
organizacin tiene que tener disponibles para su uso, cuando sea necesario, con el fin de operar y cumplir con su objetivo.
Riesgo: Efecto de la incertidumbre sobre los objetivos.
RTO: (Por sus siglas en ingls, Recovery Time Objetive -Tiempo objetivo de recuperacin), periodo de tiempo despus de un incidente en el
que: El producto o servicio debe ser reanudado, o la actividad debe reanudarse, o los recursos deben ser recuperados.
CDA: Comit de Desarrollo Administrativo

NORMAS
REQUISITO LEGAL
Ley 1266 DE 2008 Por la cual se dictan las disposiciones generales
del habeas data y se regula el manejo de la informacin contenida en
bases de datos personales, en especial la financiera, crediticia,
comercial, de servicios y la proveniente de terceros pases y se dictan
otras disposiciones"
Ley 1273 de 2009 "Por medio de la cual se modifica el cdigo penal,
se crea un nuevo bien jurdico tutelado - denominado "de la proteccin
de la informacin y de los datos" y se preservan integralmente los
DIRECTRIZ DE CUMPLIMIENTO
Artculo 1. Objeto. La presente Ley tiene por objeto desarrollar el derecho
constitucional que tienen todas las personas a conocer, actualizar y
rectificar las informaciones que se hayan recogido sobre ellas en bancos
de datos, y los dems derechos, libertades y garantas constitucionales
relacionadas con la recoleccin, tratamiento y circulacin de datos
personales a que se refiere el artculo 15 de la Constitucin Poltica, as
como el derecho a la informacin establecido en el artculo 20 de la
Constitucin Poltica, particularmente en relacin con la informacin
financiera y crediticia, comercial, de servicios y la proveniente de terceros
pases.
Artculo 1. Adicionase el Cdigo Penal con un Ttulo VII BIS denominado
"De la Proteccin de la informacin y de los datos", del siguiente tenor:
CAPITULO PRIMERO de los atentados contra la confidencialidad, la

Pg. 2 de 13
 PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02

PROCEDIMIENTO CONTINUIDAD DEL NEGOCIO VERSIN 1

sistemas que utilicen las tecnologas de la informacin y las integridad y la disponibilidad de los datos y de los sistemas informticos y
comunicaciones, entre otras disposiciones" CAPITULO SEGUNDO de los atentados informticos y otras infracciones.
Por la cual se dictan disposiciones generales para la proteccin de datos.
Esta ley busca proteger los datos personales registrados en cualquier
Ley 1581 de 2012 Por la cual se dictan disposiciones generales para base de datos que permite realizar operaciones, tales como recoleccin,
la proteccin de datos personales almacenamiento, uso, circulacin o supresin por parte de entidades de
naturaleza pblica y privada, sin embargo, a los datos financieros se les
contina aplicando la Ley 1266 de 2008, excepto los principios.
Artculo 2.2.9.1.2.1. Componentes. Los fundamentos de la estrategia
Decreto 1078 del 26 de mayo de 2015 "Por medio del cual se expide
sern desarrollados a travs de 4 componentes que facilitarn la
el Decreto nico Reglamentario del Sector de Tecnologas de la
masificacin de la oferta y la demanda de Gobierno En Lnea. 4.
Informacin y las Comunicaciones"
Seguridad y privacidad de la Informacin.
Decreto 2573 de 12 de diciembre de 2014 Por el cual se establecen Artculo 5. Componentes. Los fundamentos de la estrategia sern
los lineamientos generales de la Estrategia de Gobierno en lnea, se desarrollados a travs de 4 componentes que facilitarn la masificacin de
reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras la oferta y la demanda de Gobierno En Lnea. 4. Seguridad y privacidad
disposiciones de la Informacin.
Regula el derecho de acceso a la informacin pblica, los procedimientos
para el ejercicio y garantas del derecho y las excepciones a la publicidad
Ley 1712 de 2014 "Por medio de la cual se crea la ley de transparencia
de la informacin. Toda persona puede conocer sobre la existencia y
y del derecho de acceso a la informacin pbica nacional y se dictan
acceder a la informacin pblica en posesin o bajo control de los sujetos
otras disposiciones"
obligados. El acceso a la informacin solamente podr ser restringido
excepcionalmente.
Artculo 1. Objeto. El presente Decreto tiene como objeto reglamentar
Decreto 1377 de 2013: Por el cual se reglamenta parcialmente la Ley
parcialmente la Ley 1581 de 2012, por la cual se dictan disposiciones
1581 de 2012.
generales para la proteccin de datos personales.
Que el artculo 25 de la Ley 1581 de 2012 crea el Registro Nacional de
Bases de Datos, el cual se define como el directorio pblico de las bases
de datos personales sujetas a Tratamiento que operan en el pas,
Decreto 886 de 2014: Por el cual se reglamenta el artculo 25 de la
administrado por la Superintendencia de Industria y Comercio y de libre
Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos.
consulta para los ciudadanos. Gobierno Nacional reglamentar la
informacin mnima que debe contener el registro, as como los trminos
y condiciones de inscripcin a los que estarn sujetos los Responsables
Pg. 3 de 13
 PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02

