Registro Oficial No.

475 , 8 de Abril 2015

Normativa: Vigente

Última Reforma: Acuerdo 000066 (Registro Oficial 475, 8-IV-2015)

ACUERDO No. 000066

(CONFÓRMESE EL COMITÉ DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN (CSI) Y EMÍTESELA POLÍTICA DE SEGURIDAD DE LA
INFORMACIÓN DEL MINISTERIO DE INCLUSIÓN ECONÓMICA Y SOCIAL
DE ACUERDO AL ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA
INFORMACIÓN (EGSI))

Ing. Ana Beatriz Tola Bermeo

MINISTRA DE INCLUSIÓN ECONÓMICA Y SOCIAL

Considerando:

Que, la Constitución de la República del Ecuador en su artículo 154 numeral 1, determina

que les corresponde "a las Ministras y Ministros de Estado, además de las atribuciones
establecidas en la ley, ejercer la rectoría de las políticas públicas del área a su cargo y
expedir los acuerdos y resoluciones administrativas que requiera su gestión";

Que, el artículo 226 de la Constitución de la República del Ecuador, determina que: “las
instituciones del Estado, sus organismos, dependencias, las servidoras o servidores
públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente
las competencias y facultades que les sean atribuidas en la Constitución y la ley. Tendrán
el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y
ejercicio de los derechos reconocidos en la Constitución”;

Que, el artículo 227 de la Constitución de la República del Ecuador, establece que: “la
Administración Pública constituye un servicio a la colectividad que se rige por los
principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización,
coordinación, participación, planificación, transparencia y evaluación”;

Que, el artículo 18 numerales 1 y 2 de la Constitución de la República del Ecuador,

manifiesta: “Todas las personas, en forma individual o colectiva, tienen derecho a:

1. Buscar, recibir, intercambiar, producir y difundir información veraz, verificada,

oportuna, contextualizada, plural, sin censura previa acerca de los hechos,
acontecimientos y procesos de interés general, y con responsabilidad ulterior.

2. Acceder libremente a la información generada en entidades públicas, o en las privadas

que manejen fondos del Estado o realicen funciones públicas. No existirá reserva de
información excepto en los casos expresamente establecidos en la ley. En caso de violación
a los derechos humanos, ninguna entidad pública negará la información”;
Que, el artículo 35 de la Ley de Modernización del Estado, establece que: “cuando la
conveniencia institucional lo requiera, los máximos personeros de las instituciones del
estado dictarán acuerdos, resoluciones u oficios que sean necesarios para delegar sus
atribuciones”;

Que, el artículo 1 de la Ley Orgánica de Transparencia y Acceso a la Información, señala:

“Principio de Publicidad de la Información Pública.- El acceso a la información pública
es un derecho de las personas que garantiza el Estado.

Toda la información que emane o que esté en poder de las instituciones, organismos y
entidades, personas jurídicas de derecho público o privado que, para el tema materia de la
información tengan participación del Estado o sean concesionarios de éste, en cualquiera
de sus modalidades, conforme lo dispone la Ley Orgánica de la Contraloría General del
Estado; las organizaciones de trabajadores y servidores de las instituciones del Estado,
instituciones de educación superior que perciban rentas del Estado, las denominadas
organizaciones no gubernamentales (ONGs), están sometidas al principio de publicidad;
por lo tanto, toda información que posean es pública, salvo las excepciones establecidas
en esta Ley”;

Que, el artículo 5 de la Ley Orgánica de Trasparencia y Acceso a la Información, establece:

“Información Pública.- Se considera información pública, todo documento en cualquier
formato, que se encuentre en poder de las instituciones públicas y de las personas jurídicas
a las que se refiere esta Ley, contenidos, creados u obtenidos por ellas, que se encuentren
bajo su responsabilidad o se hayan producido con recursos del Estado”;

Que, el artículo 17 del Estatuto de Régimen Jurídico y Administrativo de la Función

