Las microformas en la gestiÃ³n del documento electrÃ³nico

Nuevas tecnologías aplicadas a 

la gestión documental 

Las microformas en la gestión 

del documento electrónico 

Base legal y técnica 

Miguel Véliz Granados 

Secretario Técnico del Comité Especializado de 

normalización ió de microformas digitalesi Mayo 2010 

1

OBJETIVO 

• Conocer los requisitos establecidos en las 

normas legales y técnicas para la gestión de 

documentos electrónicos en la 

implementación de líneas de producción de 

microformas orientadas a obtener valor legal 

2

PROLOGO 

• En el Perú el uso de las tecnologías de avanzada enmateria 

de archivo de documentos e información está regulada por un 

conjunto de normas legales orientadas a: 

Otorgar facilidades para elaborar microformas tanto por procesos 

convencionales como informáticos en computadoras 

Otorgar reconocimiento de valor legal a los archivos conservados 

mediante microformas que permitan ahorro de espacio y costos a las 

organizaciones, colaborando a su eficiencia y productividad. 

Aprovechar los adelantos de la tecnología en beneficio de actividades 

empresariales, alentando las inversiones y mejorando sus 

rendimientos. 

3

LOS ARCHIVOS DE LAS ORGANIZACIONES 

• Constituyen el legajo de la gestión 

documental. 

• Son objeto de consulta interna y 

externa. 

• Tienen valor histórico, i valor de activo 

y/o patrimonial para la organización. 

• Deben ser conservados por periodos 

establecidos por la organización ió opor 

orden legal. 

4

La gestión de la documentación y la información en las 

organizaciones 

• Adecuado soporte para la gestión y 

toma de decisiones 

• Incrementa la productividad id d y la 

competitividad 

• Es dependiente de la tecnología de la 

información y las comunicaciones 

• Tiene aptitud para el rápido acceso y 

difusión a distancia 

• Facilita el ingreso al contexto de la 

internacionalización de los 

intercambios comerciales. 

5

Normas legales y reglamentarias que enmarcan la 

elaboración de microformas (MFS) 

• DL Nº 681 - 14 de octubre de 1991 

 

Regula el uso de tecnologías de avanzada para el archivo de documentos 

• DS Nº 009-92-JUS – 27 de junio 1992 

Reglamento del DL Nº 681 

• Ley Nº 26612 - 21 de mayo de 1996 

Modificatoria del DL Nº 681 

• DL N° 827 – 05 de junio de 1996 

 

Amplían alcances del DL Nº 681 a las entidades públicas a fin de modernizar el 

sistema de archivos oficiales 

• Resolución Nº 070-97/INDECOPI-CRT – 16 de enero 

1998 

 

Aprueban el reglamento para la certificacióndelaidoneidadtécnicadelsistemade 

producción y almacenamiento de microformas 

• DS N° 002-98-ITINCI – 21 de febrero de 1998 

 

Aprueban requisitos iit y procedimiento i paraotorgamiento t de certificado de idoneidad 

d 

técnica para la confección de microformas 

6



• DS Nº 001-2000-JUS - 26 de marzo de 2000 

 

Reglamentan la ampliación del alcance del DL Nº 827 y se establecen requisitos para 

la formación de los representantes de la fe pública 

• Ley N° 27269 – 28 de mayo de 2000 

 

Ley de Firmas y Certificados Digitales 

• RM N° 169-2000-JUS – 24 de junio de 2000 

 

Reglamento para supervisión de eventos de capacitación de fedatarios juramentados 

con especialidad en informática 

• DL N° 1030 - 24 de junio de 2008 

 

Ley de los sistemas nacionales de normalización y acreditación- SNA 

• DS N° 052-2008-PCM 2008 – 19 de julio 2008 

 

Reglamento de la Ley de Firmas y Certificados Digitales 

7



• DS N° 001-98-TR - 22 de enero de 1998 

 

Normas reglamentarias relativas a obligación de los empleadores de llevar Planillas 

de Pago 

• Ley Nº 27291 - 24 de junio de 2000 

 

Ley que modifica el Código Civilil permitiendo el uso de los medios electrónicos para la 

comunicación de la manifestación de voluntad y la utilización de la firma electrónica 

• Ley N° 27419 – 06 de febrero 2001 

 

Ley sobre notificación por correo electrónico 

• Ley N° 27658 – 30 de enero de 2002 

 

Ley marco de modernización de la gestión del estado 

• Ley N° 28186 - 05 de marzo de 2004 

 

Ley que establece los alcances del DL N° 681 – Conservación de documentos con 

contenido tributario 

• Ley N° 27323 - 22 de julio de 2000 

 

Ley que establece funciones de la CONASEV y la SBS para autorizar e inscribir a 

empresas e instituciones que recurren a servicios de microarchivos cuando estas no 

cuentan con un microarchivo propio 

8

Definiciones de orden legal 

Art. 5° Ley 26612 (Sustitúyase el Art. 234º del D. Leg. Nº 768 ...) 

