Di i

ChiteCompra

DRECCION DE COMPRAS V CONTRATACHON PUBUCA - CHftECOMPRA

APRUEBA ORGAMZACION PARA LA SEGURDAD DE LA INFORMACION

SANTIAGO, 18 AGO, 2017

VSTOS:

Lo dispuesto en el D.F.L. N°1 (19.653), de 2000, del Ministerio Secretaria General de IaPresidencia, que fija el texto refundido, coordinado y sistemaizado de Ia Ley N° 18.575,Orgánica Constitucional de Bases Generales de La Administración del Estado; en Ia LeyN° 19.886, de Bases sobre Contratos Administrativos de Suministro y Prestación deServicios; decreto N° 1599, de 2014, que nombra Directora de Ia Dirección de Comprasy Contratación Piiblica; en el Decreto N°83, de 2004, del Ministerio de Secretaria Generalde Ia Presidencia, que Aprueba norma técnica para los órganos de Ia Administración delEstado sobre seguridad y confidencialidad de los documentos electrónicos; en IaResolución N° 1.600, de Ia Contralorla General de Ia Repiiblica, que fija normas sobreexención del trámite de toma de razón.

CONSIDERANDO:

1. Que, a través del instructivo Presidencial N° 005 - 2001, sobre "Desarrollo delGobierno Electrónico", se estableció Ia necesidad de que los órganos de IaAdministración del Estado asuman el desarrollo del gobierno electrónico y el usode las tecnologIas de Ia información y comunicaciones (TIC), a fin de mejorar losservicios ofrecidos a los ciudadanos, aumentar Ia eficiencia y Ia eficacia de Iafunción ptiblica e incrementar sustantivamente a transparencia del sector páblicoy Ia participación de los ciudadanos.

2. Que, para el correcto cumplimiento de sus obligaciones legales, Ia Dirección deCompras y Contratación PiibIica debe contar con normas adecuadas que regulenlos distintos aspectos involucrados en materia de seguridad de Ia información.

3. Que el decreto N° 83, de 2004, del Ministerio Secretarla General de IaPresidencia, aprobó una norma técnica para los órganos de a Administración delEstado, sobre seguridad y confidencialidad de los documentos electrónicos. Alrespecto, Ia señalada norma técnica busca garantizar esténdares mInimos deseguridad en el uso, almacenamiento, acceso y distribución de documentoselectrónicos, junto con facilitar Ia relación electrónica entre los órganos del Estadoy entre éstos y Ia ciudadanIa.

Dirección

LJ ChiteCompra

4. Que as polIticas gubernamentales de los Ultimos años aspiran a complementarIa norma técnica del mencionado decreto N°83, de 2004, asumiendo Iaimplementación de un sistema de gestión de seguridad de Ia información en losórganos administrativos, basado en Ia Norma ISO/IEC 27001:2013.

5. Que Ia Dirección ChileCompra ha definido en el documento general que seaprueba en este acto, tanto Ia organización de seguridad de Ia información comotambién Ia polItica general y algunas poilticas especIficas fundamentales para elsistema de gestión de seguridad de Ia información.

EXENTA N2 4 8 8 BRESUELVO

PRIMERO: APRUEBESE el documento general Organización para Ia Seguridad de Ia lnformación, deIa Dirección ChileCompra, cuyo texto se transcribe a continuación:

DOCUMENTO GENERAL Código: D-SSI--001

Revision: 2.0LI ORGANIZACIÔN PARA LA SEGURIDAD DEChlteCOrflPraLA INFORMACIÔN Pgina 2 de 31

Taba de contendo

............................................................................................................

.......................................................

............

.......................................................................................................................................

.............................................................................................................

.....................................................................................................................

...............................................................................

.............................................................

.....................................................................................

................................................................................

.....................................................................................................................

31 DECLARACION NSTITUCIONAL

32 OBJETIVOS DE LA GESTION DE SEGURIDAD DE LA HNFORMACION

43 ORGANIZACON DE SEGURIDAD DE LA INFORMACION (A.06.01.01/ A.06.01.04 / A.07.02.01)

74 REFERENCIAS

5 POLOTICA GENERAL DE SEGURIDAD DE LA INFORMACION (A.05.01.01/8A.05.01.02/A.06.01.02/A.07.02.02)

126 POLITICAS ESPECIFICAS

127 POL1TICA DE CONTROL DE ACCESO. (A.09.01.01)

178 POLITICA DE PANTALLA V ESCRITORIO LIMPIO. (A.11.02.09)

229 POLITICA DE USO DE INTERNET (A.12.06.02)

2510 LISTADO DE NORMAS APLICABLES (A.18.01.01)

2911 REGISTRO DE CAMBIOS

1 DECLARACIÔN INSTITUCIONAL

La Dirección ChileCompra, dada su actividad, Ia cual tiene par abjetiva facilitar Iacantratación de bienes y servicias de los arganismos del Estado, canectando susnecesidades can Ia aferta de praveedares, a través del sistema de compras piblicas,pramavienda un mercado transparente, probo, accesible e inclusiva; establece sucompromisa respecta al resguarda de Ia seguridad de Ia infarmación a través deldesarrolla y mantenimienta de un Sistema de Gestión de seguridad de Ia infarmaciónque permita velar par el cumplimienta de sus abjetivas.

2 OBJETIVOS DE LA GESTIÔN DE SEGURIDAD DE LA INFORMACION

I. OBJETIVO GENERAL

Alcanzar niveles adecuadas de integridad, canfidencialidad y dispanibilidad para asactivas de infarmación, de manera tal que se asegure Ia cantinuidad aperacianal de laspracesas institucianales y Ia entrega de praductas y servicias.

Dir ccion

U ChiteCompra

Las poilticas aqul descritas estn alineadas con las normas legales y reglamentariasdetalladas en ci Listado de normas aplicables (punto 10), acoplabies en materia deseguridad de Ia información, en ci marco del Sistema de Compras Pübiicas del Estadode Chile y Ia Poiltica de Gestión de Procesos, Calidad y Riesgos (D-DIR-001).

II. OBJETIVOS ESPECIFICOS

o Registrar y organizar todos los activos de nformación, establecidos en ci alcance,elaborados yb utilizados por Ia institución, que son parte relevante en Iageneración de productos estratégicos, manteniendo actuaiizado un anáiisis deriesgos sobre cada uno de eilos.

Elaborar y aplicar los controles necesarios que permitan mitigar potencialesriesgos, tales como accesos no autorizados, exposiciones involuntarias, entreotros, que puedan comprometer Ia confidencialidad de los activos de información.