Ejecutiva, señala que: "los Ministros de Estado son competentes para el despacho de todos
los asuntos inherentes a sus ministerios sin necesidad de autorización alguna del
Presidente de la República, salvo a los casos expresamente señalados en leyes especiales.
Los Ministros de Estado, dentro de la esfera de su competencia, podrán delegar sus
atribuciones y deberes al funcionario inferior jerárquico de sus respectivos Ministerios,
cuando se ausente en comisión de servicios al exterior o cuando lo estimen conveniente,
siempre y cuando las delegaciones que concedan no afecten a la buena marcha del
Despacho Ministerial...";

Que, el artículo 10-1 del Estatuto del Régimen Jurídico y Administrativo de la Función
Ejecutiva, señala: “FORMAS DE LAS ENTIDADES QUE INTEGRAN LA FUNCIÓN
EJECUTIVA: La Función Ejecutiva, además de los organismos definidos y desarrollados
en los artículos posteriores, podrá contar de manera general con los siguientes tipos de
entidades:(…)c) Comité.- Cuerpo colegiado interinstitucional, cuyas funciones son de
coordinación estatal y gubernamental, sobre temas específicos;(…)”;

Que, mediante Acuerdo Ministerial No. 166 de 19 de septiembre de 2013, publicado en el

Registro Oficial Segundo Suplemento No. 88 de fecha 25 de septiembre de 2013, la
Secretaría Nacional de la Administración Pública, dispuso a las entidades de la
Administración Pública Central, Institucional y que dependen de la Función Ejecutiva el
uso obligatorio de las Normas Técnicas Ecuatorianas NTE INEN-ISO/lEC 27000 para la
Gestión de Seguridad de la Información;

Que, el literal b) del subnumeral 1.1 del Esquema Gubernamental de Seguridad de la

Información (EGSI), establece la obligatoriedad de la emisión de una Política de Seguridad;

Que, el literal c) del subnumeral 2.1 del Esquema Gubernamental de Seguridad de la

Información (EGSI) determina que como compromiso de la máxima autoridad de la
institución con la seguridad de la información debe: “conformar oficialmente el Comité de
Gestión de la Seguridad de la Información de la institución (CSI) y designar a los
integrantes.”;

Que, mediante Acuerdo Ministerial No. 154 de 08 de enero de 2013, publicado en el

Registro Oficial No. 415 de fecha 21 de marzo de 2013, se expidió el Estatuto Orgánico por
Procesos del Ministerio de Inclusión Económica y Social el cual en el numeral 3 del
artículo 9 establece como atribución del Ministerio de Inclusión Económica y Social:
“Expedir acuerdos, normas técnicas y demás normas secundarias necesarias para la
organización institucional y cumplimiento de los objetivos ministeriales”;

Que, el Presidente Constitucional de la República del Ecuador, mediante Decreto Ejecutivo

No. 317 de fecha 12 de mayo de 2014, designó a la Ingeniera Ana Beatriz Tola Bermeo,
Ministra de Inclusión Económica y Social;

Que, se considera que la información es un recurso que, como el resto de los activos, tiene
valor para el Ministerio de Inclusión Económica y Social y por consiguiente debe ser
debidamente protegida. En este sentido, las Políticas de Seguridad de la Información
protegen a la misma de una amplia gama de amenazas, a fin de garantizar la continuidad de
los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente
cumplimiento de los objetivos del Ministerio de Inclusión Económica y Social;

En uso de las atribuciones conferidas en el artículo 154 numeral 1 de la Constitución de la

República del Ecuador y el artículo 17 del Estatuto del Régimen Jurídico Administrativo de
la Función Ejecutiva;

Acuerda:

CONFORMAR EL COMITÉ DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN (CSI) Y EMITIR LA POLÍTICA DE SEGURIDAD DE LA
INFORMACIÓN DEL MINISTERIO DE INCLUSIÓN ECONÓMICA Y SOCIAL DE
ACUERDO AL ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA
INFORMACIÓN (EGSI)

Capítulo I
DEL ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN
(EGSI)
Art. 1.- Disponer la implementación del Esquema Gubernamental de Seguridad de la
Información (EGSI) (constante en el anexo del Acuerdo Ministerial No. 166 de fecha 19 de
septiembre de 2013, publicado en el Registro Oficial Segundo Suplemento No. 88 de fecha
25 de septiembre de 2013) en el Ministerio de Inclusión Económica y Social, que está
basado en la norma técnica ecuatoriana INEN ISO/IEC 27002 para Gestión de la Seguridad
de la Información y está dirigido a las instituciones de la Administración Pública Central,
Dependiente e Institucional. El EGSI establece un conjunto de directrices prioritarias para
Gestión de Seguridad de la Información e inicia un proceso de mejora continua en las
instituciones de la Administración Pública.

