RESOLUCIÓN 798 DE 2022
(abril 27)
<Fuente: Archivo interno entidad emisora>
ADMINISTRADORA DE LOS RECURSOS DEL SISTEMA GENERAL DE SEGURIDAD SOCIAL EN SALUD
Por medio de la cual se designa el Oficial de Seguridad y Privacidad de la Información de ADRES.
EL DIRECTOR GENERAL DE LA ADMINISTRADORA DE LOS RECURSOS DEL SISTEMA GENERAL DE SEGURIDAD SOCIAL EN SALUD -ADRES-
En ejercicio de sus facultades legales y en desarrollo del literal K) del artículo 17 y el literal f) del artículo 18 de la Ley 1581 de 2012, el artículo 2.2.2.25.3.1 del Decreto 1074 de 2015, los numeral 1, 10 y 12 del artículo 9 del Decreto 1429 de 2016, y
CONSIDERANDO:
Que mediante la Resolución 498 del 9 de marzo de 2018, la Administradora de Recursos del Sistema General de Seguridad Social en Salud (ADRES)adoptó la Política General de Seguridad y Privacidad de la Información.
Que el Decreto 1078 de 2015 "Por medio del cual se expide el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones”; en el Capítulo 1, Sección 2o Elementos de la Política de Gobierno Digital, en su artículo 2.2.9.1.2.2. establece las Entidades públicas están obligadas a esta política. De otra parte, el artículo 2.2.21.1.2.1 del mismo Decreto establece que las autoridades deberán adoptar el Modelo de Gobernanza de la Seguridad Digital.
Que la Resolución 500 de 2021 del Ministerio de Tecnologías de la Información y las Comunicaciones "Por la cual se establecen los lineamientos y estándares para la estrategia de seguridad digital y se adopta el modelo de seguridad y privacidad como habilitador de la política de Gobierno Digital”, tiene por objeto “establecer los lineamientos generales para la implementación del Modelo de Seguridad y Privacidad de la Información - MSPI, la guía de gestión de riesgos de seguridad de la Información y el procedimiento para la gestión de los incidentes de seguridad digital, y, establecer los lineamientos y estándares para la estrategia de seguridad digital."
En mérito de lo expuesto,
RESUELVE:
ARTÍCULO 1o. OBJETO. Designar el Oficial de Seguridad y Privacidad de la Información en ADRES, así como establecer las actividades a su cargo y las responsabilidades de las dependencias frente a la implementación y sostenibilidad de la gestión de la protección de seguridad.
ARTÍCULO 2o. DESIGNACIÓN Y EJECUCIÓN DE ACTIVIDADES DEL OFICIAL DE CUMPLIMIENTO DE LA POLÍTICA DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN. <Artículo modificado por el artículo 1 de la Resolución 33216 de 2022. El nuevo texto es el siguiente:> La Oficina Asesora de Planeación y Control de Riesgos estará a cargo del seguimiento frente al cumplimiento de la Política de Seguridad y Privacidad de la Información, para lo cual designará bajo su dirección una persona para el cumplimiento del rol de Oficial de Seguridad y Privacidad de la Información.
PARÁGRAFO. El Oficial de Seguridad y Privacidad de la Información se ceñirá a las disposiciones legales e instrucciones emitidas por las autoridades competentes y, con base en éstas, recomendará a la Dirección impartir lineamientos para ADRES sobre la materia.
ARTÍCULO 3o. ACTIVIDADES DEL OFICIAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN. El Oficial de Seguridad de la Información, deberá realizar la planeación, coordinación y administración del Sistema de Gestión de Seguridad y Privacidad de la Información -SGSPI. Además, hará las veces de Secretariado del Comité de Seguridad de la Información en la Entidad:
1. Asegurar que el Sistema de Gestión de Seguridad y Privacidad de la Información - SGSPI de la ADRES opere de conformidad con el Modelo de Seguridad y Privacidad de la Información - MSPI.
2. Identificar la brecha entre el Sistema de Gestión de Seguridad y Privacidad de la Información - SGSPI y la situación de la Entidad a través de la herramienta establecida por el Ministerio de Tecnologías de la Información y las Comunicaciones - MINTIC.
3. Supervisar el cumplimiento del ordenamiento normativo sobre Seguridad Digital y Privacidad de la Información.
4. Liderar la implementación y mantenimiento del Sistema de Gestión de Seguridad y Privacidad de Información - SGSPI, asegurando el cumplimiento de las políticas generales y específicas de Seguridad de la Información aprobadas por la Entidad.
5. Asegurar la ejecución de los planes del Sistema de Gestión de Seguridad y Privacidad de Información - SGSPI y el logro de los objetivos de Seguridad de la Información. Realizar actualizaciones metodológicas y de lineamientos del Sistema de Gestión de Seguridad y Privacidad de Información - SGSPI de acuerdo con la normatividad vigente y aplicable.
6. Administrar, monitorear y coordinar permanentemente la Seguridad de la Información en la Entidad.
7. Apoyar la definición e implementación de controles para el tratamiento de riesgos de Seguridad de la Información para cada proceso.
8. Apoyar la definición de acciones que permitan identificar las vulnerabilidades en la infraestructura tecnológica de la Entidad.
9. Atender las auditorías internas, externas y revisiones de entes de control, proporcionando la información correspondiente a Seguridad de la Información.
10. Asegurar la adecuada gestión de los incidentes de Seguridad de la Información en la Entidad.
11. Promover la divulgación de las responsabilidades de Seguridad de la Información de los funcionarios, contratistas y demás personas vinculadas a ADRES
12. Promover programas, campañas y actividades de sensibilización del Sistema de Gestión de Seguridad y Privacidad de Información - SGSPI al interior de la Entidad.
13. Gestionar la actualización del Sistema de Gestión de Seguridad y Privacidad de Información - SGSPI
14. Documentar el seguimiento, medición, análisis y evaluación del desempeño de la Seguridad de la Información y la eficacia del Sistema de Gestión de Seguridad y Privacidad de Información - SGSPI.
15. Actuar como enlace con las autoridades y grupos de interés relacionados con la Seguridad de la Información.
16. Convocar al Comité de Seguridad y Privacidad de la Información y proponer la agenda a tratar.
17. Informar a intervalos planificados al Comité de Seguridad de la Información sobre el desempeño del Sistema de Gestión de Seguridad y Privacidad de Información - SGSPI en la Entidad.
18. Divulgar la Política de Seguridad Informática y gestionar su cumplimiento al interior de la Entidad.
19. Gestionar la implementación y adopción del Sistema de Gestión de Seguridad y Privacidad de la Información - SGSPI.
20. Coordinar los procesos de capacitación necesarios para el uso y apropiación de las soluciones y servicios tecnológicos de la Entidad en materia de Seguridad y Privacidad de la Información.
21. Actualizarse permanentemente y de manera especializada en las nuevas modalidades de ciberataques y sugerir las capacitaciones que deben recibir los servidores de la Entidad al respecto.
22. Coordinar con las Direcciones, Subdirecciones, Oficinas Asesoras y Grupos Internos de Trabajo de Adres, así como, las auditorías internas y externas, incluyendo la Oficina de Control Interno para determinar las diferentes acciones para el desarrollo del plan de control operacional del SGSPI.
ARTÍCULO 7o. VIGENCIA. La presente resolución rige a partir de la fecha de su publicación. Dada en Bogotá D.C., a los 27 días del mes de abril de 2022.
COMUNIQUESE Y CÚMPLASE
JORGE ENRIQUE GUTIERREZ SAMPEDRO
Director de la Administradora de Recursos del Sistema General de Seguridad Social en Salud (ADRES)