Elaborar y aplicar controles que permitan mitigar riesgos, tales como faita dedisponibilidad de serviclo, interrupción de servicio, extravió de activos, quecomprometan Ia disponibilidad de ios activos de información vo!viéndolosinutilizables o inaccesibles.

Elaborar y apiicar controles necesarios que permitan mitigar riesgos, tales comoaccesos y modificaciones no autorizadas, transacciones incompletas,modificaciones involuntarias que comprometan Ia integridad de los activos deinform a ci on.

o Administrar de forma adecuada, acciones que permitan dar tratamiento a losincidentes de seguridad de Ia información.

Elaborar iniciativas de capacitación y sensibilización sobre Ia seguridad de Iainformación para los funcionarios de Ia institución.

3 ORGANIZACION DE SEGURIDAD DE LA INFORMACION (A.O6O LOll

AO6.OLO4 / AO7O2O1)

ChileCompra considera fundamental una clara definición y asignación deresponsabilidades con ci objetivo administrar los riesgos de seguridad de Iainformación de forma eficiente; es por esto que se define Ia siguiente estructura derespo nsa b lid a des.

rI23U ChiteCompra

DIRECTOR(A) DE CHILECOMPRA.

Responsable de aprobar Ia poiltica general de seguridad de Ia ihformación, impulsarla yproveer los recursos necesarios para su implementación, asI coma solicitar a todos losfuncionarios y cantratistas que apliquen Ia seguridad de Ia información de acuerdo canlas polIticas y procedimientos establecidos par Ia organización.

II. JEFES(AS) DE DIVISION.

Son responsables de Ia aplicación de las poilticas de seguridad de Ia información, asIcoma el cumplimienta de dicha polItica par parte de los funcionarios que de ellosdependan. Deben entregar arientación para Ia toma de dediciohes que influirán en Iaaperación de Ia institución, acorde a las politicas de seguridad y lineamientosestratégicas, además son responsables de generar yb intervenir los procesos yestândares necesarios dentro de sus areas de negacia para cumplir con las politicas deseguridad y para mitigar los riesgos asociados a los activas de información de sudependencia,

III. COMITE DE SEGURIDAD DE LA INFORMACION

El camité de seguridad de Ia información es el órgano constituido al interior deChileCompra encargado de supervisar Ia implementación de sistema de gestión deseguridad de Ia información garantizando su funcionamiento y su eficacia continua.Dentro de sus actividades más relevantes se encuentran las siguientes:

• Arbitrar conflictos en materia de seguridad de Ia infarmación y de sus riesgasasociados, y proponer soluciones sabre ellas.

o Supervisar Ia implementación de pracedimientos y estándares que se desprendande las poilticas de seguridad de Ia información.

Revisar y proponer Ia asignación de recursas y priaridad para los prayectasasociados a seguridad de Ia información.

o Recibir prapuestas, revisar y proponer nuevas palIticas y procedimientos ybactualizaciones sabre éstas.

° Conocer a riesgas a los cuales se encuentran expuestas los activas deinformación.

o Revisar y analizar los eventos e incidentes de seguridadde a informaciOn.

• Aprobar las medidas a adoptar par el mal usa de los activas de información.

DirecciOn

U ChiteCompra

Promover dentro de Ia institución Ia gestión de seguridad de Ia información.

o Reportar a Ia alta dirección respecto de las oportunidades de mejora en el sistemade gestión de seguridad de Ia información.

IV. ENCARGADO DE LA UNIDAD DE SEGURIDAD DE LA INFORMACION

El encargado de seguridad es asesor directo de Ia Jefatura Superior de Ia Institución,en las materias de su competencia, y tendrá como principales funciones:

o Definir y proponer os lineamientos generales sobre seguridad de a información.

° Generar el Plan Maestro del Sistema de Seguridad de Ia Información.

o Promover Ia formación, educación y el entrenamiento en seguridad de Iainformación a toda Ia Institución.

Asesorar en Ia aplicación de Ia metodologla para el mantenimiento de los planesde continuidad y contingencia.

• Contribuir a Ia construcción de a cultura de protección de Ia información

° Supervisar el proceso de investigación de incidentes de seguridad y revisar lasacciones de mejora propuestas.

Establecer puntos de enlace con encargados de seguridad de otros organismosp(iblicos y especialistas externos que permitan estar al tanto de las tendencias,normas y métodos de seguridad pertinentes (A.06.O1.04).

o Gestionar Ia implementación de controles de seguridad de Ia información en ainstitución.

o Mantener actualizado en inventarlo de riesgos de ChileCompra.

o Gestionar las actividades preventivas y correctivas definidas yb aprobadas porel comité.

o Proponer normativas, asistir y verificar el cumplimiento para cada division de Iaimplementación de controles sobre sus activos de información.

o Controlar los principales eventos que afecten Ia seguridad de a inforrnación.

o Monitorear los cambios significativos en Ia exposición de los recursos deinformación frente a amenazas relevantes.

o Recibir capacitaciOn en el tema de seguridad de Ia información.

i Dweccion

ChiteCompra

• Gestionar en conjunto con el Departamento de Operaciones los accesosnecesarios a funcionarios externos para el desempeño de sus funciones.

V. FUNCIONARIOS DE LA INSTITUCIÔN

Deben participar directa a indirectamente en Ia implementacióri del sistema de gestiónde seguridad de Ia nformación, ya sea cumpliendo con las polIticas, procedimientos yestndares establecidos yb bien asumiendo roles activos para el desarrollo y correctofuncionamiento del sistema de gestión de seguridad de Ia información.

VI. PERSONAL EXTERNO Y PERSONAL CON CONTRATOS CRITICOS

Son responsables de cumplir lo establecido en el presente documento y de notificarcualquier evento a incidente que atente contra Ia confidencialidad, integridad odisponibilidad de Ia información de Ia institución. Para ella, suscontratos deberánincluir expresamente estas obligaciones.

VII. ADMINISTRADORES DE CONTRATOS CON PROVEEDORES CRITICOS

Son responsables de velar por el respeto y cumplimiento de las poifticas de seguridadde Ia información, por parte del personal externo, segtiin lo dispuesto en susrespectivos contratos.

4 REFERENCIAS

La Dirección ChileCompra reconoce como marco normativo del Sistema de Gestión deSeguridad de Ia Información, a Ia legislación chilena que resulte pertinente, losDecretos Supremos sobre Gobierno Electrónico, los estándaresinternacionalespropuestos par las Normãs ISO de Ia serie 27000 y atras retacionadas a que lasreemplacen.

En particular, se considera el listado de normas, no exhaustivo, en su versionactualizada a de aquellas normas que las reemplacen, contenido en "Listado de normasaplicables".

