Cdigo: SGSI-MANU-01

MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 1 de 21

MANUAL
SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN
SGSI-MANU-01

Elaborado por: Revisado por: Aprobado por:

Nombre y Firma Nombre y Firma Nombre y Firma
Fecha: Fecha: Fecha:
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 2 de 21

Contenido
1. Presentacin ........................................................................................................ 3
2. Objetivo ................................................................................................................ 3
3. Alcance ................................................................................................................. 3
4. Trminos y Definiciones ..................................................................................... 3
5. Requisitos Del Sistema De Gestin De Seguridad De La Informacin ............ 4
6. Responsabilidad de la Direccin ........................................................................ 9
7. Gestin de Recursos ......................................................................................... 17
8. Auditoria, Medicin y Mejora ............................................................................ 17
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 3 de 21

1. Presentacin
El Ministerio de Salud (MINSA) tiene la misin de proteger la dignidad personal,
promoviendo la salud, previniendo las enfermedades y garantizando la atencin
integral de salud de todos los habitantes del pas; proponiendo y conduciendo los
lineamientos de polticas sanitarias en concertacin con todos los sectores
pblicos y los actores sociales. La persona es el centro de nuestra misin, a la
cual nos dedicamos con respeto a la vida y a los derechos fundamentales de
todos los peruanos, desde antes de su nacimiento y respetando el curso natural
de su vida, contribuyendo a la gran tarea nacional de lograr el desarrollo de
todos nuestros ciudadanos. Los trabajadores del Sector Salud somos agentes de
cambio en constante superacin para lograr el mximo bienestar de las
personas. Commented [C1]: Mision del MINSA

Sobre la base de sus funciones es evidente que la informacin se convierte en

un recurso indispensable para el logro de sus objetivos estratgicos y que por
tanto una de sus principales responsabilidades debe ser la de asegurar su
proteccin aceptando, reduciendo, evitando o transfiriendo riesgos que puedan
afectar su confidencialidad, integridad y disponibilidad.

2. Objetivo
El presente Manual tiene como objetivo dar a conocer los lineamientos y
acciones para la implementacin del Sistema de Gestin de Seguridad de la
Informacin del MINSA, en adelante denominado SGSI.

3. Alcance
El SGSI, esta implementado para los siguientes procesos:
a. Proceso de Intercambio de Informacin Electrnica.
b. Proceso de Supervisin a Operaciones.
c. Proceso de Gestin Documental.
d. Proceso de Difusin de Informacin.

4. Trminos y Definiciones
4.1. Activo de Informacin: Conocimientos o datos que tienen valor para la
Institucin.
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 4 de 21

4.2. Seguridad de la Informacin: Preservacin de la confidencialidad,

integridad y disponibilidad de la informacin.
4.3. Sistema de Gestin de la Seguridad de la Informacin (SGSI): Parte
del sistema de gestin global, basada en un enfoque hacia los riesgos del
negocio, cuyo fin es establecer, implementar, operar, hacer seguimiento,
revisar, mantener y mejorar la seguridad de la informacin.
4.4. Riesgo de Seguridad de la Informacin: Posibilidad que una amenaza
dada explote vulnerabilidades de un activo o de un grupo de activos y por
lo tanto cause dao a la Institucin.
4.5. Integridad: Propiedad de salvaguardar la exactitud y completitud de los
activos.
4.6. Sistema de Gestin: Marco de polticas, procedimientos, guas y recursos
asociados para lograr los objetivos de la Institucin.
4.7. Polticas: Intenciones globales y orientacin tal como se expresan
formalmente por la direccin.
4.8. Accin Preventiva: Accin tomada para eliminar la causa de una no
conformidad potencial u otra situacin potencial no deseable.
4.9. Procedimiento: Forma especificada para llevar a cabo una actividad o un
proceso.
4.10. Registro: Documento que presenta resultados obtenidos o proporciona
evidencias de actividades desempeadas.
4.11. Riesgo: Combinacin de la probabilidad de un evento y de su
consecuencia.
4.12. Aceptacin del Riesgo: Decisin de aceptar un riesgo.
4.13. Anlisis del Riesgo: Uso sistemtico de la informacin para identificar
fuentes y estimar el riesgo.
4.14. Gestin del Riesgo: Actividades coordinadas para dirigir y controlar una
organizacin en relacin con el riesgo.

