Firmado por: Editora

Peru
Fecha: 08/09/2023 00:34

El Peruano / Viernes 8 de setiembre de 2023 NORMAS LEGALES 7

Establecen la implementación y entre sus funciones, aprobar y supervisar el cumplimiento
de normas técnicas, directivas, lineamientos, modelos,
mantenimiento del Sistema de Gestión metodologías, procedimientos, protocolos, instrumentos,
de Seguridad de la Información en las técnicas, estándares y demás disposiciones, en materia
entidades públicas de su competencia;
Que, en ese sentido, a fin de dar cumplimiento a
lo establecido en el Decreto Supremo Nº 029-2021-
RESOLUCIÓN DE SECRETARÍA DE GOBIERNO
PCM; resulta necesario establecer disposiciones para la
Y TRANSFORMACIÓN DIGITAL
adecuada implementación y mantenimiento del Sistema
N° 003-2023-PCM/SGTD de Gestión de Seguridad de la Información en las
entidades públicas;
ESTABLECE LA IMPLEMENTACIÓN Y De conformidad con lo dispuesto en el Decreto
MANTENIMIENTO DEL SISTEMA DE GESTIÓN Legislativo Nº 1412, Decreto Legislativo que aprueba
DE SEGURIDAD DE LA INFORMACIÓN EN LAS la Ley de Gobierno Digital; el Decreto Supremo Nº 029-
ENTIDADES PÚBLICAS 2021-PCM, que aprueba el Reglamento del Decreto
Legislativo Nº 1412 que aprueba la Ley de Gobierno
Lima, 6 de setiembre de 2023 Digital, y establece disposiciones sobre las condiciones,
requisitos y uso de las tecnologías y medios electrónicos
VISTO: en el procedimiento administrativo; y el Texto Integrado
del Reglamento de Organización y Funciones de la
El Informe N° D000037-2023-PCM-SSPRD de la Presidencia del Consejo de Ministros, aprobado mediante
Subsecretaría de Política y Regulación Digital de la Resolución Ministerial Nº 156-2021-PCM;
Secretaría de Gobierno y Transformación Digital de la
Presidencia del Consejo de Ministros; y, SE RESUELVE:
CONSIDERANDO: Artículo 1. Implementación del Sistema de Gestión
de Seguridad de la Información
Que, el Decreto de Urgencia N° 006-2020, Decreto de
Urgencia que crea el Sistema Nacional de Transformación 1.1 Las entidades públicas usan obligatoriamente la
Digital, dispone en su artículo 7 que la Presidencia del Norma Técnica Peruana NTP ISO/IEC 27001 vigente
Consejo de Ministros, a través de la Secretaría de para el análisis, diseño, implementación, operación,
Gobierno Digital, es el ente rector del Sistema Nacional de mantenimiento y mejora continua del Sistema de Gestión
Transformación Digital, constituyéndose en la autoridad de Seguridad de la Información (en adelante, SGSI).
técnico-normativa a nivel nacional sobre la materia; Asimismo, aseguran que el SGSI establezca como alcance
Que, el artículo 8 del Decreto Legislativo N° 1412, mínimo a los procesos misionales y aquellos relevantes
Decreto Legislativo que aprueba la Ley de Gobierno Digital, para la operación y funcionamiento de la entidad pública.
dispone que la Presidencia del Consejo de Ministros, a 1.2 Las entidades públicas establecen como objetivos
través de la Secretaría de Gobierno Digital, es el ente del SGSI:
rector en materia de gobierno digital que comprende
tecnologías digitales, identidad digital, interoperabilidad, a) Preservar la confidencialidad, integridad y
servicio digital, datos, seguridad digital y arquitectura disponibilidad de la información de la entidad pública.
digital. Dicta las normas y establece los procedimientos b) Fortalecer la cultura de seguridad de la información
en materia de gobierno digital y, es responsable de su en los servidores, funcionarios y colaboradores de la
operación y correcto funcionamiento; entidad pública.
Que, el artículo 109 del Reglamento del Decreto c) Asegurar el cumplimiento normativo en materia de
Legislativo N° 1412, Decreto Legislativo que aprueba la seguridad y confianza digital.