Adicionalmente, Ia PolItica de Seguridad de Ia Tnformación se apoya y sustenta en unconjunto ampilo de controles, procedimientos y polIticas especIficas establecidas en elmarco del Sistema de Gestión de Ia Seguridad de Ia Información.

riE3U ChiteCompra

5 POLITICA GENERAL DE SEGURIDAD DE LA INFORMACION (AO5O1.O1/

A.05.0L02/A.06.O1.02/A.07.02.M2)

Version: 2.0Código: D-SSI-001/001

i. Ambfto y Akance de a Politka Genera de Segurdad de a Informadón

La presente politica general de seguridad de Ia información, aborda aspectosreferentes a los siguientes dominios del estándar NCh-ISO 27001:2013:

"A.5" PolItica de seguridad de a información"A.6" Organización de Ia seguridad de a información"A.7" Seguridad ligada abs recursos humanos

Esta polftica es extensible a todos los procesos estratégicos establecidos en elformulario Al vigente, el cual se encuentra disponible en nuestra intranet institucionala través del sistema de calidad.

De gual forma se extiende a aquellos proveedores denominados "crIticos",independientemente de Ia locación en que desarrollen sus actividades. Para ebb, loscontratos que se suscriban con dichos proveedores criticos deberán incluir Ia obliqaciónde éstos de respetar y cumplir las poilticas de seguridad.

H. Dedaración Insttucona

Para Ia Dirección de Compras y Contratación Piiblica (Dirección ChileCompra), Iainformación y el conocirniento son activos de valor estratégico y deben ser gestionadoscon el propósito de mejorar el desempeño de Ia organización en forma continua.

En Ia Dirección ChileCompra todos somos conscientes de dicho valor y somosresponsables de Ia seguridad de Ia información que generamos, almacenamos,accedemos, utilizamos, procesamos y transmitimos, para el ejercicio de nuestrafunción püblica. Asimismo, debemos procurar que esta responsabilidad se extienda anuestros proveedores.

Reconocemos a importancia y necesidad de identificar, comprender y gestionar losriesgos de seguridad de Ia información para nuestra función piblica, y para Ia gestiónde a plataforma de compras pCiblicas en particular, de acuerdo a las normativasaplicables y las polIticas establecidas.

En Ia Dirección ChileCompra existe un procedimiento de gestión de riesgos el cualdefine Ia secuencia de actividades lógicas a desarrollar en el marco de Ia gestión deriesgos.

JI23U ChiteCompra

De acuerdo a lo anterior, en a Dirección ChileCompra nos ceñimos a los siguientesprincipios básicos en el tratamiento de Ia información:

o La información declarada confidencial, sea institucional o de nuestros usuarios yterceros, no puede ser divulgada sin autorización, de lo contrario se considera unincumplimiento grave contra las pollticas de Ia institución, sin perjuicio de loaplicable de acuerdo con las normas legales de probidad y transparencia.

El valor de nuestra información y Ia de nuestros usuarios y terceros está dadopar su integridad, confidencialidad y disponibilidad. Por ello debemos asegurar sucompletitud y veracidad, sin que pueda ser modificada o accedida por personasno autorizadas para ello, garantizando que esté disponible oportunamente paralas personas o entidades autorizadas.

o La información más critica para ejercer nuestra función piblica debe estarsiempre disponible oportunamente, de cada hacia nuestros usuarios.

La información contenida en nuestros componentes tecnológicos (tecnologIas deinformación, comunicaciones e infraestructuras de TI) debe contar siempre conmedidas de seguridad apropiadas a sus riesgos.

o Siempre que sea necesario, se deberé considerar Ia segregación de funciones yreas de responsabilidad con el objetivo de reducir las oportunidades de

modificaciones no autorizadas, no intencionales a el uso inadecuado de los activosde información. Para ello se velar para que el inicio de un proceso o evento estéseparado de su autorización y control; que ninguna persona pueda acceder,modificar ni utilizar activos sin autorización.

o Cuando no sea posible segregar, se deberá considerar otros controles como elmonitoreo de actividades, seguimientos de auditorla yb supervision de adirección.

La Dirección ChileCompra define que, para llevar a cabo el cumplimiento de losprincipios enunciados, Ia polItica se difunde a través de mediosinternos, en lasinducciones al personal de nuevo ingreso y en capacitaciones a los funcionariospblicos y personal a honorarios y personal de proveedores que realizan sus tareas enlas instalaciones de Ia organización.

La PolItica General de Seguridad de Ia Información, se encuentra disponible para laspartes interesadas pertinentes, a través de su publicación en el sitio web Institucional.

Todo funcionario, y en donde sea pertinente, contratistas, deben recibir formaciónadecuada en materia de concientización y actualizaciones regulares sobremodificaciones de las pollticas yb procedimientos pertinentes para su función.

DireCciOn

U Chi[eCompa

De igual manera, y como via para lograr el cumplimiento de los crecientesrequerimientos de nuestros usuarios, Ia establecido en el sistema y a satisfacción delos requisitos legales y reglamentarios aplicables. La Dirección, en conjunto con elComité de Seguridad de Ia Información de ChileCompra, lidera en forma permanente Iamejora continua de los procesos asociados a Ia gestión de a Seguridad de IaInfo rma ci on.

III. Consderadones:

Entiéndase como activo de información: sistemas de información, personas queutilicen información institucional, aplicaciones a herramientas tipo software,equipos computacionales, bases de datos, dispositivos móviles, documentoselectrónicos, documentos fisicos o cualquier otro activo que, por su naturalezaregistre, procese, almacene o transmita información considerada relevante paralos procesos de negocio de ChileCompra.

ii. La información puede estar contenida en diversos medios de almacenamientocomo por ejemplo papel, medios magnéticos, almacenada electrónicamente,transmitida par medios digitales, mostrada a través de videos, transmitida enconversación o en cualquier otro tipo de medio.

iii. Los activos de información deben ser protegidos de manera adecuada a susensibilidad y valor, resguardando su confidencialidad, integridad ydisponibilidad

iv. Los activos de información de Ia instituciOn no deben quedar disponibles apersonas a entidades externas, salvo en situaciones excepcionales expresamenteestablecidas y con controles que garanticen a protección de aquéllos.

v. La seguridad de Ia información de ChileCompra y de los bienes asociados almanejo de esa lnformación es responsabilidad de todas y cada una de laspersonas que Ia integran, independiente del cargo que desempeñen.

vi. Cada funcionario de ChileCompra debe acceder de manera responsable a Iainformación que sea necesaria para cumplir el desarrollo de sus funciones y tieneIa responsabilidad de notificar cualquier actividad a situación que contravengaestos lineamientos.

vii. El comité de seguridad de a información tiene Ia autoridad y responsabilidad paradecidir y velar por Ia existencia de las medidas de seguridad destinadas aproteger y preservar los activos de información de Ia institución.

rEii3U ChileCompra

viii. Esta politica y conjunto de poilticas, procedimientos y estándares aprobados ydifundidos por Ia institución, deben ser acatados y cumplidos por todos losfuncionarios de ChileCompra y por quienes presten servicios en ella, en el casoque apliquen. Todos ellos tienen Ia obligación de informar cualquier tipo deincidente que atente contra Ia seguridad de Ia información.