Capítulo II
DEL COMITÉ DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (CSI)
Art. 2.- Definición del Comité de Gestión de la Seguridad de la Información (CSI).-

Denomínese Comité de Gestión de la Seguridad de la Información (CSI) al cuerpo

integrado por representantes de diferentes áreas del MIES, destinado a garantizar el apoyo
manifiesto de las autoridades a las iniciativas de seguridad de la información dentro de la
institución.
Art. 3.- Objeto del Comité de Gestión de la Seguridad de la Información (CSI).- El
Comité de Seguridad de la Información (CSI) Involucra la participación y cooperación de
los cargos directivos del MIES; es el responsable de la definición, revisión y aprobación de
las políticas, normas y procedimientos relacionados con la seguridad de la información e
igualmente velará por la implantación y cumplimiento de los mismos.
Art. 4.- Conformación del Comité de Gestión de la Seguridad de la Información
(CSI).- El Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de
Inclusión Económica y Social está conformado por los siguientes servidores:

a) Director/a de Administración de Procesos, o quien hiciera sus veces;

b) Director/a de Tecnologías de la Información, o quien hiciera sus veces;

c) Analista de Tecnologías designado por el/la Director/a de Tecnologías de la Información

como Líder de Infraestructura Tecnológica;

d) Director/a Administrativo/a;

e) Director/a de Administración de Datos;

f) Director/a de Talento Humano;

g) Director/a de Cambio de Cultura Organizacional;

h) Director/a de Infraestructura;

i) Un delegado/a permanente de la Coordinación General de Gestión del Conocimiento;

j) Un delegado/a permanente de la Coordinación General de Asesoría Jurídica; y,

k) Un delegado/a permanente de la Dirección de Secretaría General.

Art. 5.- Estructura Interna del Comité de Gestión de la Seguridad de la Información
(CSI).- El Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de
Inclusión Económica y Social está estructurado de la siguiente manera: el Oficial de
Seguridad de la Información (OSI), el Responsable de Seguridad del Área de Tecnologías
de la Información, Vocales y un Secretario, todos con derecho a voz y voto. Estará
presidido por el Oficial de Seguridad de la Información (OSI), designado conforme al
artículo 7 del presente Acuerdo; actuará como secretario/a el/la delegado/a permanente de
la Dirección de Secretaría General; y actuarán como vocales los demás miembros que
conforman el Comité.
Art. 6.- Definición del Oficial de Seguridad de la información (OSI).- El Oficial de
Seguridad de la Información (OSI) del Ministerio de Inclusión Económica y Social es el
responsable directo del mantenimiento de la Política de Seguridad de la Información
Institucional, así como también de coordinar, planificar, promover y reportar el
cumplimiento de la directrices priorizadas del Esquema Gubernamental de Seguridad de la
Información (EGSI).
Art. 7.- Designación del Oficial de Seguridad de la Información (OSI).- El Oficial de
Seguridad de la Información (OSI) del Ministerio de Inclusión Económica y Social será
el/la Director/a de Administración de Procesos, o quien hiciera sus veces.
Art. 8.- Definición del responsable de seguridad del Área de Tecnologías de la
información.- El Responsable de Seguridad del Área de Tecnologías de la Información es
el encargado de asegurar que los lineamientos para el uso de los recursos tecnológicos para
la generación, procesamiento y administración de información consideren los
requerimientos de seguridad establecidos en el Ministerio de Inclusión Económica y Social,
tomando en cuenta la criticidad de la información a procesar y las directrices establecidas
en el Esquema Gubernamental de Seguridad de la Información (EGSI).
Art. 9.- Designación del Responsable de Seguridad del Área de Tecnologías de la
Información.- El Responsable de Seguridad del Área de Tecnologías de la Información del
Ministerio de Inclusión Económica y Social será el/la Analista de Tecnologías designado
por el Director/a de Tecnologías de la Información como Líder de Infraestructura
Tecnológica.
Art. 10.- Alcance del Comité de Gestión de la Seguridad de la Información (CSI).- El
alcance de las resoluciones del Comité de Gestión de la Seguridad de la Información (CSI)
del Ministerio de Inclusión Económica y Social, será para todas las áreas involucradas en la
gestión de la seguridad de la información, en todos los niveles de desconcentración.

