Communication">
Po Sgsi 001
Po Sgsi 001
Po Sgsi 001
Cargo Nombre
Cynthia Aguirre
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la
Intranet, sección Sistema de Gestión de la Seguridad de la Información
POLÍTICA Código: PO-SGSI-001
Versión: 05
SEGURIDAD DE LA INFORMACIÓN Página 2 de 17
TABLA DE CONTENIDO
CONTROL DE CAMBIOS ..................................................................................................................................... 3
1. OBJETIVO ............................................................................................................................................ 4
2. ALCANCE ............................................................................................................................................. 4
3. BASE LEGAL ........................................................................................................................................ 4
4. DOCUMENTOS DE REFERENCIA............................................................................................................ 4
5. DEFINICIONES Y ABREVIATURAS .......................................................................................................... 4
5.1. DEFINICIONES ...................................................................................................................................... 4
5.2. ABREVIATURAS.................................................................................................................................... 5
6. POLÍTICAS ............................................................................................................................................ 6
6.1. SEGURIDAD DE LA INFORMACIÓN ........................................................................................................ 6
6.2. GESTIÓN DE PROYECTOS ..................................................................................................................... 6
6.3. DISPOSITIVOS MÓVILES ....................................................................................................................... 6
6.4. TELETRABAJO O TRABAJO REMOTO O ACCESO REMOTO .................................................................... 7
6.5. RECURSOS HUMANOS .......................................................................................................................... 8
6.6. USO ADECUADO DE ACTIVOS ............................................................................................................... 8
6.6.1. Uso de Internet .................................................................................................................................... 9
6.6.2. Uso del Correo Electrónico .................................................................................................................. 10
6.6.3. Pantalla y Escritorios Limpios .............................................................................................................. 11
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la Intranet,
sección Sistema de Gestión de la Seguridad de la Información
POLÍTICA Código: PO-SGSI-001
Versión: 05
SEGURIDAD DE LA INFORMACIÓN Página 3 de 17
CONTROL DE CAMBIOS
N° Responsable del
Fecha Descripción del cambio
Versión Documento
Se unifican las políticas de seguridad de la información en un único Oficial de
4 22/08/2019 documento. Seguridad de la
Se actualiza estructura del documento. Información
Se reformula la Política de Seguridad de la Información incluyendo lo
relacionado a cumplimiento de los requisitos legales aplicables.
Se modifica las políticas específicas relacionadas a:
a) Dispositivos móviles: se incluye como medio autorizado de conexión
a internet, la red inalámbrica privada del colaborador.
b) Teletrabajo o acceso remoto:
Se incluirá el término trabajo remoto.
Se retirará la validación del Oficial de Seguridad para las
solicitudes de teletrabajo, acceso remoto o trabajo remoto. Se
mantendrá la validación del acceso remoto de proveedores
especializados.
Se modificará el lineamiento de vigencia del acceso remoto o Oficial de
5 22/10/2020 trabajo remoto que limitaba a renovaciones cada 03 meses, Seguridad de la
incluyéndose en su lugar que cada Responsable de la UO debe Información
revisar de forma trimestral la relación de sus colaboradores con
acceso remoto, trabajo remoto o teletrabajo y validar su
correspondencia ante la OTI.
c) Uso adecuado de los activos: Se incluye que los equipos de cómputo
que son entregados a los colaboradores en calidad de
préstamo serán configurados con los puertos de almacenamiento
extraíbles bloqueados.
d) Uso de Internet: Se modifica lineamiento relacionado al uso de
servicios en la nube, “Los colaboradores del OSIPTEL sólo podrán
hacer uso del servicio de almacenamiento en la nube institucional,
previa autorización de la máxima autoridad de su UO y de acuerdo a
los mecanismos de control técnicos establecidos por la OTI.
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la Intranet,
sección Sistema de Gestión de la Seguridad de la Información
POLÍTICA Código: PO-SGSI-001
Versión: 05
SEGURIDAD DE LA INFORMACIÓN Página 4 de 17
1. Objetivo
El objetivo del presente documento es normar los requisitos de seguridad de la información dentro de los
diferentes procesos del OSIPTEL para proteger la confidencialidad, disponibilidad e integridad de la
información, recursos, servicios e instalaciones.