IV. Revsón y Evaluación de fla poliUca genera de seguridad.

La organización establece que Ia evaluación y revision de Ia presente polItica generalde seguridad de Ia información, asI como aquellas polIticas que se encuentran dentrode esta, se realizara anualmente o en caso que se produzcan cambios significativos. Enel caso de no sufrir modificaciones se deber dejar registro de revision por parte de Iadirección.

V. Medios de dffusión

La polItica general de seguridad de Ia información, asI como aquellas polIticas que seencuentran dentro de esta se difundirâ a todos los funcionarios(as) a través de Iaintranet institucional, correo electrónico o cualquier otro medioque ChileCompraestime conveniente.

VI. Gosario de Términos

Disponibifldad: es Ia propiedad que determina que Ia información sea accesible yutilizable por un usuario, persona o entidad yb proceso autorizado, cuando searequerida.

Integridad: Es Ia propiedad que hace referenda sobre Ia información que seencuentra exacta, completa y actualizada.

Confidencialidad: Es Ia propiedad que determina que Ia información esté protegidadel acceso y/o divulgación a usuarios, personas, entidades y procesos no autorizados.

Seguri.dad de a información: Preservación de Ia integridad, confidencialidad ydisponibilidad de Ia información.

Evento de seguridad: Ocurrencia identificada del estado de un sistema, serviclo 0red, que indica una posible violación de Ia polltica de seguridad de Ia información o Iafalla de salvaguardas, o una situación desconocida que pueda ser pertinente a Iaseguridad.

U ChileCompra

Incidente de segurdad: Evento 0 serie de eventos de seguridad de a información,no deseados a inesperados, que tienen una probabilidad significativa de comprometerlas operaciones del negoclo y de amenazar Ia seguridad de los activos de información.

Sistema de gesUón dela segurMad de a nformadón: Parte del sistema degestión institucional con un enfoque basado en proceso asociados a los riesgos sobrelos activos de informaoón de Ia institución, que se compone de Ia estructuraorganizacional, pollticas, actividades de planificación, responsabilidades, prácticas,procedimientos, procesos y recursos, cuyo fin es establecer, implementar, operar,monitorear y mejorar Ia seguridad de a información.

Acthio de hiformación: Sistemas de información, personas que utilicen informacióninstitucional, aplicadones o herramientas tipo software, equipos computacionales,bases de datos, dispositivos móviles, documentos electrónicos, documentos fIsicos ocualquier otro activo que por su naturaleza registre, procese, almacene o transmitainformación considerada relevante para los procesos de negoclo de ChileCompra.

6 POL±TICAS ESPECIFICAS

De esta polItica general de seguridad se desprenden las siguientes polIticas deseguridad de a información, que constituyen Ia definición fundamental de losplanteamientos de seguridad de ChileCompra en materias especIficas, haciendohincapié en el rol que deben asumir todos los funcionarios, para lograr el resguardo deIa información y los recursos asociados.

Las polIticas especIficas descritas a continuación, adoptan las declaraciones ycompromisos de (Evaluación, revision y difusión) asumidos y descritos en Ia presentepolItica general de seguridad de a información.

7 POLITICA DE CONTROL DE ACCESO (AO9MLO1)

Version: 2.0Código: D-SSI-001/002

ChileCompra entiende que un buen control de seguridad de acceso fIsico y lógicopermite mitigar eficientemente cualquier riesgo asociado a Ia seguridad de ainformación y es primordial para dar cumplimiento abs requerimientos mInimosenmateria de seguridad de Ia información.

Dr oOn

U ChileCompra

I. Objetvo

Prevenir el acceso fIsico y lógico no autorizado, además de evitar daños o robos a losactivos de a organización e interrupciones a las actividades de ChileCompra.

II. Alcance

La presente poiltica, aborda aspectos referentes al dominio "A.9 Control de acceso"del estándar NCh-ISO 27001:2013; yes extensible iinica y exciusivamente al procesooperación de Ia plataforma el cual es parte del producto estratégico sistemas decompras publicas, Esta polItica se encuentra disponible en nuestra intranet institucionala través del sistema de calidad.

De igual forma, se extiende a aquellos proveedores denominados "crIticos",independientemente de Ia Iocación en que desarrollen sus actividades. Para ella, loscontratos que se suscriban con dichos proveedores crIticos deberán incluir Ia obligaciónde éstos de respetar y cumplir las politicas de seguridad.

HI. Roles y ResponsabUdades

Comité de Seciuridad de Ia Información.

Validad los controles de seguridad asociados a los accesos fisicos y lógicos.

• Aprobar las excepciones a las regias de acceso a funcionarios en caso de sernecesarlo.

Departamento de Administración v Finanzas.

• Definir e implementar controles asociados aI acceso fIsico a las dependencias deChileCompra.

Generar y mantener una nómina actualizada de las personas con permisos deacceso fIsico.

o Clasificar y documentar las areas fIsicas de ChileCompra en su carácter decriticidad.

o Llevar registro actualizado de todas las personas externas al servicio que accedena sus dependencias.

Comunicar los cambios en el estado contractual de los usuarios.

DirecciOn

U ChiteCompra

Division de TecnologIa yigpcJp

o Definir e implernentar controles asociados a acceso lágico al hardware,infraestructura dE red, software y bases de datos de ChileCompra.

o Mantener un inventario actualizado de los equipos que ingresan o se retiran deun rea considerada como crItica.

Definir reglas de control de acceso a Ia información.

Revocar los accesos de un usuario ante un cambio de cargo o desvinculación.

Encargado de Seguridad de a Información

Recibir y canalizar los informes de contravenciones a Ia polItica.

IV. Contr&es y Sandones

El incumplimiento de Ia siguiente polItica ser sancionado de acuerdo a lasdisposiciones legales y reglamentarias aplicables.