Ley de Gobierno Digital, y establece disposiciones sobre d) Gestionar de manera eficaz los riesgos, eventos e
las condiciones, requisitos y uso de las tecnologías y incidentes de seguridad de la información.
medios electrónicos en el procedimiento administrativo,
aprobado mediante Decreto Supremo N° 029-2021-PCM, 1.3 Las entidades públicas pueden adecuar o
dispone que el Sistema de Gestión de Seguridad de la establecer objetivos adicionales a los señalados en el
Información (SGSI) comprende el conjunto de políticas, numeral precedente considerando su contexto, tamaño,
lineamientos, procedimientos, recursos y actividades complejidad y estructura.
asociadas, que gestiona una entidad con el propósito 1.4 Las entidades públicas que hayan implementado un
de proteger sus activos de información, de manera SGSI, a la fecha de publicación de la presente Resolución,
independiente del soporte en que estos se encuentren. deben registrar el plan de actividades o documento(s) de
Asimismo, contempla la gestión de riesgos e incidentes planificación utilizados para la operación o mantenimiento
de seguridad de la información y seguridad digital, la del referido SGSI. Dicho registro se realiza anualmente en
implementación efectiva de medidas de ciberseguridad, y la Plataforma Integral de Solicitudes Digitales del Estado
acciones de colaboración y cooperación; Peruano (Facilita Perú) durante el primer trimestre del año
Que, el artículo 105 de la precitada norma, dispone en curso o ejecución.
que las entidades públicas tienen como una de sus
obligaciones en seguridad digital, el implementar y Artículo 2. Alcance
mantener un Sistema de Gestión de Seguridad de la
Información (SGSI); 2.1 La presente Resolución es de aplicación a:
Que, de acuerdo con los indicadores que gestiona
la Secretaría de Gobierno y Transformación Digital en a) Las entidades de la Administración Pública
materia de seguridad y confianza digital, se evidencia que establecidas en el artículo I del Título Preliminar del
existen oportunidades de mejora en la implementación y Texto Único Ordenado de la Ley N° 27444, Ley del
operación de los Sistemas de Gestión de Seguridad de la Procedimiento Administrativo General, aprobado por
Información por parte de las entidades públicas, así como Decreto Supremo N° 004- 2019-JUS, con excepción de
también en la articulación de los roles responsables de la las personas jurídicas señaladas en el numeral 8 del
gestión de la seguridad digital institucional; citado artículo.
Que, en consonancia con lo establecido en los b) Las empresas públicas de los gobiernos regionales
artículos 68 y 69 del Texto Integrado del Reglamento y locales, y las que se encuentren en el ámbito del Fondo
de Organización y Funciones de la Presidencia del Nacional de Financiamiento de la Actividad Empresarial
Consejo de Ministros, aprobado mediante Resolución del Estado (FONAFE).
Ministerial Nº 156-2021-PCM, la Secretaría de Gobierno y
Transformación Digital es el órgano de línea con autoridad 2.2 Cuando en la presente Resolución se menciona a
técnica-normativa a nivel nacional en materia de gobierno entidades públicas, se debe entender a aquellas referidas
digital, confianza digital y transformación digital, y tiene en los literales a) y b) del numeral precedente.
8 NORMAS LEGALES Viernes 8 de setiembre de 2023 / El Peruano

2.3 Las organizaciones del sector privado pueden y supervisión estratégica de los planes, resultados y
tomar como referencia lo establecido en la presente recursos del SGSI. Asimismo, a solicitud del Titular de
Resolución en cuanto les genere valor. la entidad o la máxima autoridad administrativa emite
opinión y recomendaciones sobre la gestión estratégica
Artículo 3. Plan de implementación del Sistema de del SGSI. Sin perjuicio de lo indicado la entidad puede
Gestión de Seguridad de la Información solicitar opinión a un órgano consultivo vinculado a la
gestión de riesgos de la entidad.
3.1 El Plan de implementación del Sistema de Gestión 4.4 El Oficial de Seguridad y Confianza Digital cumple
de Seguridad de la Información (en adelante, Plan SGSI) es con lo establecido en la Resolución de Secretaría de
el instrumento que establece, como mínimo, los objetivos, Gobierno y Transformación Digital N° 002-2023-PCM/
actividades, recursos, responsables y plazos para SGTD, que aprueba la Directiva N° 001-2023-PCM/SGTD,
implementar un SGSI en un periodo máximo de tres (03) Directiva que establece el Perfil y Responsabilidades del
años. Es aprobado por la máxima autoridad administrativa Oficial de Seguridad y Confianza Digital, así como el
o la que haga sus veces en la entidad pública. marco normativo en materia de seguridad y confianza