2. Alcance
3. Base Legal
4. Documentos de Referencia
5. Definiciones y Abreviaturas
5.1. Definiciones
Acceso remoto Acceso desde un equipo informático a un recurso ubicado físicamente en otra
computadora que se encuentra en otro lugar.
Activos de Bien o servicio tangible o intangible, que genera, procesa o almacena
Información información, en el cual se le atribuye un grado de valor según su criticidad o
asociación con los procesos de negocio los cuales están alineados a sus
objetivos planteados.
Activos de Recursos tecnológicos con los que cuenta una organización como el software,
Tecnología de la hardware y servicios.
Información
Colaborador Personal que labora para el OSIPTEL, contratado bajo la modalidad del Régimen
Laboral (D.L. 728), Contrato Administrativo de Servicios-CAS (D.L. 1057),
intermediación laboral y convenio de prácticas.
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la Intranet,
sección Sistema de Gestión de la Seguridad de la Información
POLÍTICA Código: PO-SGSI-001
Versión: 05
SEGURIDAD DE LA INFORMACIÓN Página 5 de 17
Dispositivo Dispositivos que permiten a las personas acceder a datos e información desde
móvil cualquier lugar y en cualquier momento. Comprenden los dispositivos Laptops,
smartphones, tablets y smartwatch.
Equipo
Equipo informático en el cual se ausenta momentáneamente el trabajador.
desatendido
PIN De las siglas en inglés, Personal Identification Number, es un número de
identificación personal utilizado en ciertos sistemas, como el teléfono móvil o el
cajero automático, para identificarse y obtener acceso al sistema.
Portal cautivo Página de inicio de sesión personalizado en redes empresariales que los usuarios
invitados deben pasar antes de poder conectarse a la red inalámbrica.
Propietario de Individuo o entidad de forma responsable, que cuenta con la aprobación del
Activo de órgano de dirección, para el control de la producción, desarrollo, mantenimiento,
Información utilización y seguridad de los activos. El término propietario no significa que la
persona disponga de los derechos de propiedad reales del activo.
Proveedor Persona natural o jurídica que brinda un servicio o producto al OSIPTEL.
Proyecto Proceso único, que consiste en un conjunto de actividades coordinadas y
controladas con fechas de inicio y finalización, llevadas a cabo para lograr un
objetivo conforme con requisitos específicos y requerimientos específicos,
incluyendo las limitaciones de tiempo, coste y recursos
Remote Desktop Protocolo propietario desarrollado por Microsoft que permite la comunicación en
Protocol (RDP) la ejecución de una aplicación entre un terminal (mostrando la información
procesada que recibe del servidor) y un servidor Windows (recibiendo la
información dada por el usuario en el terminal mediante el ratón o el teclado).
Teletrabajo Todas las formas de trabajo fuera de la oficina, incluyendo los ambientes de
trabajo no tradicionales, tales como los ambientes denominados “trabajo a
distancia”, “trabajo flexible”, “trabajo remoto”, y “trabajo virtual”.
Tercero Toda persona que no cuentan con vínculo laboral con el OSIPTEL pero requiere
hacer uso de sus activos de información ya sea para la prestación de un servicio
(proveedores), en calidad de visitante o administrado (empresa operadora o
usuario de servicio de telecomunicaciones).
5.2. Abreviaturas
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la Intranet,
sección Sistema de Gestión de la Seguridad de la Información
POLÍTICA Código: PO-SGSI-001
Versión: 05
SEGURIDAD DE LA INFORMACIÓN Página 6 de 17
6. Políticas
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la Intranet,
sección Sistema de Gestión de la Seguridad de la Información
POLÍTICA Código: PO-SGSI-001
Versión: 05
SEGURIDAD DE LA INFORMACIÓN Página 7 de 17
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la Intranet,
sección Sistema de Gestión de la Seguridad de la Información
POLÍTICA Código: PO-SGSI-001
Versión: 05
SEGURIDAD DE LA INFORMACIÓN Página 8 de 17
Los colaboradores que tengan asignado información y/o activos de TI debe hacer uso de estos
en estricto cumplimiento a sus funciones y/o actividades asignadas.
El acceso a los activos de TI se realiza a través de una cuenta de acceso a red.
Los colaboradores cuentan con unidades de red (W y P) donde deben almacenar sólo
información institucional evitando la duplicidad de datos por ser un uso incorrecto del
almacenamiento.