V. Dedaradón Instftudona

Acceso fIsco

Toda persona externa a ChileCompra deber portar en un lugar visible, unacredencial de visita proporcionada por ChileCompra, mientras permanezca alinterior de las instalaciones.

o A su ingreso a las dependencias, debe señalar el motivo y funcionario a quienvisita. Una vez autorizado, esta información debe ser registrada en un libro deentrada/salida, indicando ademâs Ia hora de entrada y salida de Ia Institución.Dichos registros se deberán mantener al menos por 1 año en el caso que serequiera.

° Todo funcionario de ChileCompra tiene Ia responsabilidad de solicitar a unapersona externa el portar Ia identificación a Ia vista.

Direc ion

ChiteCompra

Criticidad del area.

• ChileCompra ha definido que las areas que contienen los equipos centrales deprocesamiento de datos y comunicaciones (Datacenter), son crIticas para elnormal desarrollo de las actividades, por lo que deben ser protegidas a través deaccesos controlados.

• Las otras areas de ChileCompra definidas como criticas deberán ser protegidasbajo estas regulaciones.

Acceso a areas crIticas.

• Las areas crIticas definidas por ChileCompra deben contar con un accesorestringido y controlado, que asegure que solo ingresa personal debidamenteautorizado.

• El Area de Administración y Contabilidad es responsable de disponer las medidasde control y de controlar los permisos de acceso, en estas areas crIticas,

Personal autorizado.

La jefatura de Administración y Contabilidad o a quien ésta delegue, debe generary mantener actualizada, una nómina del personal autorizado en formapermanente, a ingresar a las areas definidas como crIticas.

• El acceso de personal no habitual o personas externas a un area crItica, debe serformalmente autorizado por el Area de Administración y Contabilidad, ademas deser acompañado por un funcionario autorizado de ChileCompra.

Reciistro del acceso a areas crIticas.

• El ingreso de los funcionarios autorizados en forma permanente, requierenecesariamente del uso de un sistema de identificación personal, a fin de registrarsu ingreso y egreso.

• En el caso del Datacenter, el acceso de funcionarios no habituales o personasexternas, debe ser formalmente autorizado y quedar registrado, detallandonombre, empresa, motivo del ingreso, fecha y hora del ingreso y egreso. Dichosregistros se deberén mantener al menos 1 año en caso de ser requeridos,Durante su permanencia, el visitante debe estar acompañado por personal deChileCompra. Dichos registro se deberén mantener al menos por un año, en casode ser requeridos.

%. DirecciOn

ChiteCompraAcceso a eguipos y dispesitivos en areas crIticas.

Todo ingreso o egreso de equipos de computación o de comunicaciones, debeestar autorizado y coordinado por Ia jefatura de TecnologIa y Negocios.

Los equipos ingresados a estas areas en forma temporal por personas ajenas aChileCompra, deben ser anotados en un registro especial para su adecuadocontrol de entrada y salida.

Todo equipo de computación 0 de comunicaciones debe estar debidamenterotulado para su identificación. No se debe permitir el ingreso de equipos que nose encuentren claramente identificados.

° Los traslados de equipos en uso o de propiedad de ChileCompra, deben serinformados a Ia jefatura de TecnologIa y Negocios, para mantener a actualizaciónde su inventario.

Revocación de accesos.

Los permisos de acceso fIsico de funcionarios en vacaciones, deben ser revocadosen forma temporal.

Ante Ia situación de un cambio de cargo de un funcionario, se deben revisar suspermisos de acceso fIsico asignados y verificar que éstos sigan siendo válidos deacuerdo a su nueva función. De a contrario, deben ejecutarse los cambios yadecuaciones que correspondan.

Cuando un funcionario termina su relación laboral con ChileCompra, sus permisosde acceso a las dependencias, deben ser revocados.

o Las nóminas de funcionarios autorizados y sus permisos de acceso a areascrIticas, deben ser periódicamente revisadas.

Acceso Lópüco

Negación de acceso por omisión.

Los accesos de los usuarios deben ser determinados en función de las tareasasignadas por Ia institución.

• En ausencia de necesidades u otros argumentos que justifiquen el acceso a Iainformación, este acceso debe estar impedido.

Dir c ion

U ChiteCompra

Niveles de control de acceso.

o El control de acceso debe ser administrado considerando as distintas instanciasque un usuario debe resolver para tener acceso a Ia información, esto es: redes,sistemas operativos, aplicaciones y administradores de bases de datos.

o Al existir diferentes rutas para acceder a Ia información, debe existir consistenciaen las medidas de protección en los distintos niveles en que se materializa dichocontrol de acceso.

Administración del acceso.

o El propietario de Ia información es quien decide el acceso a las aplicaciones y losd atos.

o Las decisiones de control de acceso que se tomen, deben ser consistentes con Iaclasificación de Ia información definida.

o Para facilitar Ia administración de los accesos, se deben definir perfiles de accesoasignables a grupos de usuarios que, por sus responsabilidades en Ia Institución,presenten necesidades de acceso equivalentes.

o La Division de TecnologIa y Negocios debe definir las reglas de control de accesoque sern aplicadas.

Segreciación de responsabilidades.

o El otorgamiento de accesos respecto a recursos de información de ChileCompra,debe considerar una adecuada segregación de funciones,, de modo que un mismofuncionario no pueda disponer, por su sola voIuntad, del control total de unproceso de negocios.

Las excepciones a Ia regla deben ser autorizadas por el Comité de Seguridad.

8 POLITICA DE PANTALLA V ESCRITORIO LIMPIO (A.11,02.09)

Version: 2.0Código: D-SSI-0O1/003

DirecdOn

U ChileCompra

ChileCompra entiende que tanto sus funcionarios internos como el personal externoautorizado, genera y manipula información sensible al interior del servicio, y que estasacciones tienen relación con riesgos asociados a a disponibilidad, confidencialidad eintegridad de Ia información. Dada Ia posible materialización de estos riesgos,ChileCompra velaré por ël correcto resguardo de Ia información utilizada y dispuestaen los muebles y equipos de trabajo de a Institución, dictando y promoviendodirectrices para un uso y manipulación adecuados que mitiguen los riesgos deseguridad.

L Objetvo

La presente polItica tiene por objetivo prevenir e impedir accesos no autorizados,divulgación no autorizada, daño, interferencias y pérdidas de información contenidabajo cualquier medio, debido a su uso yb manipulación en escritorios, pantallas yequipamiento o muebles similares (estantes, impresoras, proyectores, etc.) deChileCompra.