Capítulo III
DE LAS ATRIBUCIONES
Art. 11.- Atribuciones del Comité de Gestión de la Seguridad de la Información (CSI).-
Son atribuciones del Comité de Gestión de la Seguridad de la Información (CSI) aquellas
que están determinadas en el subnumeral 2.2 del Esquema Gubernamental de Seguridad de
la Información (EGSI), que se encuentra anexo al Acuerdo Ministerial No. 166 de fecha 19
de septiembre de 2013 de la Secretaría Nacional de la Administración Pública, publicado en
el Registro Oficial Segundo Suplemento No. 88 de fecha 25 de septiembre de 2013.

Además de las atribuciones expresamente señaladas en el Esquema Gubernamental de

Seguridad de la Información (EGSI), deberá:
a) Presentar a la Máxima Autoridad del Ministerio de Inclusión Económica y Social
informes trimestrales sobre la Gestión de la Seguridad de la Información en la institución, y
particularmente sobre el seguimiento y la puesta en marcha del conjunto de directrices
priorizadas del Esquema Gubernamental de Seguridad de la Información (EGSI). En los
casos requeridos por la Máxima Autoridad o por entes reguladores, estos informes serán
presentados en los plazos establecidos por los mismos.

b) Preparar y poner en consideración de la Máxima Autoridad del Ministerio de Inclusión

Económica y Social las disposiciones relativas a la Seguridad de la Información para que
sean oficializadas en la institución.

c) Implementar en coordinación con la Dirección de Cambio de Cultura Organizacional

campañas periódicas de difusión del Esquema Gubernamental de Seguridad de la
Información (EGSI), y de sensibilización respecto de la seguridad de la información en el
MIES.

d) Todas las demás que le sean delegadas por la Máxima Autoridad o por entes reguladores.
Art. 12.- Atribuciones del Oficial de Seguridad de la Información (OSI).- Las
atribuciones del Oficial de Seguridad de la Información (OSI) son aquellas que están
determinadas en el subnumeral 2.3 del Esquema Gubernamental de Seguridad de la
Información (EGSI), que se encuentra anexo al Acuerdo Ministerial Nro. 166 de fecha 19
de septiembre de 2013 de la Secretaría Nacional de la Administración Pública, publicado en
el Registro Oficial Segundo Suplemento Nro. 88 de fecha 25 de septiembre de 2013.

Además de las atribuciones expresamente señaladas en el Esquema Gubernamental de

Seguridad de la Información (EGSI), deberá:

a) Presidir el Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de

Inclusión Económica y Social (MIES).

b) Convocar a sesiones ordinarias y extraordinarias a través del Secretario del Comité de

Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y
Social.

c) Ser el voto dirimente cuando exista un empate en la votación.

d) Las demás que se deriven de la naturaleza de su cargo.