1) MICROFORMA: Imagen reducida y condensada, o compactada, o 

digitalizadait d de undocumento queseencuentra grabado enunmedio 

físico técnicamente idóneo, que le sirve de soporte material portador, 

mediante un proceso fotoquímico, informático, electrónico, 

electromagnético, o que emplee alguna tecnología de efectos 

equivalentes,demodoquetalimagenseconserveypuedaservistay 

leída con la ayuda de equipos visores o métodos análogos; y pueda ser 

reproducida en copias impresas, esencialmente iguales al documento 

original. 

Están incluidos en el concepto de microforma tanto los documentos 

producidos por procedimientos informáticos o telemáticos en 

computadoras o medios similares como los producidos por 

procedimientos técnicos de microfilmación siempre que cumplan los 

requisitos establecidos en la presente ley. 

9



2) MICRODUPLICADO: Reproducción exacta del elemento original que 

contiene microformas, efectuada sobre un soporte material idóneo 

similar, en el mismo o similar formato, configuración y capacidad de 

almacenamiento; y con efectos equivalentes. 

3) MICROGRABACIÓN: Proceso técnico por el cual se obtienen las 

microformas, a partir de los documentos originales en papel o material 

similar; o bien directamente de los medios o soportes 

electromagnéticos, digitales u otros en que se almacena información 

producida por computador u ordenador. 

10



4) MICROARCHIVO: Conjunto 

ordenado, codificado y sistematizado 

de los elementos materiales de soporte 

o almacenamiento portadores de 

microformas grabados, provisto de 

sistemas de índice y medios de 

recuperación que permiten encontrar, 

examinar visualmente y reproducir en 

copias exactas los documentos 

almacenados como microformas. 

11



Son documentos los escritos públicos o 

privados, los impresos, fotocopias, facsímil o 

fax, planos, cuadros, dibujos, fotografías, 

radiografías, cintas cinematográficas, 

microformas tanto en la modalidad de 

microfilm como en la modalidad de soportes 

informáticos y otras reproducciones de audio 

o video, la telemática en general y demás 

objetos que recojan, contengan o 

representen algún hecho, o actividad 

humana o su resultado. 

12

Definiciones de carácter técnico 

• Normalización: Actividad encaminada a establecer respecto a 

problemas reales o potenciales, disposiciones destinadas a un 

uso común repetido con el fin de conseguir un grado óptimo de 

orden en un contexto dado. 

Notas 

1. En particular, esta actividad consiste en la elaboración, la difusión 

y la aplicación de normas 

2. La normalización ió ofrece importantes t beneficios, i debido 

principalmente a una mejor adaptación de los productos, 

procesos y los servicios a los fines a que se destinan, la 

prevención de los obstáculos al comercio y la facilitación de la 

cooperación tecnológica. 

13

Definiciones de carácter técnico 

• Norma: Documento establecido por consenso y 

aprobado por un organismo reconocido, que 

establece, para un uso común y repetido, reglas, 

directrices o características para ciertas actividades o 

sus resultados, con el fin de conseguir un grado 

óptimo de orden de un contexto dado. 

Nota 

Las normas deben basarse en los resultados 

consolidados por la ciencia, la técnica y la experiencia y 

estar dirigidas a la consecución del óptimo beneficio 

para la comunidad. 

14

• La Norma Técnica Peruana 

392.030-2:2005 

R.0074-2005/INDECOPI 2005/INDECOPI*CRT. Publicada el 2005-09-2209 22 

15

ASPECTOS INTERNACIONALES QUE ORIENTAN LA 

ELABORACIÓN DE LA NORMA 

WTO 

OMC 

OMC 

• Adoptar las Normas Internacionales ISO/IEC 

aplicables a las materias, procesos y sistemas 

que se aplican en micrograbación, firmas 

digitales, intermediación digital y seguridad 

informática en concordancia con el 

reconocimiento de las normas internacionales y 

los sistemas internacionales de evaluación de la 

conformidad para aumentar la eficacia de la 

producción y facilitar el comercio internacional 

16

1 OBJETO 

• Establecer los requisitos que deben 

cumplir las organizaciones que operan 

sistemas de producción demicroformas 

en medios de archivo electrónico, y 

administran su almacenamiento en 

condiciones de seguridad y 

conservación. 

17

2 REFERENCIAS NORMATIVAS 

• Normas Técnicas Peruanas 

NTP-ISO 3334:1997 MICROGRAFÍA. Mira de Resolución ISO No 2. 

