Tipo Norma :Decreto 83

Fecha Publicacin :12-01-2005

Fecha Promulgacin :03-06-2004
Organismo :MINISTERIO SECRETARIA GENERAL DE LA PRESIDENCIA
Ttulo :APRUEBA NORMA TECNICA PARA LOS ORGANOS DE LA ADMINISTRACION
DEL ESTADO SOBRE SEGURIDAD Y CONFIDENCIALIDAD DE LOS
DOCUMENTOS ELECTRONICOS
Tipo Version :Unica De : 12-01-2005
Inicio Vigencia :12-01-2005
Id Norma :234598
URL :http://www.leychile.cl/N?i=234598&f=2005-01-12&p=

APRUEBA NORMA TECNICA PARA LOS ORGANOS DE LA ADMINISTRACION

DEL ESTADO SOBRE SEGURIDAD Y CONFIDENCIALIDAD DE LOS
DOCUMENTOS ELECTRONICOS
Nm 83.- Santiago, 3 de junio de 2004.- Vistos: Lo
dispuesto en el artculo 32 N 8 de la Constitucin
Poltica de la Repblica; el artculo 3 letra a) del
DFL N 7.912, de 1927; la ley N 19.799, sobre documentos
electrnicos, firma electrnica y la certificacin de
dicha firma; el decreto supremo N 181, de 2002, del
Ministerio de Economa, Fomento y Reconstruccin; y lo
dispuesto en la resolucin N 520, de 1996, que fija el
texto refundido, coordinado y sistematizado de la
resolucin N 55, de 1992, ambas de la Contralora
General de la Repblica.
Considerando:
1.- Que, el artculo 47 del DS. N 181 de 2002, del
Ministerio de Economa, Fomento y Reconstruccin,
Reglamento de la ley N 19.799 sobre documentos
electrnicos, firma electrnica y servicios de
certificacin de dicha firma, en adelante el Reglamento,
cre el Comit de Normas para el Documento Electrnico.
2.- Que, el Comit, en su agenda de trabajo fijada en
sesin de fecha 8 de enero de 2003, estableci la
determinacin de una norma tcnica para la seguridad y
confidencialidad del documento electrnico y los
repositorios en que se almacenan, como una de sus tareas
inmediatas.
3.- Que, para el desarrollo de la referida tarea, la
Secretara Tcnica del Comit cre un grupo de trabajo
sobre seguridad y confidencialidad del documento
electrnico, en el que participaron representantes de los
miembros del Comit de Normas para el Documento
Electrnico, del Ministerio del Interior, de la
Contralora General de la Repblica, del Instituto
Nacional de Normalizacin, del Servicio de Impuestos
Internos, del Servicio Nacional de Aduanas, de la Armada de
Chile, del Banco Central de Chile, del Banco Estado, de
Microsoft, de Orion 2000, de Neosecure, de Sinacofi, y de
American Telecommunication, y que fue asesorado
tcnicamente por la Universidad de Chile a travs de
CLCERT.
4.- Que el trabajo se realiz de conformidad con la
poltica gubernamental orientada a la incorporacin de las
Tecnologas de la Informacin y Comunicaciones en los
rganos de la Administracin del Estado, para mejorar los
servicios e informacin ofrecidos a los ciudadanos y la
eficiencia y la eficacia de la gestin pblica, e
incrementar sustantivamente la transparencia del sector
pblico y la participacin de los ciudadanos.
D e c r e t o:
Artculo primero.- Aprubase la siguiente norma

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

tcnica sobre seguridad y confidencialidad del documento
electrnico para los rganos de la Administracin del
Estado.
''NORMA TECNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL
DOCUMENTO ELECTRONICO''

TITULO I
Ambito de aplicacin

Artculo 1.- La presente norma tcnica establece

las caractersticas mnimas obligatorias de seguridad y
confidencialidad que deben cumplir los documentos
electrnicos de los rganos de la Administracin del
Estado, y las dems cuya aplicacin se recomienda para
los mismos fines.
Las exigencias y recomendaciones previstas en esta
norma, tienen por finalidad garantizar estndares
mnimos de seguridad en el uso, almacenamiento, acceso y
distribucin del documento electrnico; facilitar la
relacin electrnica entre los rganos de la
Administracin del Estado y entre stos y la ciudadana
y el sector privado en general; y salvaguardar el uso
del documento electrnico de manera segura, confiable y
en pleno respeto a la normativa vigente sobre
confidencialidad de la informacin intercambiada.