Art. 13.- Atribuciones del Responsable de Seguridad del Área de Tecnologías de La
Información.- Las atribuciones del Responsable de Seguridad del Área de Tecnologías de
la Información son aquellas que están determinadas en el subnumeral 2.3 del Esquema
Gubernamental de Seguridad de la Información (EGSI), que se encuentra anexo al Acuerdo
Ministerial Nro. 166 de fecha 19 de septiembre de 2013 de la Secretaría Nacional de la
Administración Pública, publicado en el Registro Oficial Segundo Suplemento Nro. 88 de
fecha 25 de septiembre de 2013.
Art. 14.- Atribuciones del Secretario del Comité.- El Secretario del Comité de Gestión de
la Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social,
tendrá las siguientes atribuciones:

a. Elaborar las actas del Pleno, dando fe de su veracidad y contenido, con el visto bueno del
Oficial de Seguridad de la Información (OSI).

b. Mantener y custodiar el archivo del Comité de Gestión de la Seguridad de la Información

(CSI) del Ministerio de Inclusión Económica y Social, que contendrá las convocatorias, las
órdenes del día, los listados de asistencia, los informes, las actas de sesiones, y otros
documentos relacionados a la gestión del Comité.

c. Expedir certificaciones de las actas del Comité, cuando sea debidamente requerido.

d. En el caso de someter un tema a votación, computar y verificar los votos, y proclamar los
resultados, por orden del Oficial de Seguridad de la Información (OSI).

e. Requerir de los miembros del Comité, las propuestas que tengan para la elaboración del
orden del día.

f. Preparar el orden del día y presentarlo para la respectiva aprobación del Oficial de
Seguridad de la Información (OSI).

g. Redactar y difundir las convocatorias a las sesiones previamente requeridas por el Oficial
de Seguridad de la Información (OSI), las que se realizarán de manera formal y deberán
contener el orden del día, el lugar y la documentación sobre los temas a tratar.

b) Las demás que se deriven de la naturaleza de su cargo, y de aquellas asignadas por el

Oficial de Seguridad de la Información (OSI).
Art. 15.- Atribuciones de los Vocales del Comité.- Corresponden a los Vocales del
Comité de Gestión de la Seguridad de la Información (CSI) del Ministerio de Inclusión
Económica y Social las siguientes atribuciones:

a) Proponer al Secretario del Comité los temas a ser tratados por el Comité.

b) Analizar los temas que son materia del orden del día de las sesiones del Comité.

c) Participar activamente en el análisis y discusión de los temas tratados en las reuniones

del Comité y cumplir con las comisiones que les sean encomendadas.

d) Proponer acciones de planificación, programación, capacitación, y de cualquier

oportunidad de mejora en la gestión de la seguridad de la información institucional.

e) Respaldar de manera documentada y motivada las decisiones del Comité.

f) Asegurar el cumplimiento de las decisiones del Comité, en el ámbito de su competencia.

g) Socializar a los servidores del /las área/s de trabajo involucrada/s en la ejecución de las
decisiones del Comité.

h) Asistir a las sesiones que fueren convocados.

i) Las demás que determine el Comité de Gestión de la Seguridad de la Información (CSI)

del Ministerio de Inclusión Económica y Social.

Capítulo IV
DE LAS CONVOCATORIAS, SESIONES, PROCEDIMIENTO, QUÓRUM Y
OBLIGACIONES
Art. 16.- De las Convocatorias.- El Secretario del Comité, previo al cumplimiento de las
formalidades establecidas en el presente reglamento y por disposición expresa del Oficial
de Seguridad de la Información (OSI), convocará a las reuniones ordinarias o
extraordinarias.

La convocatoria deberá realizarse de manera formal, con una antelación de al menos 48

horas para las reuniones ordinarias y de 24 horas para las reuniones extraordinarias,
señalando el orden del día aprobado, la documentación de los asuntos a tratarse, la fecha, la
hora y el lugar donde se efectuará la sesión.
Art. 17.- De las Sesiones.- El Comité de Gestión de la Seguridad de la Información (CSI)
del Ministerio de Inclusión Económica y Social, se reunirá en sesiones ordinarias y
extraordinarias:

a) Sesiones Ordinarias: El Comité de Gestión de la Seguridad de la Información (CSI) del

Ministerio de Inclusión Económica y Social, se reunirá ordinariamente de manera
trimestral. En dichas reuniones se abordarán los temas determinados en el orden del día que
se adjuntará a la convocatoria.