Descripción y uso. 

NTP-ISO 6196-5:1997 MICROGRAFÍA. Vocabulario. Parte 5: Calidad de 

imágenes, legibilidad, inspección. 

NTP ISO/IEC 17799-2004 EDI. Tecnología de la Información. Código de 

Buenas Prácticas para la gestión de la seguridad de la información. 

18


• Normas Técnicas Internacionales 

ISO 10196-2003 Document imaging applications - Recommendations for 

the creation of original i documents 

ISO 18927:2002 Imaging materials - Recordable compact disc systems - 

Method for estimating the life expectancy based on the effects of temperature 

and relative humidity. 

ISO 7498 - 2:1989 Information processing systems – Open Systems 

Interconnextion – Basic Reference Model – Part 2: Security Architecture 

ISO /IEC 9798 - 1 Information technology - Security techniques - Entity 

autentication - Part 1- General. 

19



ISO/IEC 10181-4 Information technology – Open Systems Interconnection – 

Security frameworks for open systems: Non-repudiation framework. 

ISO/IEC 12119:1994 Information technology. Software packages- 

Quality requirements and testing (ISO/IEC 25021:2006, nueva norma que reemplaza a la 

ISO/IEC 12119) 

ISO/IEC 13888-1 Information technology – Security techniques – Non 

Repudiation – Part 1: General 


Repudiation – Part 2 Mechanisms using symmetric techniques. 

20




Repudiation – Part 3: Mechanisms using asymmetric ti techniques. 

ISO/IEC 15947 Information technology – Security – IT intrusion detection 

framework 

ISO/IEC TR 13335-55 Information Technology. Guidelines for the 

management of information technology. Part 5: Management guidance on 

networking security. 

ISO/IEC TR 14516 Information technology – Security techniques – Gudelines 

for the use and management of trusted Third Party. 

21

3 CAMPO DE APLICACIÓN 

• Se aplica para la evaluación de: 

Sistemas de producción y almacenamiento de MFs de organizaciones 

propietarias i y de empresas de producción, almacenamiento ointermediación 

ió 

digital. 

Sistemas de producción de MFs a partir de documentos originales físicos o 

generados electrónicamente, identificados por la organización propietaria 

La estructura organizativa asociada al sistema de producción y 

almacenamiento de MFs. 

Las propiedades p que deben cumplir los medios de archivo electrónico. 

22

3 CAMPO DE APLICACIÓN 

 

 

Comprende los requisitos que se deben cumplir cuando en el sistema de 

elaboración de MFs se incluyen procesos de transferencia electrónica en 

redes privadas y públicas. 

Comprende las condiciones de seguridad y conservación a cumplir para el 

almacenamiento de las MFs. 

23

4 DEFINICIONES: 

• Contiene 27 definiciones generales entre las que destacan 

Documento original: Para los propósitos de la presente norma. Documento de 

una organización que autoriza su migración a microformas y de cuyo origen y 

contenido es responsable. 

Documento electrónico: Unidades estructuradas de información registrada, 

publicada o no, susceptible de ser generada, clasificada, gestionada, 

transmitida, procesadas o conservadas por una persona o una organización 

de acuerdo a sus requisitos funcionales, utilizando sistemas informáticos. 

NOTA: El término documento electrónico no se refiere únicamente a los documentos de 

texto que se suelen crear con procesadores de texto, sino también comprende los 

mensajes de correo electrónico, las hojas de cálculo, los gráficos e imágenes, los 

documentos HTML o XML y los documentos compuestos, multimedia o de otras clases, 

que incluyen a sus enlaces y accesos automáticos. 

24

5 REQUISITOS GENERALES : 

Manual 

del 

Sistema 

• Documentar las 

especificaciones i técnicas 

de sus sistema de 

elaboración y 

almacenamiento de 

microformas. 

25

5 REQUISITOS GENERALES 

La organización debe estar legalmente constituida 

Manual 

del 

Sistema 

Normas 

Legales y 

Reglamentarias 

Aplicables 

Manual 

de 

Procedimientos 

Manual 

de 

Organización 

Manual de 

Seguridad de 

la 

Información 

Manuales 

de Líneas 

de MFs 

26


• La organización propietaria debe 

Tener un sistema integral de administración de sus documentos 

‣ Generación archivo, eliminación de documentos, además de la planificación, 

preparación, elaboración, control de calidad y almacenamiento de MFs 

Designar al responsable del sistema de elaboración y almacenamiento de MFs 

Cumplir la legislación archivística vigente 

Almacenar las MFs en instalaciones propias o en empresas de servicio 

certificadas. 

Asegurar la disponibilidad y renovación de la MFs almacenadas. 

