Bs. As., 6/4/2004

VISTO las Resoluciones D.E.-N N° 262 de fecha 30 de agosto de 1999 y D.E.-N N° 405 de fecha 26 de octubre de 1999 del Registro de esta ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), y

CONSIDERANDO:

Que por la Resolución D.E.-N N° 262/99 se dispuso la política de seguridad informática de aplicación obligatoria para todo el personal de la ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), creando con carácter permanente el COMITE DE SEGURIDAD INFORMATICA, con la misión de coordinar la elaboración de las normas y elevarlas para su aprobación teniendo en cuenta las necesidades, procedimientos y prácticas de seguridad.

Que el artículo 5° de dicha resolución estable que el COMITE DE SEGURIDAD INFORMATICA deberá proponer a esta Dirección Ejecutiva las normas que resulten necesarias para su funcionamiento interno.

Que, asimismo, por el artículo 1° de la Resolución D.E.-N N° 405/99 se delegó en el COMITE DE SEGURIDAD INFORMATICA la facultad de aprobar normas, procedimientos y prácticas derivadas de la aplicación en esta Administración Nacional de lo establecido por la Resolución D.E.-N N° 262/99.

Que a fin de que el citado Comité pueda ejercer la facultad delegada en el artículo 1° mencionado, resulta necesario aprobar las normas para su funcionamiento interno, propuestas de conformidad a lo establecido en el artículo 5° de la Resolución D.E.-N N° 262/99.

Que la presente Resolución se dicta en uso de las facultades conferidas por el artículo 36 de la Ley N° 24.241, por el artículo 3° del Decreto N° 2741/91 y por el Decreto N° 106/03.

Por ello,

EL DIRECTOR EJECUTIVO DE LA ADMINISTRACION NACIONAL DE LA SEGURIDAD SOCIAL

RESUELVE:

ARTICULO 1° — Apruébase la normativa sobre la composición y funcionamiento del Comité de Seguridad Informática, así como el Circuito de aprobación de Normas de Procedimiento para la gestión de la Seguridad informática, que como Anexo I forma parte integrante de la presente.

ARTICULO 2° — Regístrese, comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — SERGIO T. MASSA, Director Ejecutivo.

ANEXO I

I. Introducción

La Resolución D.E.-N. N° 262/99 crea el Comité de Seguridad Informática como responsable de la puesta en marcha de la política de seguridad informática. Al mismo tiempo, pone en cabeza de distintas gerencias de ANSES, integrantes o no de dicho comité, la responsabilidad de elaborar las normas de procedimiento relacionadas con la gestión de la seguridad de la información y elevarlas al Comité de Seguridad Informática para su consideración y aprobación, según las facultades delegadas por la Resolución D.E.-N. N° 405/99.

A tales efectos, las gerencias involucradas deberán elaborar dichas normas, teniendo en cuenta lo establecido por la mencionada resolución en general, más los aspectos en particular enumerados en su artículo 8°.

II. Objetivo

Definir la composición y funcionamiento del Comité de Seguridad Informática, así como el circuito para elevar al mismo, las normas elaboradas por las gerencias responsables de implementar la política de Seguridad Informática definida por la Resolución D.E.-N. N° 262/99, así como los procedimientos involucrados en la aprobación de dichas normas por parte del mencionado Comité, según lo establecido por la Resolución D.E.-N N° 405/99.

III. Composición del Comité de Seguridad Informática

Los miembros permanentes del Comité serán la Subdirección de Administración, las Gerencias de Control Prestacional, Informática e Innovación Tecnológica, Diseño de Normas y Procesos, Seguridad Informática y Auditoría de Sistemas.

La Resolución D.E.-N Nº 262/99 prevé la participación del resto de las gerencias cuando los temas específicos a tratar lo hagan necesario.

La presidencia del Comité será ejercida por el Subdirector de Administración. Con el objeto de propender a una mejor organización del mencionado Comité, se designa un miembro Coordinador, designación que recae sobre la Gerencia Seguridad Informática.