5. Requisitos Del Sistema De Gestin De Seguridad De La Informacin

5.1. Requisitos Generales
El MINSA detalla en el presente documento como se establece,
implementa, opera, mantiene y mejora continuamente la eficacia del
Sistema de Gestin de Seguridad de la Informacin, el cual se encuentra
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 5 de 21

documentado de acuerdo con los requisitos de la Norma Internacional:

ISO/IEC 27001:2005 Sistemas de Gestin de Seguridad de la Informacin
Requerimientos:
a. La implementacin del Sistema de Gestin de Seguridad de la
Informacin (SGSI) se inici en el mes de enero del ao 2015.
b. Implementacin de la Metodologa para la gestin de riesgos de
seguridad de la informacin.
c. Aseguramiento de la disponibilidad de recursos e informacin
necesarios para apoyar la operacin y el seguimiento de estos
procesos.
d. Realizar el seguimiento y medicin (cuando es aplicable) en los
documentos desarrollados para el SGSI.
e. Implementacin de las acciones necesarias para alcanzar los
resultados planificados y la mejora continua del SGSI.

5.2. Establecimiento del SGSI

El SGSI, es el camino para proteger y administrar la informacin, as como
para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar la gestin de la seguridad de la informacin en el MINSA.
El MINSA ha definido el alcance del SGSI a los procesos que se
encuentran detallados en el numeral 3 del presente documento.

5.2.1. Enunciado de la Poltica de Seguridad de la Informacin

El Ministerio de Salud (MINSA) tiene la misin de proteger la
dignidad personal, promoviendo la salud, previniendo las
enfermedades y garantizando la atencin integral de salud de todos
los habitantes del pas; proponiendo y conduciendo los lineamientos
de polticas sanitarias en concertacin con todos los sectores
pblicos y los actores sociales. La persona es el centro de nuestra
misin, a la cual nos dedicamos con respeto a la vida y a los
derechos fundamentales de todos los peruanos, desde antes de su
nacimiento y respetando el curso natural de su vida, contribuyendo
a la gran tarea nacional de lograr el desarrollo de todos nuestros
ciudadanos. Los trabajadores del Sector Salud somos agentes de
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 6 de 21

cambio en constante superacin para lograr el mximo bienestar de

las personas, y para tales propsitos gestiona la seguridad de la Commented [C2]: Mision del MINSA

informacin relacionada con sus actividades, en forma responsable,

en concordancia con la normatividad vigente.

Por lo tanto el Secretario General declara los siguientes

lineamientos:

El establecimiento de mecanismos para preservar la

confidencialidad, integridad y disponibilidad de la informacin,
garantizando la proteccin de los inversionistas, la eficiencia y
transparencia de los mercados bajo su supervisin.
La continua identificacin, manejo y tratamiento de los riesgos
de seguridad de la informacin que son relevantes a la
Institucin, segn lo definido en la metodologa de
identificacin, anlisis y evaluacin de riesgos.
La gestin de incidentes relacionados con la seguridad de la
informacin.
La comunicacin oportuna de las polticas y procedimientos de
seguridad definidos, asegurando que sean comprendidos y se
encuentren disponibles para todos los interesados.
El fortalecimiento de los valores y el compromiso de todo el
personal de velar por el cumplimiento de la presente poltica.
Asegurar la disponibilidad de los procesos crticos del MINSA.
Asegurar el aprovisionamiento de los recursos requeridos para
establecer, implementar, operar monitorear, revisar, mantener y
mejorar el SGSI.

5.2.2. Gestin de Riesgos de Seguridad de la Informacin

Actualmente el MINSA cuenta con la metodologa de gestin de
riesgos de activos de informacin del SGSI, la cual es detallada en
el documento SGSI-METO-01 Metodologa de Identificacin,
Anlisis y Evaluacin de Riesgos.
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 7 de 21

En base a la metodologa aplicada se debe obtener el SGSI-FORM-

16 Informe de Anlisis y Evaluacin de Riesgos de activos de
informacin en el que se reflejan los resultados de las etapas de
anlisis y evaluacin de los riesgos de los activos de informacin
segn el SGSI-FORM-15 Identificacin de Activos de Informacin,
del MINSA, as como tambin los controles que se aplicarn a cada
uno de ellos. Los cuales se definen en el formato SGSI-FORM-17
Plan de Tratamiento de Riesgos.