27


• Las empresas especializadas en producción y almacenamiento deben: 

Tener un sistema de elaboración de MFs que incluya personal, procedimientos 

y responsables de los procesos de diseño de soluciones informáticas, control 

de producción y evaluación del sistema. 

Designar un responsable ejecutivo del servicio de elaboración o 

almacenamiento 

Especificar y documentos la responsabilidad y funciones del personal 

Cumplir la legislación archivística vigente. 

28


• Confidencialidad y calidad de trabajo del personal 

• Sistema de elaboración de MFs 

La alta dirección debe aprobar el sistema de elaboración de MFs 

Registrar la fecha a partir de la cual se da inicio al sistema de 

elaboración de MFs 

• Contratación t de servicios i de producción 

Especificar que la empresa de servicios cumpla las 

especificaciones establecidas por la organización 

• Contratación t de servicio i de almacenamiento 

La organización debe mantener el registro y control de ubicación de 

las MFs originales 

29


• El servicio de intermediación digital 

Debe ser efectuada con la intervención de un tercero neutral, aplicable en las 

transmisión ió de mensajes de datos o documentos por vía electrónica con firma 

digital para grabar, almacenar y conservar dichos o mensajes. 

El Tercero neutral debe poseer certificado de idoneidad técnica de 

cumplimiento de la NTP 392.030-2:2005, adoptar las especificaciones 

aplicables de seguridad establecidos en la NTP ISO /IEC 17799 y efectuar sus 

servicios conforme a los lineamientos aplicables de la Norma ISO /IEC TR 

14516. 

30


• El servicio de intermediación digital 

Debe proporcionar las técnicas o mecanismos requeridos para la intervención 

de los representantes de la fe pública cuando se requiera . 

‣ Certificar, utilizando su firma digital o electrónica basada en criptografía 

asimétrica, la autenticidad e identidad del emisor, titular de la firma 

digital que se adjunta al mensaje de datos o documentos 

transmitidos, la confidencialidad y la integridad de dicho mensaje. El 

mecanismo de autenticación debe adecuarse a las especificaciones 

aplicables de la norma ISO /IEC 9798 – 1 

31


• El servicio de intermediación digital debe: 

 

Certificar la fecha y hora de recepción, para cuyo efecto el tercero neutral debe contar 

con un proveedor de fechado y hora (fecha y hora cierta) referida al Tiempo Universal 

Coordinado (UTC) el cual debe estar disponible dentro de una red abierta, accesible 

desde cualquier plataforma tecnológica, 

 

Certificar el no repudio de origen y de recepción. El mecanismo de norepudio debe 

adecuarse a las especificaciones aplicables de la norma ISO/IEC 13888-3. 

32

6 REQUISITOS TÉCNICOS: 

• Proceso de generación de documentos 

originales 

Asegurar y documentar la cantidad y clase 

de documentos originales i que serán 

convertidos en MFs 

33

6 REQUISITOS TÉCNICOS : 

• Para el caso de MFs que incluya como documentos originales, 

documentos electrónicos obtenidos directamente de redes públicas o 

locales con firma digital, la organización debe establecer una metodología 

de identificación, (indización) y registro únicos que aseguren: 

La integridad. basados en el principio que la firma digital asegura al receptor 

identificar cuando un documento ha sido modificado sin autorización y 

Numeración correlativa, basados en el uso del Tiempo Universal Coordinado 

(UTC), (fecha y hora cierta), como indicador de numeración correlativa en la 

recepción para efectos de cumplir con disposiciones establecidas por la propia 

organización o por entidades o autoridades competentes. 

34

6 REQUISITOS TÉCNICOS 

• Calidad y legibilidad de los documentos originales 

Indicar los caracteres más pequeños y trazos más finos que deben ser 

reproducidos en las copias impresas 

Asegurar la calidad y legibilidad de firmas, sellos, logos, colores, indicando 

patrones de referencia 

En caso de documentos con imágenes en movimiento, sonidos la 

organización debe proporcionar las especificaciones o requisitos aplicables, 

los patrones de referencia y disponer los medios para verificar la calidad de 

los mismos. 

35


Manuales 

de Líneas 

de MFs 

• Líneas de producción de MFs 

Documentar las especificaciones de cada línea, ubicación, clases 

de originales a procesar. Los medios de soporte elegidos 

La arquitectura de las redes internas o externas (LAN, MAN, 

WAN) 

Las medidas de seguridad estructuradas conforme a la NTP 

ISO/IEC 17999 

Documentar la manera en la que la organización aplica y cumple 

las disposiciones legales y reglamentarias y contar con los 

certificados digitales vigentes. 

Para el caso de los servicios de intermediación digital se debe 

identificar las entidades o personas que intervienen, indicando el 

alcance de sus responsabilidades relativas a la clase de 

documentos que le corresponde procesar. 