(Acápite III sustituido por art. 3º de la Resolución Nº 318/2010 de la Administración Nacional de la Seguridad Social B.O. 30/04/2010)

(Nota Infoleg: por art. 2° de la Resolución N° 191/2019 de la Administración Nacional de la Seguridad Social B.O. 1/8/2019 se incorpora como miembro permanente del COMITÉ DE SEGURIDAD INFORMÁTICA a la DIRECCION ANÁLISIS E INTELIGENCIA DE DATOS, en los términos del artículo 3° de la Resolución D.E.-N N° 318/10.)

IV. Funcionamiento

1. El Presidente del Comité representará a éste frente a la Dirección Ejecutiva o bien frente a otros organismos del Estado o entidades de la actividad privada.

2. La Coordinación del Comité de Seguridad Informática, a pedido de la Presidencia o bien de motus propio, será la encargada de convocar a reunión debiendo efectuar la citación con una anticipación mínima de 72 horas, indicando el temario a considerar. Se deberá realizar al menos, una convocatoria cada tres meses.

Asimismo, cualquiera de los miembros permanentes o de las gerencias participantes podrá solicitar a la Coordinación, la convocatoria a reuniones extraordinarias, debiendo ésta realizar la citación con 48 horas de antelación, indicando el temario a considerar.

3. Sesionará con la presencia de los 2/3 de sus miembros permanentes, siendo obligatoria la presencia del Presidente. Se confeccionará un Acta de reunión con el detalle de los temas tratados y las decisiones adoptadas.

4. En caso de ausencia de algún miembro permanente, la Coordinación deberá remitirle el acta de la reunión para que aquél tome conocimiento de los temas tratados y decisiones adoptadas, dentro de los 5 días hábiles siguientes a la reunión.

5. La aprobación de las normas se realizará con el voto de la mayoría absoluta de los miembros permanentes, debiendo computarse el voto del Presidente como doble, en caso de empate.

6. La Gerencia Auditoría de Sistemas no participará de la votación, dado que su función dentro del Comité, teniendo en cuenta la intervención ex post que el Art. 102° de la Ley N° 24.156 asigna a sus actividades, es la de asesorar sobre la razonabilidad de los criterios de control establecidos por las normas presentadas para su aprobación, y no la de participar como miembro activo en la aprobación de dichas normas.

7. La documentación que avala el accionar del Comité será archivada en la Coordinación debiendo disponer para ello de un lugar asignado a tal efecto, el que será resguardado bajo llave.

V. Circuito de elevación y aprobación de normas

1. La elaboración de un proyecto de norma para su presentación ante el Comité puede tener dos orígenes, a saber:

1.1. El Comité se reunirá a efectos de seleccionar una norma a desarrollar y dispondrá la conformación de una Comisión con representantes de las gerencias que fueran necesarias, las cuales los deberán designar en el término de tres días hábiles.

Dicha Comisión analizará el tema para el que fuera designada produciendo como resultado la norma y los actos administrativos necesarios, si corresponde.

1.2. Cualquiera de las gerencias que conforman la estructura de ANSES, sea miembro permanente o no del Comité, podrá enviar, a través de la Coordinación, una norma para su análisis y posterior aprobación, si correspondiere.

2. Las gerencias miembros permanentes del Comité analizarán la documentación y decidirán el contenido final en una reunión convocada a tal efecto.

3. La Coordinación caratulará un expediente que contendrá las actuaciones que darán sustento a la aprobación de la norma. Será necesario definir un tipo de trámite específico.

4. La Gerencia Asuntos Jurídicos emitirá opinión legal respecto de la norma de procedimiento propuesta, ya sea como miembro de la mencionada Comisión, o bien antes o después del análisis de la misma por parte del Comité, según éste lo considere conveniente.

5. La Gerencia Normatización de Prestaciones y Servicios efectuará la revisión formal de la norma elaborada ajustándola a la Resolución D.E.-A N° 820/96.

6. Una vez efectuadas las modificaciones, si corresponde, la Coordinación convocará a reunión para aprobación de la norma.

7. El Acta de aprobación debe ser firmada por todas las gerencias participantes.

8. El Comité elaborará una resolución por la que se apruebe la norma, de acuerdo a lo establecido por la Resolución D.E.-N. N° 405/99, la que será firmada por su Presidente.

9. La Gerencia Normatización de Prestaciones y Servicios incluirá la norma en el Manual de Procedimientos.

e. 16/4 N° 444.375 v. 16/4/2004