PROCESO DE ADQUISICIÓN DE BIENES Y SERVICIOS

LISTADO DE
ASISTENCIA F1.G7.ABS
30/05/2018
Versión 2
Página &[Página] de &[Páginas]
Clasificación de la Información
Pública

EMPRESA
GENERALIDADES
ASUNTO: SISTEMA DE SEGURIDAD DE LA INFORMACIÓN AREA: EJE SEGURIDAD DE LA INFORMACION
FECHA: CIUDAD: GRAMALOTE ACTA No: ___
ASISTENTES
NOMBRE DEL BENEFICIARIO NOMBRE DEL ACUDIENTE FIRMA
 PROCESO DE ADQUISICIÓN DE BIENES Y SERVICIOS
LISTADO DE
ASISTENCIA F1.G7.ABS
30/05/2018
Versión 2
Página &[Página] de &[Páginas]
Clasificación de la Información
Pública

TEMAS TRATADOS

SISTEMA DE SEGURIDAD DE LA INFORMACIÓN

OBJETIVO ESPECIFICO

Brindar orientaciones al equipo de talento humano, frente a la prestación del

servicio de los programas misionales, con relación cumplimiento y la importancia
de la aplicabilidad de las políticas de seguridad de la información, que se
deben tener en cuenta, con el fin de proteger, preservar y administrar la información,
Manteniendo la integridad, confidencialidad y disponibilidad de la misma.

DEFINICIONES
• Activo: se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes,
edificios, Personas) que tiene un valor para la entidad.
• Amenaza: causa potencial de un incidente no deseado que puede provocar daños a un sistema o a la entidad.
• Confidencialidad: se garantiza que la información sea accesible solo a aquellas personas autorizadas para ello.
• Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados
con la misma, toda vez que lo requieran.
• Incidente de seguridad: evento o serie de eventos de seguridad de la información no deseada o inesperada, que tienen
probabilidad significativa de comprometer las operaciones del negocio y de amenazar la seguridad de la información.
• Información: se refiere a toda comunicación o representación de conocimiento como datos, en cualquier forma, con
inclusión de convenciones textuales, numéricas, gráficas, cartográficas, narrativas
o audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro.
• Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
36 • Medio removible: los dispositivos de almacenamiento removibles están independientes del computador y pueden ser
transportados libremente. Los dispositivos móviles más comunes
 PROCESO DE ADQUISICIÓN DE BIENES Y SERVICIOS
LISTADO DE
ASISTENCIA F1.G7.ABS
30/05/2018
Versión 2
Página &[Página] de &[Páginas]
Clasificación de la Información
Pública
Son: memorias USB, discos duros extraíbles, DVD y CD.
• Plan de continuidad de negocio: actividades documentadas que guían a la entidad en la respuesta, recuperación,
reanudación y restauración de las operaciones en los niveles predefinidos después de un incidente que afecte la continuidad
de las operaciones.
• Plan de contingencia: conjunto de estrategias, acciones, procedimientos planificados y responsabilidades definidas para
minimizar el impacto de una interrupción prevista de las funciones críticas y conseguir la restauración la restauración de
estas, dentro de unos límites de tiempos establecidos. Sin que sea una regla general, se suele aplicar el plan circunscrito
a las actividades de los departamentos de sistemas de información.
• Riesgo: posibilidad de que una amenaza concreta pueda liberar una vulnerabilidad para causar una pérdida o daño en un
activo de información

CRITERIOS DE SEGURIDAD DE LA INFORMACIÓN

Los siguientes criterios aplican al cumplimiento de la política de seguridad de la