5.3. Requisitos de Documentacin

El Ministerio de Salud (MINSA) cuenta con documentacin que describe
los procesos del Sistema de Gestin de Seguridad de la Informacin
(SGSI). Estos incluyen:
a. Enunciados documentadas de la Poltica y Objetivos del SGSI.
b. El Manual del Sistema de Gestin de Seguridad de la Informacin el
cual incluye el alcance del SGSI.
c. Los procedimientos y controles de soporte.
d. Metodologa de evaluacin del riesgo.
e. Resultado de la evaluacin del riesgo.
f. Plan de Tratamiento del riesgo.
g. Los procedimientos documentados para asegurar la planeacin,
operacin y control de sus procesos de seguridad de la informacin.
h. Mtricas para medir la efectividad de los controles.
i. Registros que proporcionan evidencia de las actividades
desempeadas.
j. Enunciado de Aplicabilidad.
Los documentos del SGSI se presentan en forma impresa o medios
electrnicos y se encuentran jerarquizados y clasificados segn la
estructura general que se muestra en el grfico siguiente:
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 8 de 21

Estructura de La Documentacin del SGSI del MINSA

1
Documentacin
de Nivel 1

Documentacin 2
de Nivel 2

Documentacin 3
de Nivel 3

Documentacin 4
de Nivel 4

Documentacin Declaraciones Polticas y Objetivos.

Nivel I: Manual del SGSI.
Documentacin Procedimientos.
Nivel II:
Documentacin Planes, Metodologias, Informes, Guas, Instructivos y
Nivel III: Formatos,.
Documentacin Registros y documentos externos que tengan relacin
Nivel IV: con el SGSI.

5.4. Control de Documentos

Para controlar los documentos necesarios para la gestin del sistema, el
MINSA ha definido que:
a. Los documentos son aprobados para verificar su adecuacin, antes
de su puesta en circulacin.
b. Los documentos son revisados, actualizados cuando es necesario y
aprobados nuevamente.
c. Los documentos son identificados con el estado de revisin
actualizado.
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 9 de 21

d. Las versiones apropiadas de los documentos estn disponibles en

las localizaciones donde se lleva a cabo las actividades esenciales
para el funcionamiento efectivo del SGSI.
e. Los documentos obsoletos se retiran de todos los puntos de
publicacin y utilizacin, para evitar su uso no intencional.
f. Cualquier documento obsoleto que se conserve por razones legales
o referenciales del conocimiento es identificado adecuadamente.
g. Los documentos de origen externo son identificados y su distribucin
se realiza cuando el MINSA considera necesario.

Para este fin, ha establecido el procedimiento SGSI-PROC-01 Control de

Documentos del SGSI.

5.5. Control de Registros

Los registros del MINSA son controlados y conservados solo aquellos que
se requieran para demostrar la conformidad con los requisitos y el
funcionamiento efectivo del SGSI, para ello se ha establecido y mantiene
un procedimiento documentado.

La identificacin, archivo, proteccin, tiempo de conservacin y destino

final de los registros se realiza de acuerdo al procedimiento SGSI-PROC-
02 Control de Registros del SGSI.

Para el control de aquellos registros que se encuentran en medios

magnticos, se aplica el procedimiento SGSI-PROC-09 Procedimiento de
Respaldo y Recuperacin de la Informacin.

6. Responsabilidad de la Direccin
6.1. Compromiso de la Direccin
El Secretario General del MINSA demuestra su compromiso con el
Sistema de Gestin de Seguridad de la Informacin:
a. Comunicando a la Institucin la importancia de satisfacer los
requisitos vigentes y reglamentarios aplicables.
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 10 de 21

b. Estableciendo la Poltica y Objetivos de Seguridad de la Informacin

en el Manual del SGSI, difundindola a toda la Institucin y
colocndola en lugares visibles.
c. Estableciendo y mejorando permanentemente el SGSI, as como
revisndolo por lo menos una vez al ao para evaluar su efectividad.
d. Asegurando la disponibilidad de los recursos necesarios segn lo
especificado en el Presupuesto anual.
e. Definiendo las funciones, asignando responsabilidades y la rendicin
de cuentas y delegando autoridad, as como designando al
representante de la Direccin.
f. Decidiendo el criterio para la aceptacin de riesgos de seguridad de
la informacin y los niveles de riesgo aceptables.