PROCEDIMIENTO CONTINUIDAD DEL NEGOCIO VERSIN 1

del Tratamiento.
Ley 1221 de 2008: Por la cual se establecen normas para promover y ARTCULO 3o. poltica pblica de fomento al teletrabajo. Pargrafo 1o.
regular el Teletrabajo. Teletrabajo para poblacin vulnerable.

POLTICAS DE OPERACIN
1. El lder del subsistema de Seguridad de la Informacin para el Plan de Continuidad de Negocio de la Superintendencia Nacional de Salud
tendr de insumo los riesgos crticos hallados al aplicar la gua metodolgica de anlisis de Riesgos de Seguridad de la informacin ASGU05,
sobre los cuales se hace valoracin de los riesgos de interrupcin, cualquier cambio en la definicin de la criticidad de los riesgos debe ser
informado al responsable de la gestin del Plan de Continuidad de Negocio de la Superintendencia Nacional de Salud
2. El nivel de aceptacin del riesgo de la Matiz de riesgo de seguridad de la informacin, identificado mediante la gua ASGU05 deber ser
aprobado por la alta gerencia.
3. La identificacin de los procesos crticos de la entidad debe ser un trabajo participativo de las diferentes dependencias de la Entidad.
4. Los cambios en la infraestructura y organizacin interna que afecte los procesos crticos definidos dentro del plan, deben ser informados al
responsable lder del subsistema de Seguridad de la Informacin del Plan de Continuidad de Negocio.
5. Los ejercicios y pruebas del BCP (no usar siglas) son parte vital para garantizar la operatividad del plan, los cuales se realizarn peridicamente
previa definicin del plan de trabajo y con la participacin activa de los lderes de cada rea de los procesos crticos y de la Oficina de
Tecnologas de la Informacin, generando la documentacin respectiva que soporte los resultados obtenidos e informarlos y notificarlos al
Comit de Desarrollo Administrativo.
6. La activacin y/o desactivacin del BCP, est formalizada dentro del plan de emergencias, en donde se define el comit responsable de esta
decisin y los parmetros requeridos para ello incluyendo los canales adecuados de comunicacin al interior y exterior de la entidad para
funcionarios, proveedores y terceras partes interesadas segn corresponda.
7. La Superintendencia Nacional de Salud debe proveer los recursos necesarios establecidos mediante el Plan Anual de Gestin PAG, y
mediante los proyectos de inversin.
8. El lder del subsistema de Seguridad de la Informacin ejecuta la revisin del documento del BCP como mnimo una vez en el ao, previa
definicin del plan de trabajo y debe considerar los resultados obtenidos en los ejercicios y pruebas realizados al BCP.
9. Los lderes de los procesos crticos son los responsables de liderar la operacin del BCP, e informar cualquier cambio en el Plan de Continuidad
de Negocio al lder del subsistema de Seguridad de la Informacin.
10. La Gua Anlisis de Impacto al Negocio BIA, con cdigo GGGU05 y el Plan de Continuidad de Negocio BCP, Cdigo GGPL01 sern de
conocimiento parcial para las partes interesadas definidas dentro de estos documentos y de conocimiento completo por parte del lder del
subsistema.