II. Acance

La presente polItica, aborda aspectos referentes al dominio "All Seguridad fisica y delambiente" del esténdar NCh-ISO 27001:2013; y es extensible tinica y exclusivamenteal proceso operación de a plataforma el cual es parte del producto estratégico sistemasde compras piiblicas. Esta poiltica se encuentra disponible en nuestra intranetinstitucional a través del sistema de calidad.De igual forma se extiende a aquellos proveedores denominados "crIticos",independientemente de Ia Iocación en que desarrollen sus actividades. Para ello, loscontratos que se suscriban con dichos proveedores crIticos deberán incluir Ia obligaciónde éstos de respetar y cumplir las poilticas de seguridad.

III. Roes y responsabflMades

i. Comité de seguridad de Ia Información

Establecer las directrices respecto a cómo tratar Ia información que se maneja enlos escritorios, pantallas y muebles similares de ChileCompra.

ii. Division de TecnologIa y Negocios.

Implementar medidas que faciliten el cumplimiento de esta polItica en los equipostecnológicos.

iii. Usuarios Internos y Externos.

o Cada usuarlo de Ia informaciOn de Ia instituciOn debe velar por el correctocumplimiento de las normas aquI establecidas y asI como de su promociOn atresto de sus compañeros.

iv. Encargado de Seguridad

• Supervisar el cumplimiento de esta polItica de seguridad de manera directa omediante a ejecución de auditorlas internas de seguridad de a informaciOn.

IV. Dedaradón Instftudona

a Ubcadón de estadones de trabajo y eqtilpo

Las estaciones de trabajo (escritorios) y los equipos de los funcionarios de Iainstitución deben situarse preferentemente en ubicaciones que no quedenexpuestas al acceso de personal externo. De esta forma se protege tanto elequipamiento tecnolOgico como los documentos que se utilizan.

o Las estaciones de trabajo y equipos donde se almacene yb manipule informaciOnreservada deben localizase en oficinas que tengan acceso controlado.

Los equipos que queden ubicados cerca de zonas de atención a páblico o en zonasde trnsito de ptiblico, deben situarse de forma que laspantallas no puedan servisualizadas por personas externas, y no pueden contener ni tener acceso ainformación reservada.

Las impresoras no deben estar ubicadas en zonas de atención a piblico.

o Los documentos que sean impresos y que contengan datos reservados ybsensibles, deben ser retirados en forma inmediata.

o Las impresoras destinadas a Ia impresión de documentos de carácter reservado,deben situarse en oficinas que tengan acceso controlado.

rEi3U ecompra

b Escrtoros mpos

o Las estaciones de trabajo deben estar libres de medios magnéticos ybdocumentos en papel que contengan información reservada o sensible, que no seesté ocupando en el momenta.

Al ausentarse del lugar de trabajo, el funcionario debe guardar en un sitlo segurocualquier documento en papel yb media magnético que contenga informaciónconsiderada como reservada o sensible.

El funcionario una vez finalizada su jornada de trabajo deberá guardar en un sitioseguro los documentos y medios que contengan información considerada comacritica, sensible o reservada.

No se debe mantener información personal confidencial sobre las estaciones detrabajo, coma por ejemplo claves de acceso en papel adheridas al monitor,cuadernos a agendas. De ser asI, éstas deben quedar resguardadas con Have encaso de ausentarse de Ia estación de trabajo y al término de a jornada laboral.

Si ingiere lIquido yb alimentos en Ia estación de trabajo, debe tener los cuidadospertinentes con tal de no exponer equipos y documentación reservada a crItica.

c. Pantaflas Umpas

La pantalla de autenticación a Ia red institucional debe requerir identificaciónmediante una cuenta y dave.

Es recomendable no mantener accesos directos a documentos a archivos ybguardar documentos a carpetas de valor e interés institucional en el escritorio(Pantalla). De ser asI, los accesos a éstas deben ser mediante contraseña.

Cuando el funcionario se ausente de su estación de trabajo, debe bloquear suequipo con el objetivo de proteger el acceso a las aplicaciones y servicios de Iainstitución.

d Otros muebles y eqifipos.

Todo mueble que pertenezca a Ia estación de trabajo de cada funcionario, quecontenga información considerada como crItica, sensible o reservada, debe seradministrado bajo llave y solo ser abierto en caso que se requiera dichainformación.

o Los muebles que son de carácter póblico (compartidos por funcionarios) de Iainstitución que contengan información considerada como crItica, sensible oreservada, deben ser administrados bajo llave y solo ser abiertos cuando serequiera dicha información.

r .i-U ChiteCompra

o Toda información de carácter reservado o sensible contenida en pizarrones dentrode Ia institución debe ser borrada una vez que ésta haya sido utilizada. Adems,para estos efectos solo puede ser realizado en pizarras con acceso controlado.

o Las pantallas gigantes para presentaciones no deben ser visibles desde fuera delas oficinas de presentación.

Las proyecciones realizadas para presentaciones que desplieguen informaciónreservada y/o sensible no debe ser visibles desde el exterior de a oficina depresentaciOn.

V. Gosaro de térmnos

o Información sensbe: Corresponde a información que por sus caracterIsticas,solo puede ser vista y/o usada por los usuarios a quienes esté destinada sudifusiOn, tratamiento o uso (por ejemplo claves de usuario, informes sicolOgicos,etc.).

o Información crItka: Corresponde a información que es parte importante de unsub-proceso y cuya falta de disponibilidad yb integridad puede provocar Iainterrupción de un proceso.

o Estacón de trabajo: Escritorio o mesa de trabajo, incluyendo cajoneras ogabinetes fijos o móviles, asignado a un funcionario interno o persona externa.

o Zona de atención a pübflco: Zona a Ia que puede acceder cualquier personasin necesidad de acreditación. La iinica zona definida äsI en ChileCompra es elmeson de recepción.

° Zona de tránsfto a pábhco: Zona en Ia que puede transitar cualquier personaexterna, acreditada y acompañada de personal de ChileCompra.

o PübHco: Persona que no tiene ninguna relación contractual vigente conChileCompra, ya sea directamente o con Ia empresa para Ia cual trabaja.

o Usuaro nterno: Funcionarlo de ChileCompra a contraLa o planta.

o Usuaro externo: Persona que presta servicios a ChileCompra ya sea porcontrato a honorarios o como parte de servicios contratados a proveedor externo.