Artculo 2.- Las disposiciones de la presente norma

tcnica se aplicarn a los documentos electrnicos que se
generen, intercambien, transporten y almacenen en o entre
los diferentes organismos de la Administracin del Estado y
en las relaciones de stos con los particulares, cuando
stas tengan lugar utilizando tcnicas y medios
electrnicos.
Artculo 3.- Para los efectos de esta norma, los
documentos electrnicos constituyen un activo para la
entidad que los genera y obtiene. La informacin que
contienen es resultado de una accin determinada y sustenta
la toma de decisiones por parte de quien la administra y
accede a ella.
Artculo 4.- Esta norma se cumplir en dos etapas,
de conformidad con los siguientes niveles:
Nivel 1. Nivel bsico de seguridad para el documento
electrnico.
Nivel 2. Nivel avanzado de seguridad para el documento
electrnico.
TITULO II
Definiciones
Artculo 5.- Para los propsitos de esta norma, se
entender por:
a) Autenticacin: proceso de confirmacin de la
identidad del usuario que gener un documento electrnico
y/o que utiliza un sistema informtico.
b) Confidencialidad: aseguramiento de que el documento
electrnico sea conocido slo por quienes estn
autorizados para ello.
c) Contenido del documento electrnico: informacin,
ideas y conceptos que un documento expresa.

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

d) Continuidad del negocio: continuidad de las operaciones
de la institucin.
e) Disponibilidad: aseguramiento de que los usuarios
autorizados tengan acceso oportuno al documento electrnico
y sus mtodos de procesamiento.
f) Documento electrnico: toda representacin de un
hecho, imagen o idea que sea creada, enviada, comunicada o
recibida por medios electrnicos y almacenada de un modo
idneo para permitir su uso posterior.
g) Documentos pblicos: aquellos documentos que no son ni
reservados ni secretos y cuyo conocimiento no est
circunscrito.
h) Documentos reservados: aquellos documentos cuyo
conocimiento est circunscrito al mbito de la respectiva
unidad del rgano a que sean remitidos, en virtud de una
ley o de una norma administrativa dictada en conformidad a
ella, que les confiere tal carcter.
i) Documentos secretos: los documentos que tienen tal
carcter de conformidad al artculo 13 de la Ley Orgnica
Constitucional de Bases Generales de la Administracin del
Estado y su Reglamento.
j) Ejecutivo: autoridad dentro de la institucin.
k) Identificador formal de autenticacin: mecanismo
tecnolgico que permite que una persona acredite su
identidad utilizando tcnicas y medios electrnicos.
l) Incidentes de seguridad: situacin adversa que amenaza
o pone en riesgo un sistema informtico.
m) Informacin: contenido de un documento
electrnico.
n) Integridad: salvaguardia de la exactitud y totalidad de
la informacin y de los mtodos de procesamiento del
documento electrnico, as como de las modificaciones
realizadas por entes debidamente autorizados.
o) Negocio: funcin o servicio prestado por la
organizacin.
p) Poltica de seguridad: conjunto de normas o buenas
prcticas, declaradas y aplicadas por una organizacin,
cuyo objetivo es disminuir el nivel de riesgo en la
realizacin de un conjunto de actividades de inters, o
bien garantizar la realizacin peridica y sistemtica de
este conjunto.
q) Repositorio: estructura electrnica donde se almacenan
documentos electrnicos.
r) Riesgos: amenazas de impactar y vulnerar la seguridad
del documento electrnico y su posibilidad de ocurrencia.
s) Sistema informtico: conjunto de uno o ms
computadores, software asociado, perifricos, terminales,
usuarios, procesos fsicos, medios de transferencia de
informacin y otros, que forman un todo autnomo capaz de
realizar procesamiento de informacin y/o transferencia de
informacin.
t) Usuario: entidad o individuo que utiliza un sistema
informtico.
TITULO III
De la seguridad del documento electrnico en general

Artculo 6.- La seguridad del documento

electrnico se logra garantizando los siguientes
atributos esenciales del documento:
a) Confidencialidad;
b) Integridad;
c) Factibilidad de autenticacin, y
d) Disponibilidad.