La alta dirección o quien está designe debe aprobar las 

especificaciones de cada línea de producción. 

36


Manual 

de 

Procedi- 

mientos 

Manual de 

Seguridad de 


Información 

Proceso de preparación 

Proceso de captación de imágenes 

Proceso de indización 

Proceso de digitalización 

Sistema de seguridad. 

Periodo de conservación de las MFs 

Requisitos del medio de archivo electrónico 

Proceso de grabación 

Rotulado de las MFs 

37


Manual 

de 

Procedi- 

mientos 

Manual de 

Seguridad de 


Información 

Microformas originales 

Microformas duplicadas (microduplicados) 

Reproducción a partir de las MFs 

Intervención de los representantes de la fe 

pública 

Intermediación digital 

Almacenamiento 

Transmisión telemática 

Eliminación de originales 

38

SISTEMA DE SEGURIDAD 

• La organización debe establecer y mantener niveles adecuados de seguridad, 

respecto al personal, las estaciones de acceso, salidas del sistema informático, el 

software y archivos y aplicativos asociados al sistema de elaboración de 

microformas mediante políticas, procedimientos y técnicas que aseguren la 

confidencialidad, i d integridad, id d disponibilidadibilid d ycalidad d de las microformas, siguiendo 

i los lineamientos establecidos en la NTP ISO /IEC 17799 

39

SISTEMA DE SEGURIDAD 

• La organización debe contar con un programa de auditoria 

informática que asegure el cumplimiento de la evaluación 

de la idoneidad del sistema que incluya: 

La responsabilidad y la identificación del personal encargado 

de los procesos claves del sistema de elaboración de 

microformas, 

Los intentos o eventuales accesos no autorizados internos o 

externos, 

El uso no autorizado de estaciones, programas, archivos y 

aplicativos del sistema 

• Los registros de dicho sistema de auditoria informática 

deben estar disponibles para examen o inspección y se 

deben conservar un período establecido por la 

organización responsable de la producción de las 

microformas 

40

INTERVENCIÓN DE LOS REPRESENTANTES 

DE LA FE PÚBLICA 

• Para cada línea de producción y lugar de almacenamiento 

de microformas e intermediación digital en la elaboración 

de microformas, la organización debe especificar el 

procedimiento de intervención de los representantes de la 

fe pública, quienes deben estar facultados para ejercer 

sus funciones conforme a lo establecido en la normativa 

legal y reglamentaria aplicable. 

41

INTERMEDIACIÓN DIGITAL 

• En caso se requiera la intervención de los servicios de 

intermediación digital la organización debe establecer los 

procedimientos i necesarios siguiendo i las disposicionesi i 

establecidas en las normas legales y reglamentarias 

aplicables y los lineamientos de las normas NTP ISO/IEC 

17799 e ISO/IEC TR 14516. 

• La organización debe mantener el registro y vigencia de 

los certificados de las entidades o personas participantes, 

considerando el caso que los documentos, información o 

datos sean transferidos entre terceros neutrales 

42

ALMACENAMIENTO 

• La organización ió debe disponer el 

almacenamiento de las microformas 

en las condiciones de seguridad y 

conservación certificadas conforme 

a lo establecido en la legislación y 

reglamentación aplicable. 

43

ALMACENAMIENTO 

• La organización debe describir en un manual las 

características del sistema de almacenamiento empleado 

incluyendo: 

• La organización y funciones de los responsables de 

administrar el sistema de almacenamiento, 

• Las especificaciones técnicas de los materiales de 

construcción, que deben cumplir con minimizar los 

riesgos de las posibles amenazas indicadas en la NTP 

ISO/IEC 17799, párrafo 7.2.1.d), 

• Las especificaciones del sistema, los elementos de 

control y las medidas de seguridad aprobado por la 

organización para el control del acceso de personas, 

para detectar riesgos de incendio, inundación, 

• Las especificaciones técnicas de los equipos de control 

del medio ambiente, 

• El certificado de calibración de los medios de medición 

de temperatura y humedad relativa, 

• Los registros empleados para mantener el ingreso y 

retiro de las microformas y las condiciones ambientales 

de temperatura y humedad relativa 

44

TRANSMISIÓN TELEMÁTICA 

• Cuando el sistema de elaboración de 

microformas incluya entre sus procesos la 

transmisión electrónica a distancia entre 

estaciones o líneas de producción tanto 

en redes privadas o públicas, los procesos 

deben estar protegidos con medidas de 

seguridad que aseguren: 

• La confidencialidad, integridad y 

disponibilidad de los archivos, 

• La no modificación de los formatos 

originales, 

• La transmisión libre de 

interceptaciones entre la estación 

emisora y la estación receptora 

• Debe asegurar las transmisiones en redes 

LAN, MAN y WAN 

45

ELIMINACIÓN DE ORIGINALES 

• La organización debe establecer un procedimiento de 

retiro del archivo físico y eliminación de documentos 

originales, asegurando la intervención de los 

representantes de la autoridad nacional en materia de 

archivos y demás representantes que la legislación 

aplicable exija de acuerdo al valor del documento original. 