DirecciOn

U ChiteCompra

9 POLITICA DE USO DE INTERNET (A.1206.02)

Version: 2.0 ___________________ ______________________________ _____

Código:_D-SSI-00l/004

La Dirección ChileCompra considera que las factibilidades de instalación creadas paragarantizar el acceso a Internet (redes fIsicas y redes Wi-Fl), son un activo relevantedentro de a organización, dado que poseen un valor esencial para a prestación deservicios y el cumplimiento de a m'sión institucional. Es por ello que el acceso aInternet se ofrece al personal de Ia Dirección ChileCompra, con Ia intención de facilitara realización de las actividades propias de los procesos que apoyan el cumplimiento deIa misión institucional. Por tanto, se prevé que los servicios de Internet se utilicen paraacceder a información relevante de consulta sobre proveedores, productos,información técnica, indicaciones gubernamentales y otras consultas asociadas ainformación legal y reglamentaria.

Es en este contexto, a través de Ia siguiente polItica, que se establecen lineamientosgenerales que regulan el correcto uso y navegación a Internet.

I. Objetvo

Sensibilizar a los funcionarios sobre las amenazas que pueden presentarse mediante eluso de Internet, asI coma fomentar el correcto uso de los recursos de ChileCompra.

IL ADcance

La presente polItica, aborda aspectos referentes al dominio "A.12 Seguridad de lasoperaciones" del estándar NCh-ISO 27001:2013; y es extensible a todos los procesosestratégicos establecidos en el formulario Al, el cual se encuentra disponible en nuestraintranet institucional a través del sistema de calidad.De igual forma se extiende a aquellos proveedores denominados "crIticos",independientemente de Ia locaciOn en que desarrollen sus actividades. Para ello, loscontratos que se suscriban con dichos proveedores crIticos deberán incluir Ia obligaciónde éstos de respetar y cumplir las polIticas de seguridad.

III. Roes y Responsabmdades

Encargado de Seguridad de Ia Información

Concientizar respecto al usa de esta polItica.

çJ%T3U ChileComp ía

Comunicar al comité de seguridad de Ia información situaciones de riesgo acontecidas.

ii. Funcionarios de ChileCompra

Responsables de dar cumplimiento a Ia presente politica, asI como tamblén de informarcualquier contravención de lo aqul expresamente estipulado.

iii. Departamento de Operaciones

Monitorear eI correcto uso de Internet, asI como tamblén informar al encargado deseguridad el ma! uso de este servicio.

IV. Dedaración Instftudona

a. Uso de Internet

Los funcionarios de ChileCompra deben utilizar como primera opción de conexióna Internet los medios dispuestos por Ia instituciOn. En el caso de existir problemascon Ia conexión principal, antes de utilizar servicios externos se debe poner encontacto con el Departamento de Operaciones.

Se permitirá el uso ocasional de este servicio en tanto no interfiera con lasresponsabilidades de los funcionarios, y no produzca conflictos con Ia actividadde ChileCompra.

El acceso a redes sociales está permitido, siempre y cuando Ia función del usuarioasI lo requiera.

o Toda información de ingreso y salida a Internet debe ser monitoreada, por lo queel encargado de seguridad puede revisaria dentro de una eventual auditoria, silas autoridades lo consideran necesario.

• Toda duda respecto a lo que constituye el uso aceptable del servicio de Internet,debe ser consultado al encargado de seguridad de Ia información.

o Se deberâ respetar Ia propiedad intelectual asociada a las obras y al softwareproporcionado bajo derechos de autor y licencias.

° Verificar que los datos e información extraIdos a través de Internet (que sonutilizados como apoyo para elaborar documentos) sean exactos, completos yactualizados.

rcP Direc ion

U ChiteCompra

No se deben almacenar contraseñas dentro de los navegadores

b. Restricciones de uso de Internet

Se recomienda que durante el uso de Internet provisto por a Dirección ChileCompra setenga en cuenta las siguientes consideraciones:

• Se prohIbe descargar desde Internet, material que infrinja el ordenamientojuridico nacional yb las disposiciones contenidas dentro del reglamento interno(código de ética).

o No utilizar aplicaciones Peer-to-Peer, descargadores de misica, videos, juegos,software, streamng U otros, pues utilizan un amplio ancho de banda e incidennegativamente en Ia velocidad de conexión y navegación.

o No conectar teléfonos inteligentes, tabletas u otros dispositivos móviles a lasredes Wi-Fi de Ia Dirección ChileCompra sin Ia autorización del Departamento deOpera ci ones.

o Se prohIbe descargar programas informáticos (software) desde Internet, sinautorización del Departamento de Operaciones.

• Se prohIbe Ia instalación de software en los equipos institucionales, sin Iaautorización del Departamento de Operaciones.

o Se prohibe visitar sitios, asI como también descargar texto o imgenes, quecontengan material de carácter pornográfico yb sexo explIcito yb tendencias oideas racistas o de algtin otro modo extremistas, o que incite a Ia violencia, elodio o cualquier actividad legal.

o No utilizar los computadores de Ia Dirección ChileCompra para realizar accesosno autorizados en cualquier otro computador o red.

• No utilice los servicios de Internet de Ia Dirección ChileCompra para presentarsecomo otra persona o suplantar identidades.

• Queda estrictamente prohibido Ia descarga de navegadores web anónimos. Todaactividad que tenga relación con Ia instalación de un nuevo navegador web debeser consultada previamente al departamento de operaciones y solo deben serutilizados aquellos dispuestas por Ia institución.

" Dw ccion

ChiteComprac. Otras consideraciones.

Toda a actividad en Internet es monitoreada. No se debe tener ningunaexpectativa de privacidad en el contenido de los sitios visitados.

• La infracción a as obligaciones establecidas en el punto anterior, podrá constituiruna violación al principio de probidad administrativa y podia ser sancionado deacuerdo a las disposiciones legales y reglamentarias aplicables.

Todo et material visualizado o descargado es monitoreado en busca de virus.

V. GDosaro de térmhios

Software: conjunto de programas, instrucciones y reglas informáticas que permitenejecutar distintas tareas en un computador.

Peer to peer: es una red de dispositivos o equipos que brinda Ia posibilidadde intercambiar material entre computadoras a través de Internet.

Streamhig término que hace referenda al hecho de escuchar másica o ver videos sinnecesidad de descargarlos completos antes de que los escuches o yeas. Esto se logramediante fragmentos enviados secuencialmente a través de Ia red (como lo esInternet).

10 LISTADO DE NORMAS APLICABLES (A. 18.01.01)

VersiOn: 2.0Código: D-SSI-001/005

Objetvo

[ste listado constituye una referencia normativa minima y es obligación considerar porlos funcionarios de ChileCompra en Ia adquisición, diseño, desarrollo, operación, uso ybgestión de activos de información, asi como de Ia contratación y gestión de productos yservicios relacionados con ellos, con el fin de evitar incumplimientos de cualquier ley,estatuto, regulación u obligación contractual, y de cualquier requisito de seguridad.