Los colaboradores deben proteger los activos de TI y la información albergada o procesada en
estos, contra el acceso (físico y lógico) no autorizado, robo, daño, saturación de recursos,
consumo excesivo del ancho de banda, exposición de datos personales,
OTI es responsable de implementar mecanismos técnicos para brindar seguridad a los activos
de TI, por ello norma su uso a través de la Directiva N° 001-2018-GG/OSIPTEL “Directiva para
la gestión del parque informático”.
Los colaboradores que requieran acceso a llamadas telefónicas externas (salientes) deben
solicitarlo a través del Portal de Soporte Informático.
Los activos de TI son parte de patrimonio del OSIPTEL; por tanto, OTI en coordinación con OAF
realizan el proceso de asignación formal.
Los usuarios que requieran retirar activos de TI de las instalaciones del OSIPTEL deberán
solicitarlo y contar con la autorización previa del Jefe o Gerente de la UO correspondiente, así
como realizar la comunicación a OTI según los formatos establecidos.
Los equipos de cómputo que son entregados a los colaboradores en calidad de préstamo
(Emergencia Sanitaria Covid-19) serán configurados con los puertos de almacenamiento
extraíbles bloqueados.
El servicio de internet se encuentra disponible para los colaboradores del OSIPTEL como
herramienta de apoyo para el cumplimiento de sus funciones y realización de tareas.
Los colaboradores son responsables de dar buen uso al servicio de internet, así como de adoptar
las medidas de seguridad necesarias que garanticen que su trabajo se llevará a cabo de una
manera eficiente y productiva.
OTI es responsable de brindar el servicio de internet a través de mecanismos seguros para lo
cual implementa controles y filtros de navegación lo cual puede implicar la restricción parcial o
total de sitios web potencialmente peligrosos. Así mismo establece las configuraciones
necesarias en los navegadores web autorizados en los equipos de cómputo.
No está permitido cualquier otro medio de conexión a internet de proveedores externos que no
haya sido dispuesto por OTI.
El OSIPTEL cuenta con la potestad de mantener los registros de navegación de su servicio de
internet, así como de toda información entrante o saliente a través de su red, con la finalidad de
monitoreo y/o revisión y sin previo aviso.
Las conexiones inalámbricas a internet se realizarán a través de los portales cautivos, los
mismos que serán usados por los visitantes, en caso lo soliciten y se encuentre autorizado por
el Jefe o Gerente de la UO correspondiente; la solicitud se realiza por correo electrónico a la
cuenta de soporteinformatico@osiptel.gob.pe.
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la Intranet,
sección Sistema de Gestión de la Seguridad de la Información
POLÍTICA Código: PO-SGSI-001
Versión: 05
SEGURIDAD DE LA INFORMACIÓN Página 10 de 17
Cualquier solicitud de cambio en la configuración establecida por OTI deberá ser sustentado y
evaluado por el Comité de Gobierno Digital.
Los colaboradores del OSIPTEL sólo podrán hacer uso del servicio de almacenamiento en la
nube institucional, previa autorización de la máxima autoridad de la UO a la que pertenece y de
acuerdo a los mecanismos técnicos establecidos por OTI.
Los colaboradores del OSIPTEL no debe divulgar o publicar información interna en sitios web o
en servicios de almacenamiento en la nube (dropbox, googledrive, etc.) no autorizados. Así
también, está prohíbo visitar sitios web con contenido inapropiado (entretenimiento, pornografía,
juegos, contenido ofensivo, redes sociales, chats, conexiones p2p) o que puedan ser fuente de
archivos y programas maliciosos.
OTI gestiona las actualizaciones de software en los equipos informáticos de forma automática,
por lo cual no se requiere la descarga de parches u otro software por parte de los colaboradores.
El servicio de correo electrónico se encuentra disponible para los colaboradores del OSIPTEL
como herramienta de apoyo para el cumplimiento de sus funciones y realización de tareas.
OTI es responsable de brindar el servicio de correo a través de mecanismos seguros y confiables
para lo cual implementa controles y filtros que pueden implicar la restricción parcial o total de
cuentas de correo que remiten información potencialmente peligrosa. Así mismo, a través de su
Directiva P-GTI-01 – “Atención de Solicitudes de Soporte Informático”, Directiva N° 001-2018-
GG/OSIPTEL – “Gestión del Parque Informático”, entre otras normas, establece las pautas para
su adecuada gestión.