b) Sesiones Extraordinarias: El Comité de Gestión de la Seguridad de la Información (CSI),

podrá reunirse extraordinariamente por disposición de la Máxima Autoridad, por
disposición del Oficial de Seguridad de la Información (OSI), por solicitud escrita dirigida
al Oficial de Seguridad de la Información (OSI) por cualquiera de sus miembros, o por
imposibilidad de instalar la sesión ordinaria. Y se tratará asuntos puntuales considerados
emergentes o impostergables.
Art. 18.- Del Procedimiento para las Sesiones.- Las sesiones del Comité de Gestión de la
Seguridad de la Información (CSI) del Ministerio de Inclusión Económica y Social, se
llevarán a cabo tomando en cuenta las siguientes directrices:

a) Constatación del quórum presente, por parte del Secretario.

b) Instalación de la reunión por parte del Oficial de Seguridad de la Información (OSI).

c) Lectura del orden del día a cargo del Secretario, y aprobación de los miembros del
Comité.
d) Lectura del acta de la reunión anterior, a cargo del Secretario, y aprobación por parte de
los miembros del Comité.

e) Tratamiento, análisis y resolución de los temas definidos en el orden del día, con la
participación y propuestas de todos los miembros del Comité.

f) Las propuestas serán puestas a consideración del pleno, y de ser necesario se tomará
votación para la aprobación o negación. La aprobación se dará por mayoría simple.

g) Asuntos varios propuestos por los miembros del Comité, en sesiones ordinarias.

h) Conclusión de la reunión.
Art. 19.- Quórum.- Para la instalación de las sesiones ordinarias o extraordinarias, se
requerirá la presencia de al menos la mitad más uno de sus miembros integrantes. En el
caso de no reunir el quórum necesario, la convocatoria tendrá un tratamiento de sesión
extraordinaria, contemplado en el artículo 17 del presente Acuerdo.

Toda sesión iniciará a la hora determinada en la convocatoria, y de no agotarse el

tratamiento del orden del día, el Oficial de Seguridad de la Información (OSI) podrá
suspender la sesión y convocarla para nueva fecha no mayor a 5 días en el caso de una
sesión ordinaria y no mayor a 2 días en el caso de una sesión extraordinaria, en la que se
continuará el tratamiento del orden del día, con los miembros que asistan a la sesión sin que
exista un quórum mínimo.
Art. 20.- Actas de las Sesiones.- Los resultados de cada sesión se registrarán en la
denominada “Acta de Sesión”, que contendrá el lugar, fecha y hora de instalación, nómina
de asistentes, orden del día, los temas tratados, intervenciones, resoluciones por cada punto,
hora de conclusión y la firma de todos los asistentes.
Art. 21.- Ausencias y Suplencias.- En caso de impedimento para asistir a una sesión por
parte de los miembros del Comité de Gestión de la Seguridad de la Información (CSI) del
Ministerio de Inclusión Económica y Social, justificarán su ausencia por escrito al Oficial
de Seguridad de la Información (OSI), pudiendo designar un suplente que lo represente con
voz y voto, en esa ocasión.
Art. 22.- Invitados a las Sesiones.- Previa autorización del Oficial de Seguridad de la
Información (OSI) del Ministerio de Inclusión Económica y Social, podrán ser invitadas a
participar de las reuniones personas ajenas al mismo, siempre y cuando su presencia sea
relevante para los temas a tratar.

Capítulo V
DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL MINISTERIO
DE INCLUSIÓN ECONÓMICA Y SOCIAL
Art. 23.- Objeto de la Política de Seguridad de la Información del Mies.- Proteger la
información del Ministerio de Inclusión Económica y Social (MIES) y los recursos
tecnológicos utilizados para su creación, procesamiento y administración, frente a
amenazas internas o externas, intencionales o no, con el fin de asegurar el cumplimiento de
la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información;
implementando mecanismos que garanticen su autenticidad, que sea auditable, que no
pueda ser duplicada para fines ajenos a los institucionales y que sus accesos no puedan ser
repudiados.
Art. 24.- Alcance de la Política de Seguridad de la Información del Mies.- La Política de
Seguridad de la Información debe ser conocida y cumplida por todos los funcionarios del
Ministerio de Inclusión Económica y Social (MIES), sea cual fuere su nivel jerárquico. Por
tanto, su aplicación es obligatoria, inclusive por proveedores externos vinculados a la
institución a través de contratos, convenios o acuerdos; y, con apego a la definición de roles
y perfiles relacionados con el Esquema Gubernamental de Seguridad de la Información
(EGSI).
Art. 25.- Conceptos y Definiciones.- Para efectos del cumplimiento de la Política de
Seguridad de la Información, se entenderá por:

a) Información:

Se refiere a toda representación de conocimiento en forma de datos vinculados entre sí.

Pudiendo ser textual, numérica, gráfica, cartográfica, narrativa o audiovisual; almacenada
en cualquier medio, ya sea magnético, en papel, en pantallas de dispositivos electrónicos u
otro.

b) Sistema de Información:

Se refiere a un conjunto de recursos organizados para la recopilación, procesamiento,

mantenimiento, transmisión y difusión de información; que cumplen con determinadas
características propias de la institución, así como con procedimientos que pueden ser
automatizados o manuales.

c) Tecnologías de la Información:

Se refiere a equipos de cómputo, aplicativos con desarrollo propio o adquiridos, medios de

almacenamiento y comunicaciones, que en conjunto son operados por el Ministerio de
Inclusión Económica y Social, o por un tercero, con el objetivo de procesar, almacenar y/o
transmitir información para llevar a cabo una función propia de la institución.

d) Seguridad de la información:

Se entiende como la preservación de las siguientes características:

i. Confidencialidad: La información es accesible únicamente a quien esté autorizado a su

uso.

ii. Integridad: Salvaguarda la exactitud y la totalidad de la información y los métodos para

su creación, recuperación y procesamiento.

iii. Disponibilidad: Los usuarios autorizados tienen acceso a la información y a los recursos
relacionados, toda vez que lo requieran.

iv. Autenticidad: Asegura la validez de la información en tiempo, forma y distribución.

Asimismo, garantiza el origen de la información al validar el emisor de ésta, para evitar
suplantación de identidades.

v. Auditabilidad: Asegura que todos los eventos de un sistema deben quedar registrados,
permitiendo así su control posterior, ya sea en forma automática o manual.

vi Protección a la duplicación: Asegura que una transacción sea realizada por una única
vez, a menos que se especifique lo contrario.

vii. No repudio: Evitar que una entidad que haya interactuado con alguna información
alegue ante terceros que no lo ha hecho.

viii. Legalidad: Garantizar el cumplimiento de las leyes, normas, reglamentos o

disposiciones.

ix. Confiabilidad: La información debe ser adecuada para sustentar la toma de decisiones y
la ejecución de las actividades propias de la Institución.

e) Evaluación de Riesgos:

Comprende las acciones realizadas para identificar y analizar las amenazas y

vulnerabilidades relativas a la información y a los medios de procesamiento de la misma,
así como la probabilidad de ocurrencia y el potencial impacto a las operaciones de la
institución.

f) Administración de Riesgos:

Comprende el proceso de control y minimización, o la completa eliminación, de los riesgos

de seguridad que podrían afectar a la información de la institución.

g) Incidente de Seguridad Informática:

Es un acceso, intento de acceso, uso, divulgación, modificación o destrucción no

autorizados de información; un impedimento en la operación normal de las redes, sistemas
o recursos informáticos; o cualquier otro acto que implique una violación a la Política de
Seguridad de la Información del Ministerio de Inclusión Económica y Social.

h) Sistema de Gestión de Seguridad de la Información: Es un conjunto de políticas de

administración de la información, que requiere del diseño, implementación y
mantenimiento de un conjunto de procesos y procedimientos que permitan la gestión
eficiente de la accesibilidad de la información, buscando asegurar la confidencialidad,
integridad y disponibilidad de ésta, minimizando los riesgos. Un Sistema de Gestión de
Seguridad de la Información debe ser eficiente a través del tiempo, adaptándose a los
cambios de la Institución así como a los de su entorno.
Art. 26.- Declaración de la Política de Seguridad de la Información del Ministerio de
Inclusión Económica y Social.- El Ministerio de Inclusión Económica y Social (MIES), a
través de la siguiente Política da a conocer a las servidoras y servidores públicos, a las
instituciones de la Función Ejecutiva, a los proveedores externos vinculados a la institución
a través de contratos, convenios o acuerdos, y otras partes interesadas, su convencimiento
de que la Seguridad de la Información es un factor clave para el correcto desarrollo
institucional.