• Se incluye el procedimiento de eliminación de archivos 

electrónicos de la memoria de servidores o discos duros 

que dieron origen a las imágenes correspondientes a los 

documentos originales, hayan sido estos originales en 

papel o digitalizados. 

46

7 FORMATOS DEL SISTEMA 

• La organización debe establecer los formatos requeridos para asegurar el 

cumplimiento de los procedimientos propios de su sistema de elaboración 

y almacenamiento de microformas. 

• Los formatos deben ser impresos o documentos electrónicos en formatos 

normalizados 

47

8 REGISTROS Y ARCHIVOS 

• Los registros del sistema de producción de MFs deben: 

Ser definidos, identificados y actualizados para asegurar la efectividad de los 

controles acorde con los requisitos de idoneidad técnica. 

En cada línea de producción, en la(s) entidad(es) de intermediación digital y/o 

lugar(es) de almacenamiento de MFs deben existir registros de: 

• Las MFs producidas/almacenadas 

• Los funcionarios de la fe pública 

48

9 EVALUACIÓN DEL SISTEMA 

• Las organizaciones propietarias y las empresas de servicios 

especializadas deben: 

Evaluar la efectividad del sistema por lo menos una vez al año. 

Establecer el procedimiento de evaluación 

Evaluar la tecnología de la información y deben ser efectuados por 

profesionales o auditores informáticos. 

Registrar el resultado de la evaluación. 

Evaluar la efectividad del sistema en caso cambios en las tecnologías y 

la normatividad legal y técnica aplicable. 

49

CONCLUSIONES 

• La NTP 392.030-2:2005, establece requisitos de idoneidad técnica, 

calidad y conservación de las MFs, que contienen documentos, 

información y datos resultantes del sistema de gestión documental 

particular de cada organización. 

• El cumplimiento de las especificaciones contenidas en la NTP y las 

normas de referencia, aseguran el logro de niveles de calidad, 

confiabilidad y seguridad controlables permitiendo la determinación, 

mantenimiento y mejora de la efectividad del sistema de producción de 

MFs. 

50

Norma ISO 17799 Seguridad de la Información 

1. Política de Seguridad 

• 2. Organización de Seguridad 

• 3. Clasificación y Control de Activos 

• 4. Aspectos humanos de la seguridad 

• 5. Seguridad Física y Ambiental 

• 6. Gestión de Comunicaciones y Operaciones 

• 7. Sistema de Control de Accesos 

• 8. Desarrollo y Mantenimiento de Sistemas 

• 9. Plan de Continuidad del Negocio 

• 10.Cumplimiento 

51

Lineamientos de la NTP ISO /IEC 17799 

Dominio 1: POLÍTICA DE SEGURIDAD 

La alta dirección o la gerencia general debe: 

aprobar y publicar la política de seguridad 

comunicarlo a todos los empleados 

52



Debe incluir: 

objetivos y alcance generales de seguridad 

d 

apoyo expreso de la dirección 

breve explicación de los valores de seguridad de la 

organización 

definición de las responsabilidades generales y 

específicas en materia de gestión de la seguridad 

de la información 

referencias a documentos que puedan respaldar la 

política 

53



Protección Física 

Autorización 

Confiabilidad 

Propiedad 

Confidencialidad 

dad 

Política de Seguridad 

Disponibilidad 

Legalidad 

Eficiencia 

Integridad 

Exactitud 

Eficacia 

54


Dominio 2: ORGANIZACION DE LA SEGURIDAD 

Foros de Gestión 

aprobar la política de seguridad de la 

información, 

asignar funciones de seguridad 

actualizarse ante cambios 

coordinar la implementación 

definir metodologías y procesos específicos de 

seguridad 

monitorear incidentes de seguridad 

lidera el proceso de concientización de usuarios 

55



Seguridad frente al acceso por parte de terceros 

 

El acceso por parte de terceros debe ser 

controlado. 

 

Debe llevarse a cabo una evaluación de 

riesgos: determinar las incidencias en la 

seguridad y los requerimientos de control. 

Los controles deben ser acordados y 

definidos en un contrato con la tercera parte. 

56



Tipos de terceros 

personal de mantenimiento y soporte de hardware y 

software; 

limpieza, "catering", guardia de seguridad y otros 

servicios de soporte tercerizados; 

pasantías de estudiantes y otras designaciones 

contingentes de corto plazo; 

consultores. 