Akance

La presente polItica, aborda aspectos referentes al dominio "A.18 Cumplimiento" delestandar NCh-ISO 27001:2013, y es extensible a todos los procesos estratégicosestablecidos en el formularlo Al, el cual se encuentra disponible en nuestra intranetinstitucional a través del sistema de calidad.

DirecciOnrhilprnmnr;

TIPO DE NORMA: LEYNUMERO: 20.285ORGANISMO: MINISTERIO SECRETARIA GENERAL DE LAPRESIDENCIAFECHA PUBLICACIÔN: 20-08-2008ULTIMA VERSION: VERSION UNICAURL:http ://www.leychile.cI/Navegar?idNorma= 276363&buscar

-

= 20285

11 NASGSIO11 NOMBRE: APRUEBA NORMA TECNICA PARA LOSORGANOS DE LA ADMINISTRACION DEL ESTADO SOBRESEGURIDAD Y CONFIDENCIALIDAD DE LOS DOCUMENTOSELECTRONICOSTIPO DE NORMA: DECRETONUMERO: 83ORGANISMO: MINISTERIO SECRETARIA GENERAL DE LAPRESIDENCIAFECHA PUBLICACIÔN: 12-01-2005ULTIMA VERSION: VERSION UNICAURL: http://wwwJeychile.cI/Navegar?idNorma=234598

12 NASGSIO12 NOMBRE: APRUEBA REGLAMENTO DE LA LEY 19.799SOBRE DOCUM ENTOS ELECTRONICOS, FIRMAELECTRONICA Y LA CERTIFICACION DE DICHA FIRMATIPO DE NORMA: DECRETONUMERO: 181ORGANISMO: MINISTERIO DE ECONOMIA; FOMENTO YRECONSTRUCCION; SUBSECRETARIA DE ECONOMIA;FOMENTO Y RECONSTRUCCIONFECHA PUBLICACIÔN: 17-08-2002ULTIMA VERSION: 27-02-20 14URL: http://www.Ieychile.cI/Naveciar/?idNorma =201668

13 NASGSIO13 NOMBRE: APRUEBA NORMA TECNICA PARA LA ADOPCIONDE MEDIDAS DESTINADAS A MINIMIZAR LOS EFECTOSPERJUDICIALES DE LOS MENSAJES ELECTRONICOSMASIVOS NO SOLICITADOS RECIBIDOS EN LAS CASILLASELECTRONICAS DE LOS ORGANOS DE LAADMINISTRACION DEL ESTADO Y DE SUS FUNCIONARIOSTIPO DE NORMA: DECRETONUMERO: 93ORGANISMO: MINISTERIO SECRETARIA GENERAL DE LAPRESIDE N CIAFECHA PUBLICACION: 28-07-2006ULTIMA VERSION: VERSION UNICAURL: iittp://www.IeychiIe.cI/Navegar?jdNorma25713

14 NASGSIO14 NOMBRE: TECNOLOGfA DE LA INFORMACION - TECNICASDE SEGURIDAD - SISTEMAS DE GESTION DE LASEGURIDAD DE LA INFORMACION -REQUISITOS

_____ _________ TIPO DE NORMA: NORMA CHILENA

Dirección

LJJNUMERO: NCH-ISO 27001.0F2013ORGANISMO: INSTITUTO NACIONAL DENORMALIZACIÔNFECHA PUBLICACIÔN: 25-10-2009ULTIMA VERSION: 25-10-2013URL: N/A

15 NASGSIO15 NOMBRE: APRUEBA REGLAMENTO DE LA LEY N°19.886DE BASES SOBRE CONTRATOS ADMINISTRATIVOS DESUMINISTRO Y PRESTACI6N DE SERVICIOSTIPO DE NORMA: DECRETONUMERO: 250ORGANISMO: MINISTERIO DE HACIENDAFECHA PUBLICACIÔN: 24-09-2004ULTIMA VERSION: 10-08-2015URL: http://www.Ieychile.cl/Naveqar?idNorma =230608

11 REGISTRO DE CAM BIOS

Rev. Cambios Fecha Aprobado por:

1.0 Revision y elaboración de polIticas 02-12-2016 Patricia Ibñez,para Ia seguridad de Ia Presidenta Comité deinformación. Seguridad de Ia

Inform ad on

2.0 -Se modificó alcance de Ia polltica 16-08-2017 Patricia Ibáñez,general de seguridad Presidenta Comité deespecificando los procesos de Seguridad de Iaprovision y dominios de Ia norma Informaciónque contempla, asI como tambiénse incluyO alcance para cada unade las polIticas especIficas deacuerdo a las indicacionesemitidas por la red de expertos.

-Se mod ificó pérrafo sobreresponsabilidades de Ia direcciOnsehalando expllcitamente losrequisitos del control 7.2.1

-Se incorporó dentro de Ia tablade contenidos por petición de Iared de expertos los siguientescontroles A.5.1.2 / A.7.2.2 /A. 12.6.2

DirecciOn

U ChieCompra

-Considerando a obligatoriedadestablecida por Ia red de expertosde revisar Ia pcIItica general deseguridad de Ia información almenos una vezal año, semodiflcó texto de revision yevaluación, el cual considerabarevision al menos cada dos años.

-Se incluyó párrafo dentro de IapolItica de uso de internet queprohIbe a descarga de servidoresweb anónimos.

-Dentro de a polItica de uso deinternet se inccrporó prrafo quetiene relación con aspectos deética y probidad.

sióflGestiOflEstratéqa:KamlGyCalidad-17/08/2017.uaiardo, Analista de Procesos

Documento ____ Elaborad 0 por: Revisado y Corgjpor: Ap4oofNombre/Cargo Chnstian Vega Rodolfo Herrera Patricia Ibáñez

Area

_____________________

Gestión Estratégica

___________________

Fiscalla Division Personasy Gestión

InstitucionalFecha 17/08/2017

___________________________17/08/2017 17/08/2017

Con fidencialidad: Información de Uso Interno.

SEGUNDO: DIFL.IJNDASE Ia PolItica General de Seguridad de Ia lnformaciOn y las PolIticas especIficasmencionadas en el numeral anterior, al interiorde a Dirección ChileCompra, a todo el personal.

DirecciOnU ChiteCompra

TERCERO: DEJESE sin efecto a resolución exenta N°787-B, de 7 de diciembre de 2016.

Anótese y ComunIquese 2

:/ TRIMDAD NOSTROZA CASTRO

DRECT.ORA

Distri ución:Secre arIa Dirección

DRECCRDN DE COMPRAS

REC TO