Pg. 4 de 13
 PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02

PROCEDIMIENTO CONTINUIDAD DEL NEGOCIO VERSIN 1

DESCRIPCIN DEL PROCEDIMIENTO

ACTIVIDAD /
DESCRIPCIN REA REA
TAREA
id CARGO REGISTRO
CMO? RESPONSABLE PARTICIPANTE
QU?
El profesional asignado realiza una
identificacin de los factores de riesgo de
interrupcin sobre los procesos crticos, con
el fin de identificar la prioridad de
Realizar el recuperacin de los mismos, identificando
Oficina de reas crticas de
anlisis de el Punto Objetivo de Recuperacin - RPO y
1 Tecnologas de la Profesional la Entidad N/A
impacto al el Tiempo objetivo de recuperacin - RTO,
Informacin
negocio as como los requerimientos de seguridad
relacionados con el plan de continuidad,
siguiendo los parmetros definidos en la
Gua Anlisis de Impacto al Negocio BIA,
cdigo GGGU05.
Mediante la matriz de riesgos de activos de
informacin, relacionada en la Gua
Metodolgica de Anlisis de Riesgos de
Seguridad y Privacidad de la
Informacin, con cdigo ASGU05, y el
respectivo apetito de riesgo definido por la
Valorar los Oficina de reas crticas de
entidad, el profesional asignado deber
2 riesgos de Tecnologas de la Profesional la Entidad N/A
definir los riesgos de interrupcin asociados
interrupcin Informacin
a los procesos crticos para dicho nivel.

El Profesional asignado realiza entrevistas a

los lderes de los procesos crticos, con el fin
de obtener informacin que permita realizar
la respectiva valoracin de los riesgos de
Pg. 5 de 13
 PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02

PROCEDIMIENTO CONTINUIDAD DEL NEGOCIO VERSIN 1

interrupcin; de este modo es posible

identificar las causas que afectan la
operacin normal de los servicios. El
profesional deber proceder acorde a la
Gua Anlisis de Impacto al Negocio BIA,
cdigo GGGU05.

El profesional asignado con apoyo del grupo

de Infraestructura y soporte de TI,
establecer los recursos mnimos de TI,
para la operacin de los procesos crticos,
los cuales sern plasmados mediante la
Gua Anlisis de Impacto al Negocio BIA,
cdigo GGGU05.

El profesional asignado realiza el

planteamiento de las estrategias de
Establecer la
recuperacin tecnolgica mediante la Gua Oficina de
estrategia de -CDA
3 Anlisis de Impacto al Negocio BIA, cdigo Tecnologas de la Profesional N/A
continuidad -Proveedores
GGGU05, con la cual se debern presentar Informacin
Tecnolgica
los requerimientos tecnolgicos necesarios,
para la recuperacin de las operaciones de
los procesos crticos de la entidad; las
cuales debern dar cumplimiento a los RTO
y RPO, definidos en la actividad 1 Realizar
el anlisis de impacto al negocio; para lo
cual es necesario realizar estudio de
mercado, con el fin de establecer los costos
de implementacin de las diferentes
estrategias planteadas.

Pg. 6 de 13
 PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02

PROCEDIMIENTO CONTINUIDAD DEL NEGOCIO VERSIN 1

El lder del subsistema presentar al CDA

las estrategias planteadas, con el fin de
seleccionar y aprobar la opcin ms
adecuada para la entidad. El comit CDA
realizar la gestin respectiva, para destinar
los recursos necesarios a utilizar en la
contratacin de la estrategia aprobada.