información según las Resoluciones vigentes y los controles basados en la Norma
ISO 27001:2013 y los establecidos en el Manual de Seguridad de la Información,
con el fin de dar cumplimiento a los requisitos legales y a las obligaciones
Contractuales frente al Eje de Seguridad de la Información.
Dentro del desarrollo de las actividades que lleva a cabo el operador y/o contratista
para la prestación del servicio, se deben seguir las siguientes indicaciones:
1. Proteger y salvaguardar los activos de información Un activo de información es todo aquel que contiene o manipula
información, tiene valor para el ICBF, y por lo tanto debe protegerse y tratarse de acuerdo con su criticidad, este puede
ser entregado en forma física o electrónica por parte del ICBF. Para proteger y preservar los activos de información, se
debe tener en cuenta la actual clasificación que maneja el Instituto, así:
Pública: es toda la información que el ICBF, genere, obtenga, o controle,
que puede ser entregada y/o publicada sin restricciones a terceros, colaboradores
o cualquier persona sin representar riesgo para los procesos del instituto.
37 Clasificada: es aquella información que estando en poder o custodia del ICBF, pertenece al espacio propio, particular y
privado o semiprivado de una persona natural o jurídica, por lo cual su acceso podrá ser negado o exceptuado al público.
Reservada: es aquella información que estando en poder o custodia del ICBF, sea negado su acceso al público por daño a la
seguridad pública y sometida a reserva por una norma legal o constitucional.
2. Firma de acuerdo de confidencialidad
El operador y/o contratista deberá firmar el documento de confidencialidad, el cual deberá reposar en la carpeta del
contrato suscrito entre las partes. Con este acuerdo el operador o contratista tendrá conocimiento que la información
suministrada por parte del ICBF y en general cualquier tipo de información clasificada o reservada conocida en desarrollo
 PROCESO DE ADQUISICIÓN DE BIENES Y SERVICIOS
LISTADO DE
ASISTENCIA F1.G7.ABS
30/05/2018
Versión 2
Página &[Página] de &[Páginas]
Clasificación de la Información
Pública
Del objeto del contrato, deberá ser mantenida de manera confidencial y privada, protegiendo y evitando que dicha
información sea divulgada y/o circule sin autorización, tomando para ello todas las medidas técnicas y de su cuidado.
3. Control de Acceso
Es necesario establecer procedimientos que documenten y verifiquen el ingreso/egreso de manera segura a las instalaciones o
infraestructuras del operador y/o contratista para la protección y seguridad de la información. Todo equipo de tipo
electrónico/tecnológico (equipos PC, pantallas, portátiles, tablets, cámaras de fotografía y video, video Beam, entre
otros) deberá ser registrado en los instrumentos de control, automáticos
O manuales (lectores de barras, planillas, bitácoras de ingreso o salida de elementos que haya implementado el operador o
contratista), con el objeto de documentar el registro de los elementos y propender por identificar y evitar los riesgos
asociados que afecten la seguridad de la información en su confidencialidad, integridad y disponibilidad.
4. Reporte de incidente de Seguridad de la Información
Todo incidente de seguridad de la información, entendido como un acceso, intento de acceso, uso, divulgación, modificación
o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos
informáticos que ocurra durante el tiempo de ejecución del contrato con el operador y/o contratista y que atente con la
confidencialidad, integridad y disponibilidad de la información en cumplimiento de las políticas de seguridad de la
información del ICBF, deberá ser informado al supervisor del contrato por medio del formato establecido en la Guía para la
Adquisición de Bienes y Servicios de Calidad (Formato Reporte de Incidentes de Seguridad de la Información).
38 5. Devolución de elementos tecnológicos e información entregada
Por el ICBF durante la ejecución del Contrato El operador y/o contratista deberá realizar la devolución de elementos
entregados por el ICBF, durante la ejecución del contrato. Así mismo entregar copias de seguridad o backup haciendo uso de
algún medio de almacenamiento removible, que luego será validada por el supervisor
Del contrato y que, en desarrollo frente al ejercicio de sus actividades, obligaciones contractuales y durante el tiempo de
ejecución del contrato, evidencian su cumplimiento.
6. Plan de continuidad del negocio
El operador y/o contratista deberá elaborar o construir un plan de continuidad
Del negocio: recuperación, contingencia y emergencia del servicio contratado, frente a la prestación del servicio, ante
cualquier evento, amenaza o incidente que puedan afectar el cumplimiento de la ejecución de este. El plan debe entregarse
como requisito en la primera
Cuenta de solicitud de pago, al supervisor del contrato.
7. Inducción al equipo de recurso humano del operador y/o contratista
El operador y/o contratista es responsable de ofrecer de forma directa, la inducción al personal que se encuentre bajo su
responsabilidad, en las temáticas referentes del Eje de Seguridad de la información y sus buenas prácticas, documentando y
entregando las respectivas evidencias de la actividad realizada. Inducción que debe darse al inicio de la
Ejecución del contrato y cada vez que sea necesario por rotación del personal que se encuentre bajo su responsabilidad.
8. Buenas prácticas de Seguridad de la Información
 PROCESO DE ADQUISICIÓN DE BIENES Y SERVICIOS
LISTADO DE
ASISTENCIA F1.G7.ABS
30/05/2018
Versión 2
Página &[Página] de &[Páginas]
Clasificación de la Información
Pública
1. Todo operador y/o contratista, que maneje o utilice medios removibles (como: discos duros y unidades de almacenamiento
USB), para procesar, transferir, almacenar, comunicar
O suministrar datos o información, deberá propender por el cifrado de la información, como mecanismo de protección y
accesos no autorizados.
2. Todo equipo que contenga información clasificada, reservada o sensible del ICBF, deberá contar con herramientas que
faciliten la gestión de contraseñas robustas.
3. Realizar copias de seguridad de los equipos donde se almacena información del ICBF, con el fin de garantizar la
protección de la información de manera segura.
4. Todo documento físico que se ha dispuesto para su exclusión y contenga datos personales o sensible, debe ser eliminado
en forma segura antes de depositarlo en la papelera
De reciclaje (tachado con marcador negro en la información sensible y fragmentado en partes pequeñas).
5. Para los casos (uso en redes sociales, informes al supervisor, actividades lúdicas o educativas, etc.) que se requiera
evidencias fotográficas de niños, niñas, y adolescentes o padres de familia, es necesario contar con la debida autorización
mediante el F2.P2.CE Formato Permiso Fotos, ubicado en el proceso de Comunicación estratégica en la página web
Del instituto

COMPROMISOS
ACTIVIDAD RESPONSABLE FECHA
 PROCESO DE ADQUISICIÓN DE BIENES Y SERVICIOS
LISTADO DE
ASISTENCIA F1.G7.ABS
30/05/2018
Versión 2
Página &[Página] de &[Páginas]
Clasificación de la Información
Pública
 PROCESO DE ADQUISICIÓN DE BIENES Y SERVICIOS
LISTADO DE
ASISTENCIA F1.G7.ABS
30/05/2018
Versión 2
Página &[Página] de &[Páginas]
Clasificación de la Información
Pública