Así mismo, El Ministerio de Inclusión Económica y Social (MIES) considera que la

Gestión de la Seguridad de la Información, es uno de los pilares en los que se fundamentan
las actividades de la Institución, siendo éstas las definidas en el Estatuto Orgánico de
Gestión Organizacional por Procesos de la misma.

Además, el Ministerio de Inclusión Económica y Social (MIES) se compromete a construir

y desarrollar, implementar, mantener, mejorar y cumplir de manera continua un Sistema de
Gestión de Seguridad de la Información (SGSI) propio, acorde a la realidad institucional y
apegado a las directrices de las entidades rectoras en la materia. Por ello, es política del
MIES:

• Cumplir con todas las leyes, reglamentos, disposiciones y mandatos; así como las
obligaciones contractuales.

• Realizar actividades de formación y concientización en materia de los procesos de

Seguridad de la Información para todas las servidoras y servidores públicos que prestan sus
servicios en el ministerio.

• Establecer los medios necesarios para garantizar la continuidad de la operación de este

ministerio.

• Monitorear cambios significativos de los riesgos que afecten a los recursos de

información frente a las amenazas más importantes.

• Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos

a la seguridad.

• Evaluar y coordinar la implementación de controles específicos de seguridad de la

información para nuevos sistemas o servicios.

• Designar a los custodios o responsables de la información de las diferentes áreas de la

institución, que debe ser formalizada en un documento físico o electrónico.

• Velar por la aplicación de la familia de normas técnicas ecuatorianas INEN ISO/IEC

27000 en la institución según el ámbito de cada norma.

• Se establezcan los objetivos de control, y los controles correspondientes para mitigar los
riesgos detectados.

• Establecer la responsabilidad, y las sanciones en los casos que correspondan, de los

funcionarios en relación a:
- Reportar las violaciones a la seguridad.

- Preservar la confidencialidad, integridad y disponibilidad de la información en

cumplimiento de esta política.

- Cumplir las políticas y procedimientos inherentes al Sistema de Gestión de la Seguridad

de la Información.

El Oficial de Seguridad de la Información (OSI) es el responsable directo del

mantenimiento de esta política, lo cual se lo realizará cuando las condiciones lo ameriten, o
una vez al año, a través de una sesión ordinaria del Comité de Gestión de la Seguridad de la
Información (CSI).

DISPOSICIONES FINALES
Primera.- El Comité de Gestión de la Seguridad de la Información (CSI) elaborará en un
plazo de 15 días a partir de la vigencia de este Acuerdo, un reglamento para su
funcionamiento.
Segunda.- La Coordinación General de Gestión del Conocimiento, la Coordinación
General de Asesoría Jurídica y la Dirección de Secretaría General, delegarán formalmente a
un/a delegado/a para integrar el Comité de Gestión de la Seguridad de la Información (CSI)
en un plazo de 10 días a partir de la vigencia de este Acuerdo.
Tercera.- El presente Acuerdo Ministerial entrará en vigencia a partir de la presente fecha,
sin perjuicio de su publicación en el Registro Oficial.

Dado en la ciudad de San Francisco de Quito, Distrito Metropolitano, a 21 de enero 2015.

FUENTES DE LA PRESENTE EDICIÓN DEL ACUERDO QUE CONFORMA EL

COMITÉ DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (CSI) Y
EMÍTESELA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL
MINISTERIO DE INCLUSIÓN ECONÓMICA Y SOCIAL DE ACUERDO AL
ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN
(EGSI)

1.- Acuerdo 000066 (Registro Oficial 475, 8-IV-2015).