6.2. Responsabilidad, Autoridad y Comunicacin

El Sistema de Gestin de Seguridad de la Informacin del MINSA es
administrado a travs de las siguientes funciones:

6.2.1. Responsabilidad y Autoridad

I. Secretario General del MINSA
Es responsable del funcionamiento del Sistema de Gestin de
Seguridad de la Informacin y adems debe:
a. Aprobar la Poltica y Objetivos de Seguridad de la
Informacin, as como de su publicacin y distribucin.
b. Nombrar al Comit del Sistema de Gestin de Seguridad
de la Informacin.
c. Definir las funciones, asignar responsabilidades y la
rendicin de cuentas y delegar autoridad, as como
designar al representante de la direccin que formar parte
del Comit de Gestin de Seguridad de Informacin.
d. Realizar revisiones peridicas del SGSI, segn
procedimiento definido.
e. Delegar autoridad y responsabilidad a cada una de las
rganos y Unidades Orgnicas para el cumplimiento de la
Poltica y Objetivos.
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 11 de 21

f. Comunicar la importancia de satisfacer los requisitos

vigentes y aplicables al SGSI, en las diferentes reuniones.
g. Asegurar la disponibilidad de los recursos (humanos, de
infraestructura, financieros y tecnolgicos), en el Plan
Operativo, Presupuesto y Plan Anual de Adquisiciones y
Contrataciones (PAAC).
h. Decidir el criterio para la aceptacin de riesgos de
seguridad de la informacin y los niveles de riesgo
aceptables.

II. Comit de Gestin de Seguridad de la Informacin

El Comit de Gestin de Seguridad de la Informacin est
conformado y representado por:
El Secretario General.
Secretario General Adjunto de Supervisin Prudencial
Secretario General Adjunto de Supervisin de Conductas
de Mercados.
Jefe de la Oficina de Tecnologas de Informacin.
Secretario General Adjunto de la Oficina General de
Administracin.
El Oficial de Seguridad de la Informacin.

El Oficial de Seguridad de la Informacin, es el responsable de

convocar a las reuniones del Comit de Seguridad de la
Informacin.

El Oficial de Seguridad de la Informacin se desempear

como Secretario Tcnico del Comit, pero solo tendr derecho
a voz, es el responsable de llevar el control de las actas de
reunin del Comit de Seguridad de la Informacin.
En calidad de Asesores se podr requerir la asistencia de otro
trabajador del MINSA o consultores externos, cuyo aporte se
estime necesario para la correcta toma de decisiones tcnicas
especficas. Estos miembros Asesores slo tendrn derecho a
voz, ms no voto.
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 12 de 21

Este comit ser responsable de:

a. Asegurar que se establezca y mantenga el Sistema de
Gestin de Seguridad de la Informacin de acuerdo a la
Norma ISO/IEC 27001:2005.
b. Dirigir y coordinar el avance y eficacia del SGSI en funcin
a resultados de Objetivos, Metas y Auditoras Internas.
c. Revisar y proponer al Secretario General de Mercados de
Valores para su consideracin y aprobacin, la poltica y
las responsabilidades generales en materia de seguridad
de la informacin.
d. Velar por el cumplimiento de las polticas, normas y
procedimientos de Seguridad de la Informacin.
e. Revisar y validar las normativas, procedimientos,
estndares, metodologas y controles referidos a la
seguridad de la informacin.
f. Identificar y canalizar los recursos necesarios para la
gestin de la seguridad de la informacin.
g. Tomar conocimiento de los incidentes de seguridad que se
presenten, con el fin de evaluar la efectividad de los
controles implementados.
h. Proponer planes y programas para mantener la conciencia
en seguridad de la informacin.
i. Definir acciones a seguir en caso de situaciones no
previstas que afecten la continuidad de los procesos
crticos de la Institucin.
j. Revisar los procesos de auditora interna y externa de
forma peridica.
k. Aprobar las medidas a adoptar por el incumplimiento e
infracciones a las polticas y normas de seguridad de la
informacin.
l. Conformar un comit tcnico en caso considere necesario
para el apoyo en la gestin de seguridad de la informacin.
m. Otras que considere necesario el Secretario General.
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 13 de 21

III. Presidente del Comit de Gestin de Seguridad de la

Informacin
El Presidente del Comit de Gestin de Seguridad de la
Informacin ser responsable de:
a. Mantener una agenda actualizada de los temas de
Seguridad de la Informacin que el MINSA debe abordar y
que deben ser discutidos en el Comit de Gestin de
Seguridad de la Informacin.
b. Coordinar y fijar la fecha de las sesiones.
c. Revisar y aprobar las actas, previa rbrica de los miembros
titulares.
d. Moderar los debates a fin de que se cumpla el propsito de
llevar el tema de la seguridad de la informacin sin que se
generen discusiones.