Artculo 7.- Los atributos esenciales que aportan

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

seguridad al documento electrnico se obtienen y sostienen
mediante la ejecucin permanente de las siguientes
acciones:
a) Desarrollar y documentar polticas de seguridad de
uso, almacenamiento, acceso y distribucin del documento
electrnico y de los sistemas informticos utilizados en
su procesamiento;
b) Disear y documentar los procesos y procedimientos
para poner en prctica las polticas de seguridad;
c) Implementar los procesos y procedimientos sealados
precedentemente;
d) Monitorear el cumplimiento de los procedimientos
establecidos y revisarlos de manera de evitar incidentes de
seguridad;
e) Concientizar, capacitar y educar a los usuarios para
operar los sistemas informticos de acuerdo a las
exigencias establecidas;
f) Definir y documentar los roles y responsabilidad de las
entidades e individuos involucrados en cada una de las
letras anteriores.
Artculo 8.- Los rganos de la Administracin
regidos por esta norma debern aplicar sus disposiciones
para garantizar los atributos esenciales que confieren
seguridad al documento electrnico, definidos en el
artculo 6.
No obstante, la consecucin y mantencin de tales
atributos por parte de cada rgano de la Administracin
del Estado estarn sujetas a la consideracin de factores
de riesgo y factores de costo/beneficio. Estos ltimos
podrn invocarse mediante una resolucin fundada del jefe
de servicio correspondiente, basada en un estudio de
anlisis de riesgo y/o costo/beneficio.
TITULO IV
Del nivel bsico de seguridad del documento electrnico

Prrafo 1
Normas generales

Artculo 9.- Durante la primera etapa de

aplicacin de esta norma, los rganos de la
Administracin del Estado desarrollarn las polticas,
procedimientos, acciones y medidas tendientes a
obtencin del Nivel Bsico de Seguridad de los
documentos electrnicos que se establecen en este
Ttulo.

Artculo 10.- El Nivel Bsico de Seguridad para el

documento electrnico tiene por objeto:
a) Garantizar condiciones mnimas de seguridad y
confidencialidad en los documentos electrnicos que se
generan, envan, reciben, procesan y almacenan entre los
rganos de la Administracin del Estado;
b) Facilitar la adopcin de requerimientos de seguridad
ms estrictos por parte de aquellos organismos y en
aquellos tpicos que se estimen necesarios, y
c) Facilitar el Nivel avanzado de seguridad para el
documento electrnico, en aquellos organismos cuyo
desarrollo institucional lo requiera.
Prrafo 2

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

 Poltica de seguridad

Artculo 11.- Deber establecerse una poltica que

fije las directrices generales que orienten la materia
de seguridad dentro de cada institucin, que refleje
claramente el compromiso, apoyo e inters en el fomento
y desarrollo de una cultura de seguridad institucional.
La poltica de seguridad deber incluir, como
mnimo, lo siguiente:
a) Una definicin de seguridad del documento
electrnico, sus objetivos globales, alcance e
importancia.
b) La difusin de sus contenidos al interior de la
organizacin.
c) Su reevaluacin en forma peridica, a lo menos
cada 3 aos.
Las polticas de seguridad debern documentarse y
explicitar la periodicidad con que su cumplimiento ser
revisado.

Prrafo 3
Seguridad organizacional

Artculo 12.- En cada organismo regido por esta

norma deber existir un encargado de seguridad, que
actuar como asesor del Jefe de Servicio correspondiente
en las materias relativas a seguridad de los documentos
electrnicos.
Las funciones especficas que desempee
internamente el encargado de seguridad sern
establecidas en la resolucin que lo designe. En todo
caso, deber tener, a lo menos, las siguientes
funciones:
a) Tener a su cargo el desarrollo inicial de las
polticas de seguridad al interior de su
organizacin y el control de su implementacin, y
velar por su correcta aplicacin.
b) Coordinar la respuesta a incidentes
computacionales.
c) Establecer puntos de enlace con encargados de
seguridad de otros organismos pblicos y
especialistas externos que le permitan estar al
tanto de las tendencias, normas y mtodos de
seguridad pertinentes.

Prrafo 4
Clasificacin, control y etiquetado de bienes

Artculo 13.- Los documentos electrnicos y

sistemas informticos debern clasificarse y etiquetarse
para indicar la necesidad, prioridad y grado de
proteccin.
La clasificacin de un sistema informtico debe
corresponder a la clasificacin ms estricta aplicable
al documento electrnico que almacene o procese, de
conformidad con el decreto supremo 26 de 2001, del
Ministerio Secretara General de la Presidencia.
A cada sistema informtico, deber asignrsele un

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

responsable quien velar por su debida clasificacin y
etiquetado.