El software cliente de correo electrónico autorizado es Microsoft Outlook, cualquier otro se
encuentra prohibido.
Los colaboradores no deben hacer uso de correos electrónicos gratuitos personales (Gmail,
Hotmail, Yahoo, Outlook, etc.) con excepción de la Alta Dirección, Gerentes, Sub Gerentes,
Asesores y Jefes.
Los colaboradores no deben enviar información interna o confidencial del OSIPTEL por correo
electrónico hacia cuentas de terceros y/o gratuitos.
Los colaboradores que remitan información a cuentas grupales o listas de correo debe
asegurarse que los destinatarios tienen necesidad de conocer la información a remitir,
entendiéndose que esta información es estrictamente laboral.
Los colaboradores no deben remitir información de su entorno privado a través de cuentas de
correo electrónico del OSIPTEL, tampoco deben usar su cuenta de correo institucional para
suscribirse a boletines, revistas, programas u otros medios de notificaciones de carácter
personal.
Los colaboradores que reciban un correo electrónico con contenido malicioso, fraudulento o
donde se alerte situaciones que comprometan la seguridad de la información deberá remitir el
mensaje a la cuenta de correo informacionsegura@osiptel.gob.pe con la finalidad de que se
brinde el tratamiento adecuado, así como evitar su difusión o re-envío a otros destinatarios.
Los colaboradores deben cuidar y hacer buen uso del servicio de correo electrónico del
OSIPTEL, toda acción contraria (envío de publicidad, correos masivos, suplantación de
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la Intranet,
sección Sistema de Gestión de la Seguridad de la Información
POLÍTICA Código: PO-SGSI-001
Versión: 05
SEGURIDAD DE LA INFORMACIÓN Página 11 de 17
identidad, correos cadenas, virus, código malicioso, contenido inapropiado u ofensivo, entre
otros) y/o que ponga en peligro la información almacenada o transmitida por el servicio de correo,
así como su infraestructura, está prohibida y será considerada como un ataque.
Los colaboradores del OSIPTEL debe hacer uso de firmas (resumen de datos) estandarizadas
que lo identifiquen en el intercambio de correos electrónicos, la estructura de la firma seguirá lo
normado por OCRI.
Los colaboradores del OSIPTEL son responsables controlar el espacio de almacenamiento en
su correo de forma que garantice su disponibilidad contando con opciones de eliminación, copia
a carpetas del equipo local entre otras.
Todo acceso a recursos y servicios de TI se realiza con una cuenta de usuario que es un
identificador único compuesto por un usuario1 y contraseña.
1 Se entiende por Usuario el nombre de cuenta para el acceso a cualquier sistema informático. Por ejemplo: jrodriguez.
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la Intranet,
sección Sistema de Gestión de la Seguridad de la Información
POLÍTICA Código: PO-SGSI-001
Versión: 05
SEGURIDAD DE LA INFORMACIÓN Página 12 de 17
La contraseña está clasificada como información confidencial por lo cual no se debe compartir o
mantener anotaciones de esta, ya sea en papeles o archivos digitales.
Los proveedores de servicios que necesiten acceder a una cuenta de usuario del OSIPTEL,
deberán de ser identificados con el prefijo “prov”, estas cuentas serán solicitadas en el Portal de
Soporte Informático con la autorización del Gerente, Director o Jefe de la UO correspondiente al
área usuaria indicando el vínculo y periodo contractual del proveedor.
Las empresas operadoras que deban hacer uso de las aplicaciones informáticas de OSIPTEL,
designarán a sus usuarios autorizados, estas cuentas deberán ser diferenciadas de las cuentas
internas de los colaboradores del OSIPTEL y mantener una nomenclatura estandarizada por
OTI.
Los colaboradores o terceros tienen prohibido usar una cuenta de usuario de otra persona o
suplantar su identidad. Así también, no debe hacer uso de cuentas genéricas.
Las contraseñas deben ser robustas para mitigar riesgos de acceso no autorizado, por lo cual
debe ser de una longitud mínima de 8 caracteres cumpliendo una combinación de números,
símbolos, letras mayúsculas, minúsculas.