3.2 Las entidades públicas deben formular y aprobar digital.
el Plan SGSI, y registrarlo en la Plataforma Facilita Perú 4.5 El Equipo de Respuestas ante Incidentes de
para conocimiento y evaluación del Centro Nacional Seguridad Digital de carácter institucional es responsable
de Seguridad Digital, incluyendo sus modificaciones o de la gestión de incidentes de seguridad digital que afectan
actualizaciones. La formulación, aprobación y registro los activos de la entidad pública. Dicho Equipo forma parte
del Plan SGSI se realiza de acuerdo con la siguiente de los órganos o unidades orgánicas de Tecnologías de la
clasificación y plazos: Información de la entidad o de la unidad de organización
especializada en seguridad de la información o similar
prevista en su estructura orgánica o funcional.
Plazos 4.6 El responsable de la unidad de organización de
Clasificación Entidades
(días hábiles) tecnologías de la información o el que haga sus veces en
Ministerios, Empresas del la entidad pública es responsable de informar al Oficial de
FONAFE, Organismos Seguridad y Confianza Digital (OSCD) todo incidente de
seguridad digital crítico que afecte los procesos misionales
Grupo1 Constitucionales Autónomos, 60 y servicios que brinda la entidad, de forma inmediata.
Poder Judicial y Congreso de la Asimismo, articula con el OSCD la implementación de
República. controles de seguridad de la información y coordina con
Organismos públicos y programas el Equipo de Respuestas ante Incidentes de Seguridad
Grupo 2 90 Digital la gestión de incidentes de seguridad digital.
del Poder Ejecutivo.
4.7 El responsable de la unidad de organización de
Gobiernos Regionales,
planeamiento y presupuesto de la entidad pública debe
Municipalidades Tipo A y Tipo C orientar al OSCD para asegurar una adecuada articulación
(Según clasificación realizada por el con los instrumentos de gestión institucional comprendidos
Grupo 3 120
Ministerio de Economía y Finanzas en los sistemas administrativos de presupuesto público,
- MEF), y las empresas públicas de planeamiento estratégico, programación multianual y
los gobiernos regionales y locales. gestión de inversiones.
4.8 Los dueños de procesos y responsables de las
3.3 Los plazos establecidos en el numeral 3.2 se unidades de organización de la entidad son responsables
contabilizan a partir del día siguiente de publicación de la de apoyar en la gestión de riesgos e implementación de
presente Resolución. los controles de seguridad de la información identificados
3.4 En caso la entidad pública disponga de un plan en sus ámbitos de competencia, así como también
de implementación o documento equivalente aprobado a coadyuvan en la gestión de incidentes según corresponda.
la fecha de publicación de la presente Resolución, debe
registrarlo en la Plataforma Facilita Perú. Artículo 5. Equipo de trabajo técnico y
3.5 El Plan SGSI debe estar articulado con los multidisciplinario para el SGSI
instrumentos de gestión de la entidad, y debe contener,
como mínimo, lo siguiente: 5.1 Las entidades públicas deben conformar un
equipo de trabajo técnico y multidisciplinario encargado
1. Introducción de realizar la implementación y mantenimiento del SGSI
2. Objetivos del Plan SGSI en la entidad, dicho equipo de trabajo es liderado por el
3. Marco legal Oficial de Seguridad y Confianza Digital. La organización
4. Términos y definiciones del equipo de trabajo debe considerar el contexto, tamaño,
5. Contexto de la entidad complejidad y estructura de la entidad.
5.2 La máxima autoridad administrativa de la entidad
6. Mapa de procesos de la entidad
pública evalúa la creación de una unidad de organización
7. Alcance del SGSI o unidad funcional especializada en seguridad digital a
8. Cronograma de actividades nivel institucional para asegurar la gestión eficiente de la
9. Recursos y presupuesto implementación, operación y mejora continua del SGSI y
10. Monitoreo y evaluación el cumplimiento de la regulación en materia de seguridad
11. Anexos y confianza digital.
Artículo 4. Responsables en la gestión de la Artículo 6. Certificación del SGSI
seguridad digital institucional
6.1 Las entidades públicas pueden certificar su SGSI
4.1 El Titular de la entidad pública es responsable de de acuerdo con los requisitos establecidos en la ISO/
la implementación del SGSI, para lo cual, como mínimo, IEC 27001 o equivalente con el propósito de incrementar
debe aprobar las políticas y objetivos para implementar, los niveles de confianza digital de las personas en sus
operar, mantener y mejorar el SGSI. procesos y servicios.