IV. Oficial de Seguridad de la Informacin

El Oficial de Seguridad de la Informacin ser responsable de:
a. Elaboracin de las citaciones a los miembros del Comit,
de acuerdo a la calendarizacin que disponga el
Presidente, o cuando se convoque a sesin extraordinaria.
b. Redaccin de las actas y lectura de las mismas.
c. Conservar las actas y documentacin de todas las
reuniones del Comit.
d. Elaborar polticas, normas, procedimientos y estndares
relativos a la seguridad de la informacin.
e. Proponer y coordinar el anlisis y evaluacin de riesgos de
los activos de informacin.
f. Supervisar el cumplimiento e implementacin de las
polticas, normas, procedimientos y controles referidos a la
seguridad de la informacin.
g. Monitorear cambios significativos en la infraestructura que
puedan poner en riesgo los activos de informacin de la
Institucin.
h. Monitorear la efectividad y eficiencia de los controles
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 14 de 21

implementados para la proteccin de los activos de

informacin.
i. Mantenimiento del SGSI.
j. Gestionar el control de los documentos del SGSI.
k. Administracin de auditoras internas.
l. Seguimiento de las acciones correctivas y preventivas.
m. Apoyar en la revisin por la Direccin del SGSI.
n. Promover y hacer seguimiento de la mejora continua.
o. Informar formalmente al Comit cualquier incidente o
exposicin a la seguridad que represente un riesgo para la
seguridad de la informacin.
p. Guiar al cuerpo directivo, a la administracin y a los
usuarios de la Institucin ante posibles incidentes de
seguridad.
q. Promover la difusin de una cultura en seguridad de la
informacin al interior de la Institucin.
r. Dirigir la implementacin y pruebas de los planes de
contingencia.
s. Otros que considere necesario el Comit de Seguridad de
la Informacin.

V. Propietarios de la Informacin
Son responsables por:
a. Clasificar la informacin de acuerdo a los niveles de
clasificacin definidos.
b. Determinar los niveles de acceso que podrn tener los
usuarios sobre la informacin.
c. Autorizar la asignacin de accesos sobre la informacin.
d. Definir controles para la proteccin de los activos y
asegurar su implementacin.
e. Revisar peridicamente los accesos y privilegios otorgados
sobre la informacin.
f. Velar por la integridad, confidencialidad y disponibilidad de
la informacin.
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 15 de 21

VI. Custodios de Informacin

a. Implementar controles como parte de las medidas de
mitigacin de los sistemas de informacin a su cargo.
b. Monitorear el cumplimiento de las polticas y
procedimientos de seguridad de la informacin en los
activos de informacin que custodia.
c. Apoyar en la identificacin de la informacin en
coordinacin con el rea de Seguridad de la Informacin.
d. Comunicar los requerimientos de seguridad de la
informacin a los Jefes y al oficial de Seguridad de la
Informacin.

VII. Directores Ejecutivos y Directores Generales

Los responsables de los rganos del MINSA son responsables
por:
a. Asegurar que el personal bajo su cargo conocen y
practican las polticas y normas de seguridad.
b. Asegurar que la informacin y recursos bajo su control
estn debidamente protegidos por las medidas de
seguridad adecuadas.
c. Identificar los activos de informacin que manejan y las
obligaciones individuales del personal a su cargo respecto
a la seguridad de estos activos.
d. Asegurarse que el personal a su cargo tiene acceso solo a
las aplicaciones y datos necesarios para realizar sus
tareas.
e. Reportar inmediatamente el incumplimiento o infracciones
a las polticas y normas de seguridad.