Las cuentas de usuario deben de ser bloqueadas ante 5 intentos fallidos de ingreso de
contraseña.
Las contraseñas almacenadas deben hacer uso de cifrados robustos como AES256 o superior.
Las cuentas de usuario deben permitir que los usuarios realicen su cambio con una frecuencia
máxima de 90 días, no se podrán reutilizar contraseñas anteriores. El usuario de una nueva
cuenta de acceso debe cambiar su contraseña la primera vez que inicie sesión.
El restablecimiento de contraseña por olvido debe ser solicitada a OTI que es responsable de
realizar la validación de la identificación del solicitante bajo los mecanismos que establezca y
asignando una contraseña temporal que cumpla con las características de fortaleza ya definidas.
Todos los equipos y/o dispositivos conectados a la red del OSIPTEL (routers, firewalls, switches,
etc.) deben contar con contraseñas u otro mecanismo superior de control de acceso. OTI es
responsable de la seguridad de la red del OSIPTEL por tanto norma los procedimientos
adecuados para su cumplimiento.
Ningún equipo o dispositivo conectado a la red del OSIPTEL debe mantener contraseñas por
defecto u omisión, incluyendo aquellas provistas por fabricantes o proveedores de equipamiento
o software.
Las cuentas de usuarios del tipo administrador, súper administrador y/o administradores del
dominio son de uso exclusivo de OTI y deben ser usados solo para labores de mantenimiento,
configuración y/o soporte de la plataforma tecnológica institucional.
Las cuentas de usuario que son usadas por servicios (sistemas, IIS, Oracle, etc.) son de uso
exclusivo de OTI y deben de tener una longitud mínima de 30 caracteres, combinación de
números, símbolos, letras mayúsculas, minúsculas.
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la Intranet,
sección Sistema de Gestión de la Seguridad de la Información
POLÍTICA Código: PO-SGSI-001
Versión: 05
SEGURIDAD DE LA INFORMACIÓN Página 13 de 17
Toda persona que ingrese a las instalaciones del OSIPTEL debe identificarse y ser registrado
tanto en el ingreso como en la salida. Los colaboradores deben usar en todo momento su
fotocheck y los terceros deben usar el identificador que se les haya sido asignado.
OAF es el responsable de normar e implementar los mecanismos técnicos para asegurar el
control del acceso físico a las instalaciones, a través de su Coordinador de Seguridad establece
los procedimientos necesarios para cumplir con tal fin.
Las oficinas o instalaciones donde se almacene o procese información confidencial (Centro de
Datos, Archivo, entre otras) deben contar con acceso restringido y monitoreado con cámaras de
videovigilancia. El ingreso y salida de los colaboradores autorizados debe ser registrado por las
UO responsables de dichos ambientes y, de ser el caso, emplear mecanismos biométricos.
Las oficinas o instalaciones que contengan equipos de comunicaciones (switches, PBX, routers,
firewalls) y consolas de administración, deben contar con acceso restringido y monitoreado con
cámaras de videovigilancia.
El centro de datos es considerado una instalación crítica por almacenar y procesar información
sensible e importante para el OSIPTEL.
El acceso al Centro de Datos está permitido sólo al personal técnico autorizado de OTI. El
ingreso y salida es previa identificación dactilar (huella) o mediante uso de llave en el dispositivo
de acceso.
Los terceros que requieran ingresar, deben contar con autorización y estar acompañados por un
personal técnico autorizado de OTI quién supervisará los trabajos o actividades a realizar.
Todo equipamiento debe ser inspeccionado antes de la entrega a fin de determinar si su
contenido representa un peligro para la seguridad del centro de datos, de igual manera, esta
tarea será supervisada por un personal técnico autorizado de OTI
Cualquier mantenimiento efectuado en las áreas continuas al Centro de Datos que impliquen
uso de químicos o agentes emisores de humo, polvo, gases o cualquier otra sustancia que afecte
las alarmas del Centro de Datos, debe ser comunicado y coordinado con OTI a fin de prevenir
alguna alteración del Centro de Datos.
En mención a lo anterior, se debe realizar el correcto sellado de todas las puertas del Centro de
Datos (deberá asegurarse el sellado de todo el marco de las puertas, para evitar ingreso de
gases) así como ductería (cableado eléctrico, etc.) y falso techo contiguos a sus instalaciones
de ser necesario, utilizando para ello cinta de enmascarar - Hogar y Obra (cinta azul) de
remoción limpia, este sellado lo deberá realizar el área responsable del mantenimiento o trabajo.