4.2 La máxima autoridad administrativa o la que haga 6.2 Las entidades públicas que cuenten con una
sus veces en la entidad pública es la encargada de informar certificación ISO/IEC 27001 deben informar a la Secretaría
semestralmente al Titular de la entidad los avances y de Gobierno y Transformación Digital de la Presidencia
dificultades en la implementación u operación del SGSI, del Consejo de Ministros, a través de la Plataforma
así como el cumplimiento de la presente Resolución. Facilita Perú, el estado de la certificación durante el primer
Asimismo, es responsable de asegurar el cumplimiento trimestre de cada año.
de las políticas, objetivos, planes, procedimientos y marco
normativo en materia de seguridad y confianza digital en Artículo 7. Seguridad Digital en los gobiernos
la entidad pública. locales y proyectos especiales del Poder Ejecutivo
4.3 El Comité de Gobierno y Transformación Digital Los proyectos especiales del Poder Ejecutivo y los
institucional es responsable de la dirección, mantenimiento gobiernos locales tipo B, D, E, F y G, conforme a la
 El Peruano / Viernes 8 de setiembre de 2023 NORMAS LEGALES 9
clasificación realizada por el Ministerio de Economía y Exterior y Turismo, establece que el MINCETUR define,
Finanzas, en el marco del Programa de Incentivos a la dirige, ejecuta, coordina y supervisa la política de
Mejora de la Gestión Municipal, pueden implementar su comercio exterior y de turismo, y en materia de turismo
SGSI atendiendo su contexto, tamaño, complejidad y promueve, orienta y regula la actividad turística, con el
estructura, no estando obligadas a formular un Plan SGSI, fin de impulsar su desarrollo sostenible, incluyendo la
ni conformar un equipo de trabajo técnico para el SGSI. promoción, orientación y regulación de la artesanía;
Sin perjuicio de lo indicado deben coordinar con el Centro Que, los literales a) y d) del artículo 4 de la referida Ley
Nacional de Seguridad Digital la implementación de establecen como algunos de los objetivos del Ministerio
medidas y controles de seguridad de la información para de Comercio Exterior y Turismo en materia de turismo
fortalecer la confianza digital en sus procesos y servicios. el promover el desarrollo de la actividad turística como
un medio para contribuir al crecimiento económico y al
Artículo 8. Articulación de la seguridad digital desarrollo social del país, propiciando las condiciones
con la seguridad de la información en el ámbito más favorables para el desarrollo de la iniciativa privada
institucional y la generación de empleo y contribuir al proceso de
descentralización nacional, promoviendo la actividad
8.1 La seguridad de la información se enfoca en la turística a través de los gobiernos regionales y locales, la
información, de manera independiente de su formato y comunidad organizada y el sector privado;
soporte. La seguridad digital se ocupa de las medidas Que, la Ley N°29408, Ley General de Turismo,
de la seguridad de la información procesada, transmitida, tiene como objeto promover, incentivar y regular el
almacenada o contenida en el entorno digital; procurando desarrollo sostenible de la actividad turística, siendo de
generar confianza, gestionando los riesgos que afecten la aplicación obligatoria a los tres (3) niveles de gobierno,
seguridad de las personas y la prosperidad económica y en coordinación y articulación con los actores vinculados
social en dicho entorno. al Sector;
8.2 Los riesgos e incidentes de seguridad de la Que, de conformidad al numeral 5.3 de la citada Ley,
información incluyen los riesgos e incidentes de seguridad es función del MINCETUR coordinar, orientar y asesorar
digital. Asimismo, su gestión comprende una adecuada a los gobiernos regionales y locales en el desarrollo de
articulación entre el Oficial de Seguridad y Confianza las funciones asignadas en materia de turismo, según
Digital y los dueños de procesos, propietarios de riesgos, corresponda;
la máxima autoridad administrativa y el Titular de la entidad. Que, el numeral 15 del artículo 82 de la Ley N° 27972,
Ley Orgánica de Municipalidades, establece que las
Artículo 9. Publicación municipalidades tienen, entre otras, la función de fomentar