Artculo 14.- Todo documento electrnico deber ser

asignado, explcita o implcitamente, a un responsable. En
este ltimo caso, el encargado de seguridad deber
proponer quin ser responsable por omisin, sea
asignando tal responsabilidad al usuario que lo crea, sea
atribuyndosela al responsable por el sistema informtico
que lo gener, u otra modalidad.
Artculo 15.- Para cada clasificacin, el encargado
de seguridad deber proponer los procedimientos de
manipulacin requeridos para cubrir las siguientes
actividades de procesamiento de un documento electrnico:
a) Copiado;
b) Almacenamiento;
c) Transmisin por correo electrnico y sistemas
protocolarizados de transmisin de datos digitales;
d) Destruccin.

Artculo 16.- La salida desde un sistema de un

documento electrnico que est clasificado como reservado
o secreto, deber tener una etiqueta apropiada de
clasificacin en la salida.
Para estos efectos, deber considerarse, entre otros,
los informes impresos, pantallas de computador, medios
magnticos (cintas, discos, CDs, cassettes), mensajes
electrnicos y transferencia de archivos.
Prrafo 5
Seguridad fsica y del ambiente

Artculo 17.- Los equipos debern protegerse

fsicamente de las amenazas de riesgos del ambiente
externo, prdida o dao, incluyendo las instalaciones de
apoyo tales como el suministro elctrico y la
infraestructura de cables.
En particular, la ubicacin del equipamiento de la
institucin deber minimizar el acceso innecesario a las
reas de trabajo y disminuir las posibilidades de
amenazas de humo y fuego, humedad y agua, inestabilidad
en el suministro elctrico, hurto y robo.

Artculo 18.- Para los efectos del artculo anterior,

cada rgano deber impartir y publicitar instrucciones
relativas a los siguientes aspectos del ambiente externo:
a) Consumo de alimentos, bebidas y tabaco en las
cercanas de sistemas informticos.
b) Condiciones climatolgicas y ambientales que pueden
afectar sistemas informticos o entornos cercanos.
c) Promocin de una prctica de escritorio limpio.

Artculo 19.- Respecto de los documentos electrnicos

de la organizacin clasificados como reservados o secretos,
se aplicarn las siguientes normas de seguridad ambiental:
a) Debern almacenarse en reas seguras, protegidos por
un permetro de seguridad definido, con barreras apropiadas
de resguardo y controles de entrada. Estos debern estar
fsicamente protegidos del acceso no autorizado, dao e
interferencia. La proteccin provista deber guardar

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

relacin con los riesgos identificados.
b) Debern disponerse de manera que se minimicen las
posibilidades de percances y descuidos durante su empleo.
Prrafo 6
Seguridad del personal

Artculo 20.- El Jefe de Servicio deber impartir

instrucciones para la seguridad de los documentos
electrnicos y los sistemas informticos, respecto de
las siguientes materias:
a) Uso de sistemas informticos, con nfasis en
prohibicin de instalacin de software no
autorizado, documentos y archivos guardados en el
computador.
b) Uso de la red interna, uso de Internet, uso del
correo electrnico, acceso a servicios pblicos,
recursos compartidos, servicios de mensajera y
comunicacin remota, y otros.
c) Generacin, transmisin, recepcin, procesamiento
y almacenamiento de documentos electrnicos.
d) Procedimientos para reportar incidentes de
seguridad.

Artculo 21.- Las responsabilidades de seguridad

aplicables al personal debern ser explicitadas en la etapa
de seleccin e incluirse expresamente en los decretos o
resoluciones de nombramiento o en las contrataciones
respectivas.
Prrafo 7
Gestin de las operaciones y las comunicaciones

Artculo 22.- En todos los organismos sujetos a la

presente norma, debern explicitarse y difundirse los
siguientes antecedentes e informacin:
a) Los contactos de apoyo ante dificultades tcnicas
u operacionales inesperadas de sistemas
informticos;
b) Las exigencias relativas al cumplimiento con las
licencias de software y la prohibicin del uso de
software no autorizado;
c) Las buenas prcticas para protegerse de los
riesgos asociados a la obtencin de archivos y
software a travs de las redes de
telecomunicaciones, o por otros medios, indicando
qu medidas de proteccin se debern aplicar.