VIII. Usuarios
Son responsables por:
a. Usar la informacin sobre la cual se les ha concedido
acceso, solo para fines autorizados.
b. Cumplir con las medidas de seguridad establecidas en las
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 16 de 21

polticas, normas y procedimientos de seguridad de la

informacin.
c. Reportar inmediatamente cualquier trasgresin de las
polticas y normas de seguridad.
d. Usar los sistemas de informacin y la red solo para
propsitos autorizados e inherentes a la funcin asignada.

6.2.2. Comunicacin Interna

Para la comunicacin interna entre los diferentes niveles y
funciones respecto del SGSI y su eficacia, el MINSA establece sus
comunicaciones internas en la organizacin mediante diferentes
mecanismos los cuales se describen en el esquema siguiente:

Charlas de Concientizacin Reuniones del Comit

Verbal Reunin con la Alta Gerencia Telfono

Email Reuniones con las reas

 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 17 de 21

7. Gestin de Recursos
7.1. Provisin de los Recursos
El MINSA elabora una vez al ao el Presupuesto Anual, en el que
considera los recursos requeridos para la ejecucin de los procesos
internos de la organizacin, as como la partida referente a los recursos
para implementar y mantener el SGSI, mejorar continuamente su eficacia y
aumentar la satisfaccin de los clientes, entre otros.
Dicho Presupuesto es elaborado por los diferentes rganos y Unidades
Orgnicas del MINSA y es aprobado por el Secretario General.

7.2. Recursos Humanos

Uno de los elementos bsicos para el xito de un Sistema de Gestin de
Seguridad de la Informacin es el recurso humano, por tal motivo se debe
capacitar y concientizar a todo el personal del MINSA que tenga acceso a
los sistemas o informacin del MINSA.
A los responsables que administran o gestionan los sistemas de seguridad
de la informacin se les brinda entrenamiento especializado de acuerdo a
sus funciones y responsabilidades.
Todas las charlas de concientizacin, talleres o entrenamiento deben ser
registrados por el Oficial de Seguridad de la Informacin.
La responsabilidad de la ejecucin de estas actividades ha sido
encomendada a la Unidad de Recursos Humanos.

8. Auditoria, Medicin y Mejora

El MINSA planea e implanta los procesos de auditoria, revisin y mejora
necesarios.
a. Para asegurar la conformidad y eficacia del Sistema de Gestin de
Seguridad de la Informacin
b. Para mejorar continuamente la eficacia del SGSI.
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 18 de 21

8.1. Auditoras internas

El MINSA lleva a cabo a intervalos planificados auditoras internas para

determinar si el SGSI:

a. Est conforme con las actividades planificadas con los requisitos de

la Norma ISO/IEC 27001:2005 y con los requisitos del Sistema de
Gestin de Seguridad de la Informacin establecidos por la
Institucin.
b. Se ha implantado y se mantiene de manera eficaz para alcanzar los
objetivos del Sistema.

Para la planificacin de las Auditoras el MINSA determina el Programa de

Auditoras Internas, las auditoras son planificadas en funcin al estado e
importancia de las actividades, reas, y a los resultados de las auditoras
internas realizadas

Adems incluye los criterios para la preparacin, ejecucin, su frecuencia

y la metodologa aplicada incluyendo lo relativo a la seleccin de auditores
a fin de asegurar la imparcialidad de las mismas se describe en el
procedimiento SGSI-PROC-04 Auditora Interna del SGSI.

El MINSA mantiene registros de los resultados de las auditoras realizadas.

Los responsables de las reas que son auditadas se aseguran que se
tomen las acciones sin demora para eliminar no conformidades detectadas
y sus causas. Las actividades de seguimiento incluyen la verificacin de la
ejecucin de las acciones tomadas y la verificacin de la eficacia de los
mismos.

El MINSA mantiene registros que indican la naturaleza de las no

conformidades y de cualquier accin tomada posteriormente, incluyendo
las concesiones que se hayan obtenido.

Cuando se corrige una no conformidad, sta es sometida a una nueva

verificacin para demostrar su conformidad con los requisitos.

Cuando se detecta una no conformidad despus de la entrega de los

resultados obtenidos en la auditoria interna, el MINSA adopta las acciones
apropiadas respecto de las consecuencias, o efectos potenciales, de la no
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 19 de 21

conformidad, tal como se indica en el procedimiento SGSI-PROC-04

Auditora Interna del SGSI.