El profesional asignado realiza la

identificacin y asignacin de roles y
responsabilidades de los funcionarios,
contratistas y terceros con los aspectos de
mnimos Seguridad de la Informacin a
ejecutar durante la operacin del plan de
continuidad del negocio, los cuales quedan
registrados dentro del Plan de Continuidad
del Negocio BCP, Cdigo GGPL01, este
plan ser de conocimiento interno de las
Documentar el
partes interesadas, definidas dentro del Oficina de reas crticas de
Plan de
4 mismo. Tecnologas de la Profesional la Entidad N/A
Continuidad del
Informacin
Negocio
En el desarrollo del BCP, es necesario
identificar las partes interesadas externas
que se relacionan con la entidad, las cuales
se detallan en la Gua de Contacto con las
Autoridades y Grupos de Inters Especial,
con cdigo GGGU01.
Es necesario tener comunicacin con dichas
partes con el fin de tener conocimiento del
desarrollo y estado del incidente en el
entorno, en los casos donde el incidente de
Pg. 7 de 13
 PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02

PROCEDIMIENTO CONTINUIDAD DEL NEGOCIO VERSIN 1

interrupcin requiera de la intervencin y

apoyo de dichas partes externas; los
escenarios relacionados a este tipo de
incidentes de interrupcin se detallan en la
gua BIA, GGGU05.

Dentro del Plan de Respuesta ante

Emergencia y Contingencia, con cdigo
STPL01, se encuentra definido el comit
responsable de la activacin/desactivacin
del BCP, la formalizacin de esta decisin
se realiza de acuerdo al protocolo definido
en dicho plan y en el Plan de Continuidad de
Negocio BCP, Cdigo GGPL01.

En la intranet / quienes somos/ sistema

integrado de gestin / subsistema de
seguridad de la informacin de la entidad
ser publicada la gua de Gestin de la
continuidad del negocio - BCM cdigo
GGGU04, la cual est orientada con los
lineamientos y buenas prcticas del
estndar ISO 22301.

Esta gua BCM con cdigo GGGU04, no

incluir informacin de los procesos de la
entidad, calificados como clasificados y/o
reservados.

Pg. 8 de 13
 PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02

PROCEDIMIENTO CONTINUIDAD DEL NEGOCIO VERSIN 1

El profesional asignado realizar sesiones

de sensibilizacin y capacitacin a cada uno
de los lderes de los procesos crticos,
donde se describen los roles,
responsabilidades y acciones a ejecutar a
cargo de los jefes de las reas crticas
durante la operacin del BCP, las cuales se
encuentran detalladas en el Plan de
Continuidad del Negocio BCP, Cdigo
GGPL01, posterior a la realizacin de dichas
jornadas ser necesario diligenciar el
-Lista de
formato de asistencia ASFT04 y generar
asistencia
acta, cdigo ASFT06, la cual debern estar
reas crticas de Capacitacion
Realizar Jornadas impresa y firmada en original, con el fin de Oficina de
la Entidad es ASFT04
5 de Sensibilizacin evidenciar por parte de los participantes, el Tecnologas de la Profesional
y Capacitacin conocimiento, entendimiento y aceptacin Informacin
-Acta
de los roles y responsabilidades definidos
ASFT06
para cada roll.

En esta actividad tambin se realizarn

capacitaciones de sensibilizacin a todas las
reas crticas de la entidad, con el fin de
difundir la existencia del BCP y los aspectos
generales de su operacin, en las cuales se
deber diligenciar el formato de asistencia
ASFT04.

Realizar El profesional asignado realizara la Oficina de *reas crticas

6 Ejercicios y planeacin y ejecucin de los ejercicios y Tecnologas de la Profesional de la Entidad
Pruebas pruebas del BCP, conforme a las Informacin *CDA
Pg. 9 de 13
 PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02

PROCEDIMIENTO CONTINUIDAD DEL NEGOCIO VERSIN 1

frecuencias definidas en los lineamientos Plantilla

establecidos dentro del Plan de Continuidad Documento
del Negocio BCP, Cdigo GGPL01. Institucional
COFL02
El profesional realizar los informes de los
ejercicios de pruebas del BCP en el formato
COFL02, los cuales contarn con los
resultados y hallazgos identificados y
debern incluirse en el plan con cdigo
GGPL01. Dicho informe deber ser
socializado en el CDA, a cargo del lder del
subsistema.

De acuerdo a los resultados de las

pruebas se realizarn las acciones de
mejora pertinentes al BCP Cdigo
GGPL01, las cuales debern ser
implementadas y monitoreadas segn
sea pertinente.