Artculo 23.- Para los efectos de reducir el riesgo de

negligencia o mal uso deliberado de los sistemas, debern
aplicarse polticas de segregacin de funciones. Asimismo,
debern documentarse los procedimientos de operacin de
sistemas informticos e incorporarse mecanismos peridicos
de auditoras de la integridad de los registros de datos
almacenados en documentos electrnicos.
Artculo 24.- En los rganos regidos por la presente
norma, debern realizarse copias de respaldo de la
informacin y las aplicaciones crticas para la misin de
la institucin en forma peridica, en conformidad con las
siguientes reglas:

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

a) La periodicidad con que se realizarn los respaldos de
los computadores personales de la institucin que estn
asignados a usuarios, deber explicitarse y no podr ser
menor a 1 respaldo anual;
b) La periodicidad con que se realizarn los respaldos de
los sistemas informticos y los equipos no contemplados en
el punto anterior, utilizados en el procesamiento o
almacenamiento de documentos electrnicos, deber
explicitarse y no podr ser menor a 1 respaldo mensual;
c) Deber garantizarse la disponibilidad de
infraestructura adecuada de respaldo, para asegurar que
stos estn disponibles incluso despus de un desastre o
la falla de un dispositivo. Las configuraciones de respaldo
para los sistemas individuales debern ser probadas con
regularidad, a lo menos cada 2 aos, para asegurar que
ellas satisfacen los requisitos estipulados en los planes de
continuidad institucionales;
d) Deber almacenarse en una ubicacin remota, un nivel
mnimo de informacin de respaldo, junto con registros
exactos y completos de las copias de respaldo y los
procedimientos documentados de restablecimiento. Esta
instalacin deber estar emplazada a una distancia tal que
escape de cualquier dao producto de un desastre en el
sitio principal. En mbitos crticos para la institucin,
se debern almacenar al menos tres generaciones o ciclos de
informacin de respaldo;
e) Los respaldos debern cumplir con un nivel apropiado
de proteccin fsica de los medios, consistente con las
prcticas aplicadas en el sitio principal. Los controles
asociados a los dispositivos del sitio de produccin
debern extenderse para abarcar el sitio de respaldo.
f) Debern consignarse plazos de retencin de los
respaldos de la institucin, as como cualquier necesidad
de realizacin de respaldos que estn permanentemente
guardados, y
g) Debern utilizarse medios y condiciones fsicas de
almacenamiento que garanticen una vida til concordante con
los plazos definidos en el punto precedente.
Artculo 25.- Las instituciones regidas por la
presente norma debern impartir instrucciones respecto al
uso seguro del correo electrnico. Esas instrucciones
debern incluir al menos:
a) Una advertencia sobre la vulnerabilidad del correo
electrnico a modificaciones o accesos no autorizados;
b) Una advertencia sobre los peligros asociados a la
apertura de archivos adjuntos y/o a la ejecucin de
programas que se reciban va correo electrnico;
c) La responsabilidad de no divulgar contraseas de
acceso al correo electrnico;
d) Una advertencia sobre la inconveniencia de almacenar
contraseas de acceso al correo electrnico en el mismo
computador desde el cual se accede el correo electrnico;
e) Indicaciones sobre la eleccin de contraseas seguras
de acceso al correo electrnico;
f) Una recomendacin sobre la conveniencia de que los
usuarios tengan cuentas de correo electrnico distintas
para efectos de su uso personal;
g) Un instructivo de cundo no usar el correo
electrnico;
h) Una prevencin sobre la necesidad de comprobar el
origen, despacho, entrega y aceptacin mediante firma
electrnica, e
i) Una precisin de las responsabilidades que
corresponden a los usuarios en caso de comprometer a la
institucin, por ejemplo, con el envo de correos
electrnicos difamatorios, uso para hostigamiento o acoso,
compras no autorizadas, etc.
Artculo 26.- Los organismos sujetos a la presente

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

norma, en la medida de sus posibilidades, debern:
a) Instalar un antivirus que proteja frente a la
posibilidad de obtener va correo electrnico software
malicioso;
b) Proveer mecanismos que mediante el uso de tcnicas de
cifrado, permitan proteger la confidencialidad e integridad
de los documentos electrnicos;
c) Evitar el uso de cuentas de correo grupales;
d) Disponer controles adicionales para la verificacin de
mensajes que no se pueden autenticar;
e) Verificar que todos los equipos informticos y medios
digitales que sean usados en el almacenamiento y/o
procesamiento de documentos electrnicos, de ser posible,
sean reformateados previo a ser dados de baja.
Prrafo 8
Control de acceso

Artculo 27.- El empleo de identificador formal de

autenticacin constituye un mecanismo bsico para el uso
de firma electrnica.
Los identificadores son un esquema de validacin de
la identidad del usuario para acceder a un sistema
informtico.
Un identificador temporal es aquel que se asigna a
un usuario la primera vez que accede a un sistema, y que
debe ser cambiado por ste en su primer acceso.