8.2. Revisin Por la Direccin

8.2.1. El Secretario General efecta por lo menos una vez al ao la

revisin del SGSI, con la finalidad de asegurar su continua
conformidad, adecuacin y eficiencia, as como evaluar la
necesidad de realizar cambios en el SGSI de la organizacin,
incluyendo la poltica y los objetivos especficos.

8.2.2. La revisin peridica incluye la verificacin del funcionamiento

actual y las oportunidades de mejora asociadas a:
a. Resultados de auditoras y revisiones del SGSI.
b. Retroalimentacin de las partes interesadas.
c. Informacin sobre el estado de acciones preventivas y
correctivas.
d. Resultados de las mediciones de efectividad.
e. Estado de las acciones iniciadas a raz de revisiones
gerenciales anteriores.
f. Cualquier cambio que pueda afectar al SGSI.
g. Recomendaciones de mejora.

8.2.3. El resultado de la revisin gerencial incluye cualquier decisin y

accin asociadas a:
a. Mejora de la eficacia del Sistema de Gestin de Seguridad de
la Informacin y sus procesos.
b. Actualizacin de la evaluacin de riesgos y el plan de
tratamiento de riesgos.
c. Modificacin de los procedimientos y controles que afecten a la
seguridad de la informacin, en respuesta a cambios internos o
externos en los requisitos de negocio, requerimientos de
seguridad de la informacin, procesos de negocio, marco legal,
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 20 de 21

obligaciones contractuales, niveles de riesgo y criterios de

aceptacin de riesgos.
d. Necesidades de recursos.
e. Mejoramiento de cmo se mide la efectividad de los controles.

Las Actas de reuniones constituyen los registros de esta actividad

en el formato SGSI-FORM-12 Acta de Revisin por la Direccin, y
son archivados por el Oficial de Seguridad de la Informacin.

El Comit de Gestin de Seguridad de la Informacin realizar un

seguimiento de los acuerdos y encargos aprobados y comunicar
sobre el estado de los mismos al Secretario General, hasta su
culminacin.

Para ello se ha establecido el Procedimiento SGSI-PROC-05

Revisin Gerencial del SGSI.

8.3. Mejora

8.3.1. Mejora Continua

El Secretario General, Directores Generales y Directores Ejecutivos

del MINSA gestionan los procesos necesarios para mejorar
continuamente el SGSI a travs de la poltica y objetivos de
seguridad de la informacin, los resultados de las auditoras,
anlisis de datos, acciones correctivas y preventivas y revisin por
la direccin.
Para lo cual se ha establecido el Procedimiento SGSI-PROC-06
Mejora Continua del SGSI.

8.3.2. Acciones Correctivas

Con la finalidad de eliminar las causas de las no conformidades y

evitar su repeticin, las acciones correctivas son apropiadas a los
efectos de las no conformidades encontradas. Se ha establecido el
 Cdigo: SGSI-MANU-01
MANUAL Revisin: 01
Aprobado:
Sistema de Gestin de Seguridad de la Fecha:
Informacin
Pgina: 21 de 21

procedimiento SGSI-PROC-03 Acciones Preventivas y Correctivas

del SGSI.
En este documento se definen los requisitos para la:
a. Revisin de no conformidades.
b. Investigacin de las causas de la no conformidad.
c. Evaluacin de la necesidad de adoptar acciones para asegurar
que las no conformidades no vuelvan a ocurrir.
d. Determinacin e implantacin de las acciones necesarias.
e. Registrar los resultados de las acciones tomadas.
f. Revisin de las acciones correctivas tomadas.

8.3.3. Acciones Preventivas

Con la finalidad de prevenir la aparicin de no conformidades y

evitar su repeticin, el SGSI ha diseado un procedimiento, con el
fin de que las acciones preventivas tomadas sean apropiadas para
los efectos de los problemas potenciales, tal como se indica en el
procedimiento SGSI-PROC-03 Acciones Preventivas y Correctivas
del SGSI.
Dicho documento est dirigido a la:
a. Determinacin de no conformidades potenciales y sus causas

b. Evaluacin de la necesidad de actuar para prevenir la

ocurrencia de no conformidades

c. Determinacin e implantacin de las acciones necesarias

d. Registro de los resultados de las acciones tomadas y

e. Revisin de las acciones preventivas tomadas.