57


Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS 

Inventarios de Información e Instalaciones 

Designar un propietario para cada uno de ellos 

Clasificación de la información 

58


Dominio 4: SEGURIDAD DEL PERSONAL 

Seguridad en la definición de puestos de trabajo y 

la asignación de recursos 

Las responsabilidades en materia de seguridad deben 

ser: 

explicitadas en la etapa de reclutamiento, 

incluidas en los contratos y 

monitoreadas durante el desempeño como 

empleado. 

59



Capacitación del usuario 

Garantizar que los usuarios están al corriente de las 

amenazas e incumbencias en materia de seguridad 

de la información, y están capacitados para 

respaldar la política de seguridad de la organización 

en el transcurso de sus tareas normales. 

60



Respuesta a incidentes y anomalías en 

materia de seguridad 

Minimizar el daño producido por incidentes 

y anomalías en materia de seguridad, y 

monitorear dichos incidentes y aprender de 

los mismos. 

61



Proceso disciplinario 

Debe existir un proceso disciplinario formal para 

los empleados que violen las políticas y 

procedimientos de seguridad de la organización. 

62

Lineamientos de la NTP ISO/IEC 17799 

Dominio 5: SEGURIDAD FISICA Y AMBIENTAL 

Impedir accesos no autorizados, daños e 

interferencia a: 

 

 

 

sedes 

instalaciones 

información 

63


Dominio 5: SEGURIDAD FISICA Y AMBIENTAL 

 

 

Perímetro de seguridad física 

Controles de acceso físico 

Seguridad del equipamiento 

Suministros de energía 

Cableado de energía eléctrica y de 

comunicaciones 

Mantenimiento de equipos 

Seguridad del equipamiento fuera del ámbito de 

la organización 

Políticas de escritorios y pantallas limpias 

Retiro de bienes 

64


Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES 

Garantizar el funcionamiento correcto y seguro de las 

instalaciones de procesamiento de la información. 

Se deben establecer las responsabilidades y 

procedimientos para la gestión y operación de 

todas las instalaciones de procesamiento de 

información. 

Se debe implementar la separación de funciones 

cuando corresponda. 

Se deben documentar los procedimientos de 

operación 

65



Separación entre instalaciones de desarrollo e 

instalaciones operativas 

Deben separarse las instalaciones de: 

 

 

 

Desarrollo 

Prueba 

Operaciones 

Se deben definir y documentar las reglas para la 

transferencia de software desde el estado de 

desarrollo hacia el estado operativo. 

66



Procesos de: 

 

 

 

 

 

 

Planificación y aprobación de sistemas 

Protección contra software malicioso 

Mantenimiento back up 

Administración de la red 

Administración y seguridad de los medios 

de almacenamiento 

Acuerdos de intercambio de información y 

software 

67


Dominio 7: SISTEMA DE CONTROL DE ACCESOS 

Requerimientos de negocio para el control de 

accesos 

Coherencia entre las políticas de control de 

acceso y de clasificación de información de los 

diferentes sistemas y redes 

Administración de accesos de usuarios 

Se deben implementar procedimientos formales 

para controlar la asignación de derechos de 

acceso a los sistemas y servicios de 

información. 

68


Dominio 7: SISTEMA DE CONTROL DE ACCESOS 

 

Administración de accesos de usuarios 

 

Administración i ió de privilegios 

il i 

Responsabilidades del usuario 

Controldeaccesoalared 

 

Camino forzado 

 

 

Autenticación de usuarios para conexiones 

externas 

Monitoreo del acceso y uso de los sistemas 

69


Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS 

Requerimientos de seguridad de los 

sistemas. 

Asegurar que la seguridad es incorporada a 

los sistemas de información. 

Los requerimientos de seguridad deben 

ser identificados y aprobados antes del 

desarrollo de los sistemas de 

información. 

70


Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS 

Seguridad en los sistemas de aplicación 

Se deben diseñar en los sistemas de aplicación, 

incluyendo las aplicaciones realizadas por el 

usuario, controles apropiados y pistas de auditoria 

o registros de actividad, incluyendo: 

la validación de datos de entrada, 

procesamiento interno, y 

salidas. 

71


Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO 

Contrarrestar las interrupciones de las actividades 

comerciales y proteger los procesos críticos de los 

negocios de los efectos de fallas significativas o 

desastres. 

Se debe implementar un proceso de 

administración de la continuidad de los 

negocios 

Se deben analizar las consecuencias de 

desastres, fallas de seguridad e interrupciones 

del servicio. 

72



Se deben desarrollar e implementar planes de 

contingencia para garantizar que los procesos 

de negocios puedan restablecerse dentro de 

los plazos requeridos. 