Artculo 28.- La asignacin de los identificadores se

deber controlar mediante un proceso formal de gestin, en
que el jefe directo del usuario peticionario ser el
responsable de la respectiva solicitud.
Para los efectos del referido control, en cada
institucin se impartirn instrucciones sobre la forma de
asignacin de identificadores que se aplicar. Dichas
instrucciones debern incluir a lo menos, lo siguiente:
a) La obligacin de mantener en forma confidencial de los
identificadores que se asignen;
b) La obligacin de no registrar los identificadores en
papel;
c) La prohibicin de almacenar identificadores en un
computador de manera desprotegida;
d) El deber de no compartir los identificadores de
usuarios individuales;
e) El mandato de no incluir el identificador en cualquier
proceso de inicio de sesin automatizado, por ejemplo,
almacenado en una macro;
f) La indicacin de cambiar los identificadores cuando
hayan indicios de un posible compromiso del identificador o
del sistema;
g) La recomendacin de elegir identificadores que tengan
una longitud mnima de ocho caracteres; sean fciles de
recordar; contengan letras, maysculas, dgitos, y
caracteres de puntuacin; no estn basados en cosas obvias
o de fcil deduccin a partir de datos relacionados con la
persona, por ejemplo, nombres, nmeros telefnicos,
cdula de identidad, fecha de nacimiento; estn libres de
caracteres idnticos consecutivos o grupos completamente
numricos o alfabticos; y no sean palabras de diccionario
o nombres comunes;
h) La indicacin de cambiar los identificadores a
intervalos regulares. Las contraseas de accesos
privilegiados se debern cambiar ms frecuentemente que
los identificadores normales;
i) Normas para evitar el reciclaje de identificadores

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

viejos, y
j) La indicacin de cambiar el identificador temporal al
iniciar la primera sesin.
Los sistemas informticos debern configurarse de
manera que los usuarios se vean compelidos a cumplir con las
obligaciones detalladas en los puntos anteriores.
Artculo 29.- Se deber entregar a los usuarios
identificadores temporales de una manera segura.
Especficamente, se deber evitar el uso de terceras
partes o mensajes de correo electrnico no protegido (texto
en claro) para comunicar el identificador.
Los usuarios debern dar un acuso recibo de recepcin
del identificador.
Artculo 30.- En caso que los usuarios necesiten
acceder a mltiples servicios o plataformas y sea necesario
que mantengan mltiples identificadores, debern ser
notificados de que stos deben ser distintos. Asimismo, se
incentivar y facilitar el uso de certificados de firma
electrnica.
Artculo 31.- Para reducir el riesgo de acceso no
autorizado a documentos electrnicos o sistemas
informticos, se deber promover buenas prcticas, como
las de pantalla limpia.
En particular, se incentivar a los usuarios o
configurar los sistemas de manera que se d cumplimiento a
los siguientes estndares:
a) Cerrar las sesiones activas en el computador cuando se
finaliza la labor, a menos que stas se puedan asegurar
mediante un sistema apropiado de control de acceso, por
ejemplo, con protector de pantalla con una contrasea
protegida;
b) Cerrar las sesiones de los computadores principales
cuando la sesin finaliza, lo que no significa,
necesariamente, apagar el terminal o los equipos, y
c) Asegurar los terminales o equipos frente al uso no
autorizado, mediante una contrasea de traba o de un
control equivalente, por ejemplo, una contrasea de acceso
cuando no se use.
Artculo 32.- Se deber controlar el acceso a los
servicios de red internos y externos mediante el uso de
identificadores o certificados digitales.
Para tal efecto, los rganos de la Administracin del
Estado sujetos a la presente normativa debern ajustarse a
las siguientes exigencias:
a) Restringir la instalacin de equipamiento personal que
dificulte el control de acceso a documentos electrnicos y
sistemas informticos, de manera acorde a las polticas de
seguridad de la institucin, y
b) Mantener un catastro del equipamiento que permita la
reproduccin, distribucin o transmisin masiva de
informacin, y de las personas con privilegios de acceso a
ellos.
Artculo 33.- Las instituciones regidas por la
presente norma impartirn instrucciones relativas al uso de
redes y servicios en red que, al menos, especifiquen lo
siguiente:
a) Las redes y servicios de red a las que el acceso est
permitido;
b) Los procedimientos de autorizacin para determinar
quin tiene permitido acceder a las distintas redes y
servicios de red, y
c) Los controles de gestin y procedimientos para

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

proteger el acceso a las conexiones de la red y servicios de
red.
Prrafo 9
Desarrollo y mantenimiento de sistemas

Artculo 34.- Aquellos organismos que requieran

precaver que la seguridad est incorporada en los
sistemas en la etapa de diseo, se entendern como
organismos complejos y para tal efecto, debern adoptar
las indicaciones contenidas en la seccin
correspondiente del Ttulo V de esta norma, sobre
''Nivel Avanzado de Seguridad para el Documento
Electrnico''.