El profesional asignado deber

documentar las mejoras identificadas
durante los ejercicios de pruebas del
Oficina de *reas crticas
Mantener el Plan plan, las cuales debern ser registradas
7 Tecnologas de la Profesional de la Entidad N/A
de Continuidad en el Plan de Continuidad del Negocio Informacin
BCP, Cdigo GGPL01, una vez se
realicen las actualizaciones se deber
proceder con la actividad 5 Realizar

Pg. 10 de 13
 PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02

PROCEDIMIENTO CONTINUIDAD DEL NEGOCIO VERSIN 1

Jornadas de Sensibilizacin y
Capacitacin.

PUNTOS DE CONTROL
ID NOMBRE DE LA MTODO DE CONTROL FRECUENCIA RESPONSABLE REGISTRO
ACTIVIDAD
/ TAREA
Cada vez que -Listas de asistencia
cambie el entrevistas ASFT04
Diligenciar listas de asistencia y realizar
Realizar el anlisis de impacto alcance o se Profesional
1 actas para las entrevistas realizadas en el
al negocio defina por el asignado -Actas de entrevistas
levantamiento de informacin.
lder del ASFT06
proceso.
Cada vez que -Listas de asistencia
Diligenciar listas de asistencia y realizar cambie el reuniones ASFT04
Documentar el Plan de actas para las reuniones de trabajo alcance o se Profesional
4
Continuidad del Negocio realizadas con las partes interesadas para defina por el asignado -Actas de reuniones
la construccin del BCP. lder del ASFT06
proceso.
-Lista de asistencia
Capacitaciones
Cada vez que
ASFT04
Diligenciar listas de asistencia y realizar se actualice el
Realizar Jornadas de Profesional
5 actas durante la ejecucin de las BCP o se defina
Sensibilizacin y Capacitacin asignado -Acta de
capacitaciones. por el lder del
Capacitaciones
proceso.
ASFT06

Pg. 11 de 13
 PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02

PROCEDIMIENTO CONTINUIDAD DEL NEGOCIO VERSIN 1

Plantilla Informe
Acorde al plan
Generar informe sobre la ejecucin y Documento
Realizar Ejercicios y Pruebas de trabajo Profesional
6 resultados de los ejercicios y pruebas del Institucional
definido en el asignado
BCP. COFL02
BCP.

ANLISIS DE TIEMPO
Los tiempos determinados para este procedimiento son: Levantamiento de informacin del BIA (2) meses, elaboracin de la gua BIA (1) mes,
creacin del BCP (1) mes, elaboracin y ejecucin del plan de capacitaciones (2) meses, creacin, ejecucin e informe del plan de pruebas del
BCP (2) meses y una (1) revisin anual del BCP.

DOCUMENTOS DE REFERENCIA
NTC ISO-22301:2012 Continuidad de Negocio. Sistemas de gestin de Continuidad de Negocio. Requisitos.
NTC ISO-IEC 27001:2013 Tecnologa de la Informacin. Tcnicas de Seguridad. Sistemas de Gestin de la Seguridad de la Informacin
Requisitos.
Gua para la preparacin de las TIC para la continuidad del negocio, MINTIC.
Gua para realizar el Anlisis de Impacto de Negocios BIA, MINTIC.
Gua: Controles de Seguridad y Privacidad de la Informacin, MINTIC.

ASPECTOS QUE FECHA DEL

CAMBIARON EL
DOCUMENTO
Adopcin del documento
Aprobacin del documento
RESPONSABLE DE LA
DETALLES DE LOS CAMBIOS EFECTUADOS CAMBIO VERSIN
SOLICITUD DEL CAMBIO
DD/MM/AAAA
Mediante la resolucin 2189 de 2016, se adopta Jefe oficina de tecnologas 28/07/2016 1
el proceso Gobierno y gestin de la informacin de la informacin
Solicitud de creacin procesos mediante
memorando NURC 3-2016-012521 Jefe oficina de tecnologas 02/08/2016 1
de la informacin

Pg. 12 de 13
 PROCESO GOBIERNO Y GESTIN DE LA INFORMACIN CDIGO GGPD02

PROCEDIMIENTO CONTINUIDAD DEL NEGOCIO VERSIN 1

Se realiza aprobacin Mediante memorando

NURC 3-2016-014406

Pg. 13 de 13