Asimismo, 24 horas después de la finalización de los trabajos, dicha cinta deberá ser retirada
sin dejar residuos en los marcos de las puertas.
Todo equipo informático que contenga medios de almacenamiento debe pasar por un proceso
de borrado seguro ante la necesidad de su reutilización o baja.
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la Intranet,
sección Sistema de Gestión de la Seguridad de la Información
POLÍTICA Código: PO-SGSI-001
Versión: 05
SEGURIDAD DE LA INFORMACIÓN Página 14 de 17
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la Intranet,
sección Sistema de Gestión de la Seguridad de la Información
POLÍTICA Código: PO-SGSI-001
Versión: 05
SEGURIDAD DE LA INFORMACIÓN Página 15 de 17
OTI es responsable del control del software por ello norma e implementa los mecanismos
técnicos que protejan los recursos y servicios de TI así como la información alojada.
Los equipos de cómputo cuentan con software de protección contra malware, virus y troyanos.
Los usuarios tienen restricciones de instalación de software con la finalidad de evitar la
propagación de software malicioso,
El servicio de correo cuenta con un servicio antispam para detectar correos maliciosos y
bloquearlos.
Los usuarios son responsables de reportar cualquier evento que identifiquen como
potencialmente peligroso (archivos modificados sin autorización, ventanas emergentes, etc.).
OTI es responsable de gestionar el respaldo de la información en formato digital, así como del
software y sistemas, el cual se estable en su procedimiento P-GTI-02 “Respaldo de Información”.
El respaldo de información debe almacenarse en lugares remotos para evitar cualquier daño en
caso de desastre en las instalaciones del OSIPTEL.
OTI debe realizar pruebas de recuperación del respaldo periódicamente para asegurar que son
confiables cuando sean necesario. Así como procedimentar las acciones involucradas de forma
que se garantiza que todos los involucrados tienen conocimiento de las acciones necesarias.
Todo proyecto informático que sea implementada en el OSIPTEL debe ser coordinado con OTI
y el Oficial de Seguridad de la Información de forma que se incluya los requisitos de seguridad
necesarios que eviten posibles vulnerabilidades.
OTI incluye dentro de los requisitos de adquisición o mantenimiento de software pruebas o
análisis de vulnerabilidades.
El Oficial de Seguridad de la Información realiza periódicamente pruebas de vulnerabilidades
sobre los servicios e infraestructura tecnológica.
OTI como responsable de la seguridad de los recursos y servicios informáticos, realiza tareas
de actualización periódica sobre el software de los servidores, equipos de cómputo,
comunicaciones o seguridad perimetral.
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la Intranet,
sección Sistema de Gestión de la Seguridad de la Información
POLÍTICA Código: PO-SGSI-001
Versión: 05
SEGURIDAD DE LA INFORMACIÓN Página 16 de 17
Los colaboradores o terceros que detecten vulnerabilidades o debilidades que puedan poner en
peligro la información, recursos o servicios de TI, debe comunicarlo al Oficial de Seguridad de
la Información siguiendo el procedimiento P-SGSI-01.
Los colaboradores o terceros que detecten vulnerabilidades no deben aprovecharse de estas
para acceder o difundir información no autorizada, así como producir alguna interrupción o daño
en los recursos y servicios de TI.
- Designar a un responsable por cada banco de datos personales; así como un responsable
del tratamiento de los mismos.
- Garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de
los datos personales, a través del correo electrónico datospersonales@osiptel.gob.pe o por
escrito dirigido al responsable designado para tal efecto, en cualquier oficina del OSIPTEL a
nivel nacional.
- Promover la toma de conciencia del personal responsable sobre la protección de los datos
personales.
- Cumplir con los requisitos legales, normativos y regulatorios aplicables.
- Fomentar la mejora continua sobre las medidas adoptadas en protección de los datos
personales a fin de minimizar los riesgos e incidentes de seguridad relacionados a los datos
personales.
Las únicas COPIAS CONTROLADAS de los documentos aprobados del SGSI se encuentran publicadas en la Intranet,
sección Sistema de Gestión de la Seguridad de la Información