Prrafo 10
Gestin de la continuidad del negocio

Artculo 35.- El encargado de seguridad deber

formular un plan de contingencia para asegurar la
continuidad de operaciones crticas para la institucin.
Este plan deber, como mnimo, disponer la efectiva
gestin de las relaciones pblicas, la eficiente
coordinacin con las autoridades apropiadas, como
polica, bomberos, autoridades directivas, etc., y
mecanismos eficaces para convocar a quienes sean los
responsables de los documentos electrnicos y sistemas
informticos afectados.

TITULO V
Del nivel avanzado de seguridad del documento
electrnico

Artculo 36.- Durante la segunda etapa de

aplicacin de esta norma, los rganos de la
Administracin del Estado debern desarrollar las
polticas, procedimientos, acciones y medidas tendientes
a obtencin del Nivel Avanzado de Seguridad de los
documentos electrnicos que se establecen en este
Ttulo.

Artculo 37.- El Nivel Avanzado de seguridad para

el documento electrnico exige el cumplimiento de las
exigencias y condiciones reguladas en el Ttulo IV para
el Nivel Bsico de seguridad, y las previstas en la
Norma NCh2777, que se entiende parte integrante del NOTA
presente decreto, con los ajustes que se establecen en
este artculo.
a) Poltica de Seguridad:
Se aplicarn las disposiciones contenidas en el
captulo 3 de la norma NCh2777, con la siguiente
adecuacin:
- Las instituciones debern tener las polticas de
seguridad descritas en la seccin 3.1 para los
repositorios de documentos electrnicos. En
particular, estas polticas debern contener lo

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

 siguiente:
i. Indicaciones respecto de los sistemas
informticos, con nfasis en el
procedimiento de autorizacin de instalacin
o modificacin de software y archivos de
configuracin de los sistemas;
ii. Indicaciones de uso de la red;
iii. Procedimientos de respuesta a incidentes de
seguridad;
iv. Procedimientos de delegacin de autoridad
para ejecutar acciones de emergencia en los
sistemas y los procedimientos
correspondientes.
b) Seguridad organizacional:
Se aplicar la seccin 4.1 del captulo 4 de la norma
NCh2777, con excepcin de sus puntos 4.1.5 y 4.1.7 que
se adoptarn como recomendaciones, y las secciones 4.2 y
4.3 de dicho captulo.
c) Clasificacin y control de bienes:
Se aplicar la seccin 5.1 del captulo 5 de la norma
NCh2777, en lo referido a bienes relacionados con el
Documento Electrnico. Asimismo, se aplicar el punto
5.2.1 de la seccin 5.2.
El punto 5.1.2 de dicha seccin se aplicar con las
siguientes adecuaciones:
- Los procedimientos de etiquetado y manipulacin
de la informacin se entienden referidos al
Documento Electrnico.
- Se excluyen las normas contenidas en las letras
(c) y (d).
d) Seguridad del personal:
Se aplicarn las secciones 6.1 y 6.3 del captulo 6
de la norma NCh2777. La seccin 6.2 se adoptar como
recomendacin.
e) Seguridad fsica y del ambiente:
Se aplicarn las secciones 7.1 y 7.2 del captulo 7
de la norma NCh2777, para repositorios de documentos
electrnicos, con las siguientes adecuaciones:
- Para la seccin 7.1:
i. Los controles fsicos de entrada en el
permetro de seguridad debern utilizar el
carn de identidad como identificacin
vlida en el caso de los chilenos, y el
pasaporte en el caso de los extranjeros.
ii. Todo ingreso de visitas al permetro de
seguridad deber ser autorizado por escrito,
quedando constancia del propsito y duracin
de ella. Los visitantes sern acompaados en
todo momento por alguna persona autorizada
de la organizacin hasta que abandonen el
recinto.
- Para la seccin 7.2:
Se deber velar para que los equipos
computacionales en los que se almacenen documentos
electrnicos y sistemas informticos que los procesen,
tengan un adecuado suministro de energa elctrica,
incluyendo no slo el flujo de energa suministrado,