Disponer la publicación de la presente Resolución y su el turismo sostenible y regular los servicios destinados a
anexo en la Plataforma Digital Única del Estado Peruano ese fin, en cooperación con las entidades competentes;
para Orientación al Ciudadano (www.gob.pe), y en la sede Que, mediante Resolución Ministerial N°
digital de la Presidencia del Consejo de Ministros (www. 099-2021-MINCETUR, se aprueban los “Lineamientos
gob.pe/pcm), el mismo día de su publicación en el Diario Generales para la incorporación y permanencia en la
Oficial El Peruano. Iniciativa Pueblos con Encanto”;
Que, mediante Resolución Ministerial N°
Regístrese, comuníquese y publíquese. 180-2022-MINCETUR, se actualizan los “Lineamientos
Generales para la incorporación y permanencia en
ALAIN DONUHUE DONGO QUINTANA la Iniciativa Pueblos con Encanto”, con la finalidad
Secretario de propiciar el interés y la participación activa de los
Secretaría de Gobierno y Transformación Digital gobiernos locales, así como el trabajo articulado y el
acompañamiento del MINCETUR con los diversos actores
locales a través de un proceso continuo para la obtención
2212869-1 del reconocimiento y el desarrollo económico social;
Que, el numeral 10.2 del referido Lineamiento establece
que la Secretaría Técnica está a cargo de la Dirección de
COMERCIO EXTERIOR Y TURISMO la Innovación de la Oferta Turística, determinándose en
el numeral 10.2.4 sus respectivas funciones, dentro de
las cuales se encuentra la de recibir, verificar y evaluar
Otorgan el reconocimiento como “Pueblo los expedientes de solicitud para el reconocimiento como
con Encanto” al Pueblo de Villa Rica, Pueblo con Encanto mediante Resolución Viceministerial;
ubicado en el distrito Villa Rica, provincia de Que, el numeral 12.1 señala que durante la Fase I
Presentación, el gobierno local remite al MINCETUR
Oxapampa, departamento de Pasco información de la “Autoevaluación de las condiciones
mínimas” y la evaluación de dicha solicitud está a cargo
RESOLUCIÓN VICEMINISTERIAL de la Secretaría Técnica;
N° 0039-2023-MINCETUR/VMT Que, el numeral 12.2 establece que si el pueblo
solicitante obtiene un puntaje ≥ 80 en la Fase 2
Lima, 4 de septiembre de 2023 de Evaluación y Selección corresponde otorgar el
reconocimiento como Pueblo con Encanto a través de una
VISTOS, el Informe Técnico Legal N° Resolución Viceministerial;
0022-2023-MINCETUR/VMT/DGET/DIOT-SDY de la Que, la Municipalidad Distrital de Villa Rica, mediante
Dirección de Innovación de la Oferta Turística de la Oficio N° 142-2023-MDVR/A, presenta la “Autoevaluación
Dirección General de Estrategia Turística del Viceministerio de las condiciones mínimas” requeridas, en atención a su
de Turismo del Ministerio de Comercio Exterior y Turismo, propuesta de participación del pueblo de Villa Rica en la
así como el Informe N° 322-2023-MINCETUR/SG/ Iniciativa Pueblos con Encanto;
OGPPD/OPP, elaborado por la Oficina de Planificación Que, mediante Oficio N° 146-2023-MINCETUR/
y Presupuesto de la Oficina General de Planificación, VMT/DGET, la Dirección General de Estrategia Turística
Presupuesto y Desarrollo; comunica a la Municipalidad Distrital de Villa Rica que, de
acuerdo a la evaluación y verificación respectiva, el pueblo
CONSIDERANDO: de Villa Rica cumple efectivamente con las seis (06)
condiciones mínimas establecidas en los Lineamientos
Que, el literal a) del numeral 23.1 del artículo 23 de la Generales para la Incorporación y Permanencia en la
Ley N°29158, Ley Orgánica del Poder Ejecutivo, establece Iniciativa Pueblos con Encanto, por lo que se le solicita
que es función general de los Ministerios, formular, la presentación del “Expediente de solicitud para el
planear, dirigir, coordinar, ejecutar, supervisar y evaluar la reconocimiento de Pueblo con Encanto”;
política nacional y sectorial bajo su competencia, aplicable Que, mediante Oficio N° 213-2023-MDVR/A, la
a todos los niveles de gobierno; Municipalidad Distrital de Villa Rica solicita una prórroga
Que, el artículo 2 de la Ley Nº 27790, Ley de de treinta (30) días calendario para la presentación del
Organización y Funciones del Ministerio de Comercio expediente de los 16 criterios de evaluación;