Los planes deben mantenerse en vigencia y 

transformarse en una parte integral del resto 

de los procesos de administración y gestión. 

La administración de la continuidad de los 

negocios debe incluir controles destinados a 

identificar y reducir riesgos, atenuar las 

consecuencias de los incidentes perjudiciales y 

asegurar la reanudación oportuna de las 

operaciones indispensables. 

73



Principales etapas 

Clasificación de los distintos escenarios de 

desastres 

Evaluación de impacto en el negocio 

Desarrollo de una estrategia de recupero 

Implementación de la estrategia 

Documentación del plan de recupero 

Prueba y mantenimiento del plan 

74


Dominio 10 : CUMPLIMIENTO 

Impedir infracciones y violaciones de las leyes 

del derecho civil y penal; de las obligaciones 

establecidas por leyes, estatutos, normas, 

reglamentos o contratos; y de los requisitos de 

seguridad. 

 

Garantizar la conformidad d de los sistemas con 

las políticas y estándares de seguridad de la 

organización. 

Maximizar la efectividad y minimizar las 

interferencias de los procesos de auditoría de 

sistemas. 

75

Recolección de evidencia 



La evidencia presentada debe cumplir con las pautas establecidas en la 

ley pertinente o en las normas específicas del tribunal en el cual se 

desarrollará el caso: 

validez de la evidencia: si puede o no utilizarse la misma en el 

tribunal; 

peso de la evidencia: la calidad y totalidad de la misma; 

adecuada evidencia de que los controles han funcionado en forma 

correcta y consistente durante todo el período en que la evidencia a 

recuperar fue almacenada y procesada por el sistema. 

Para lograr la validez de la evidencia, las organizaciones deben 

garantizar que sus sistemas de información cumplan con los estándares 

o códigos de práctica relativos a la producción de evidencia válida. 

76



Revisiones de la política de seguridad y la 

compatibilidad técnica 

Garantizar la compatibilidad de los sistemas con 

las políticas y estándares (normas) de seguridad 

de la organización. 

ió 

77



Auditoriadesistemas 

Optimizar la eficacia del proceso de auditoria de 

sistemas y minimizar los problemas que pudiera 

ocasionar el mismo, o los obstáculos que pudieran 

afectarlo. 

Deben existir controles que protejan los sistemas de 

operaciones y las herramientas de auditoria en el 

transcurso de las auditorias de sistemas. 

78



RM 216-2006-MINCETRUR Aprueban documento “Lineamientos 

General de de Política de Seguridad de la información del Ministerio 

de Comercio Exterior y Turismo” – 08-08-2006 

RM 575-2006/MINSA Aprueban “Directiva Administrativa de Gestión de 

la Seguridad de la Información del Ministerio de Salud” -23-06-2006 

RM 520-2006/MINSA Aprueban Documento Técnico “Lineamientos de 

de Política de seguridad de la Información del Ministerio de Salud 23 

06-2006 

RM 224-2004-PCM Aprueban uso obligatorio de la Norma Técnica 

Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información. 

Código de buenas prácticas para la gestión de la seguridad de la 

información 1º 26-07-2004 

RM 310-2004-PCM Autorizan ejecución de la “Primera Encuesta de 

Seguridad de la Información en la Administración Pública” 

RJ 347-2001 INEI Aprueban Directiva “Normas y procedimientos 

Técnicos para garantizar la Seguridad de la Información publicadas 

por las entidades de la Administración Pública” 08-11-2002 

RJ 236-2001-INI Crean el Centro de Consulta e Investigación sobre 

Seguridad de la Información –CCISI- 21-09-2001 

Resolución Nª 030-2008 /CRT-INDECOPI Aprueban Guías de 

acreditación de Entidades de Certificación Digital, Entidades de 

Registro o Verificación de datos y Entidades de Prestación de 

Servicios de Valor Añadido, así como la Guía para la Acreditación del 

Software de Firmas Digitales 19-03-2008 

Legislación en 

de Política de seguridad de la Información del Ministerio de Salud 23- 

materia de 

Seguridad de la 

Información en 

el Perú 

79

GRACIAS POR SU ATENCIÓN 

Miguel Véliz Granados 

Secretario Técnico del CTNEMD 

Líder de Certificación de la Idoneidad Técnica de 

los Sistemas de Producción y Almacenamiento de 

Microformas 

mvelizg@yahoo.com.mx 

80

Las microformas en la gestiÃ³n del documento electrÃ³nico - Ongei

¡Convierta sus PDFs en revista en línea y aumente sus ingresos!

Las microformas en la gestiÃ³n del documento electrÃ³nico - Ongei

¡Convierta sus PDFs en revista en línea y aumente sus ingresos!

Delete template?

Save as template ?