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

sino tambin la ''tierra elctrica'' de las
instalaciones.
La seccin 7.3 se adoptar como recomendacin.
f) Gestin de las operaciones y comunicaciones:
Se aplicarn las normas del captulo 8 de la norma
NCh2777, en su integridad.
g) Control de acceso:
Se aplicarn las normas del captulo 9 de la norma
NCh2777, con excepcin de sus secciones 9.5, 9.6, 9.7 y
9.8 que se adoptarn como recomendaciones, y con los
siguientes ajustes:
- Los registros de privilegios asignados, a los
que hace referencia la seccin 9.2.2, debern
tener un carcter histrico, es decir, no slo
se deben registrar los privilegios en
aplicacin. El perodo de conservacin de estos
registros ser al menos el que las leyes
vigentes indiquen para los documentos
electrnicos a los que se pudo tener acceso con
dichos privilegios.
- Las estipulaciones de la seccin 9.4 debern
formalizarse en una poltica de uso
correspondiente, de acuerdo a lo expresado en la
seccin ''Poltica de Seguridad''.
h) Desarrollo y mantenimiento de sistemas:
Se aplicarn nicamente las normas de la seccin 10.3
del captulo 10 de la norma NCh2777, con la siguiente
adecuacin:
- En las secciones referidas a firma electrnica,
se adoptar lo establecido por la ley 19.799,
sobre documentos electrnicos, firma electrnica
y los servicios de certificacin para dicha
firma.
i) Gestin de la continuidad del negocio: Se
aplicarn las estipulaciones del captulo 11 de la
norma NCh2777, en su integridad.

NOTA
El Artculo 2 de la Resolucin 1535 Exenta,
Economa, publicada el 02.09.2009, anula y reemplaza la
Norma NCh2777 por la Norma NCh-ISO 27002, que el Artculo
1 de la mencionada Resolucin, declara como Norma Oficial
de la Repblica de Chile, con su respectivo cdigo y
ttulo de identificacin como Tecnologa de la
informacin, Cdigos de prcticas para la gestin de la
seguridad de la informacin.

Artculo Segundo.- La presente norma deber ser

implementada por los diferentes rganos de la
Administracin del Estado dentro de los siguientes plazos:
- El Nivel 1, a ms tardar en el ao 2004.
- El Nivel 2, a ms tardar en el ao 2009.
Con la finalidad de lograr la debida implementacin de
esta norma en los plazos sealados, los servicios pblicos
debern contemplar acciones adecuadas en sus respectivos

www.bcn.cl - Biblioteca del Congreso Nacional de Chile

planes de desarrollo informtico. Los niveles de
cumplimiento de la presente norma por parte de los servicios
pblicos se determinarn mediante la aplicacin de un
instrumento de evaluacin que elaborar el Comit de
Normas.

Artculo Tercero.- Crase el Subcomit de Gestin

de Seguridad y Confidencialidad del Documento Electrnico
como organismo asesor del Comit de Normas para el
Documento Electrnico.
El Subcomit ser coordinado por el Ministerio del
Interior y tendr entre sus funciones, proponer el Nivel de
cumplimiento de la presente norma tcnica por parte de los
rganos de la Administracin del Estado y el cronograma de
implementacin de la Norma en su nivel 2 por parte de los
diferentes rganos de la Administracin del Estado.

Artculo Cuarto.- Los Subsecretarios y Jefes de

Servicio debern designar, dentro del plazo de 30 das
contados desde la fecha de total tramitacin del presente
decreto, un Encargado de Seguridad, para que desarrolle e
implemente las polticas de seguridad en forma conjunta con
el Comit de Gestin de Seguridad y Confidencialidad. En
aquellos rganos en que no se designe dentro de plazo,
actuar como Encargado de Seguridad el Auditor Interno de
cada servicio.
Artculo Quinto.- El Comit de Normas para el
Documento Electrnico podr iniciar, de oficio o a
peticin de parte, un procedimiento de normalizacin con
el objeto de sugerir al Presidente de la Repblica la
actualizacin de la norma tcnica fijada por este decreto.
En dicho procedimiento se tendrn en consideracin los
planteamientos del sector pblico y privado y de las
Universidades.''.

Antese, tmese razn y publquese.- RICARDO LAGOS

ESCOBAR, Presidente de la Repblica.- Francisco
Huenchumilla Jaramillo, Ministro Secretario General de la
Presidencia.- Jos Miguel Insulza Salinas, Ministro del
Interior.
Lo que transcribo a Ud. para su conocimiento.- Saluda
Atte. a Ud., Rodrigo Egaa Baraona, Subsecretario General
de la Presidencia.

www.bcn.cl - Biblioteca del Congreso Nacional de Chile