salvador vega casillas, secretario de la función pública, con … · 2018-07-05 · acuerdo por...

ACUERDO POR EL QUE SE EXPIDE EL MANUAL ADMINISTRATIVO DE APLICACIÓN GENERAL

EN MATERIA DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES Y DE SEGURIDAD DE LA INFORMACIÓN

Al margen un sello con el Escudo Nacional, que dice:

Estados Unidos Mexicanos.- Secretar ía de la Función Pública.

SALVADOR VEGA CASILLAS , Secretario de la Función Pública, con fundamento en lo d ispuesto por el ar tículo 37, fracciones VI y XXVI de la Ley Orgánica de la Administración Pública Federal; 1 y 6, fracciones I y XXIV del Reglamento

Interior de la Secretaría de la Función Pública, y


EN MATERIA DE TECNOLOGÍAS DE LA INFORM ACIÓN Y COMUNICACIONES Y DE SEGURIDAD DE LA INFORMACIÓN1

CONSIDERANDO

Que el Plan Nacional de Desarrollo 2007-2012, establece como estrategia para lograr el objetivo 10 del Eje Rector “Estado de Derecho y Seguridad”, la ampliación de los programas de simplificación administrativa y mejora regulatoria en toda la administración pública, procurando que los cambios tengan un impacto directo en el combate a la discrecionalidad, la arbitrariedad o la corrupción;

Que en ese sentido, el Programa Especial de Mejora de la Gestión en la Administración Pública Federal 2008-2012, en su estrategia 2.3 “Simplificar la regulación que rige a las instituciones y su interacción con la sociedad”, establece como una línea de acción, mejorar el marco normativo de las instituciones a través del proceso de calidad regulatoria para lograr mayor agilidad, certidumbre y menores costos de operación para la institución y los par ticulares;

Que asimismo el referido Programa, reconoce como postulado para mejorar la gestión de las instituc iones, reformar el marco regulatorio de aplicación obligatoria a toda la Administración Pública Federal, mediante las estrategias tendientes a simplificar la regulación que rige a las instituciones y su interacción con la sociedad, así como a mejorar las políticas, normas y disposiciones de carácter general que emiten las instancias globalizadoras o instituciones coordinadoras de sector;

Que el Ejecutivo Federal, en su mensaje dirigido a la Nación con motivo de la presentación al H. Congreso de la Unión del Tercer Informe de Gobierno, se comprometió a llevar a cabo un proceso de desregulación a fondo de la normatividad de la Administración Pública Federal, con el objetivo de reducir y simplificar al máximo las disposiciones administrativas, eliminar toda aquella regulación, requisitos, duplicidad de información y trámites innecesarios que permitan consolidar un régimen de certidumbre jur ídica, en donde la plena eficacia de las normas aplicables a particulares y a gobernantes, les garantice el ejer cicio p leno de sus derechos y libertades. Este proceso de desregulación implica dejar sin efectos una de cada dos disposiciones;

Que la Secretar ía a mi cargo cuenta con atribuciones para organizar y coordinar el desarrollo administrativo integral de las dependencias y entidades de la Administración Pública Federal, a fin de que los recursos humanos, patrimoniales y los procedimientos técnicos de la misma, sean aprovechados y aplicados con criterios de eficiencia, buscando en todo momento la eficacia, descentralización, desconcentración y simplificación administrativa, así como para realizar o encomendar las investigaciones, estudios y análisis que al efecto se requieran, y dictar las disposiciones administrativas correspondientes para las propias dependencias y entidade s;

Que en este sentido, el Ejecutivo Federal instruyó a esta Secretar ía para emitir, por sí o con la par ticipación de las dependencias competentes, disposiciones, políticas o estrategias, acciones o criterios de carácter general y procedimientos uniformes para la Administración Pública Federal y, en lo conducente, para la Procuraduría General de la República en materia de auditoría; adquisiciones, arrendamientos y servicios del sector público; control interno; obra pública y servicios relacionados con las mismas; recursos humanos; recursos materiales; recursos financieros; tecnologías de la información y comunicaciones, y de transparencia y rendición de cuentas, y que las dependencias y entidades así como la citada Procuradur ía procedan a dejar sin efectos todas aquellas disposiciones, lineamientos, oficios circulares, procedimientos y demás instrumentos normativos emitidos al interior de sus instituciones, en esas materias;

1 Publicado en el Diar io Ofic ial de la Federación el 13 de julio de 2010 y reformado mediante Acuer dos del 6 de septiembre y 29 de noviembre de 2011.

ACUERDO POR EL QUE SE EXPIDE EL ADMINISTRATIVO DE APLICACIÓN GENERAL EN MATERIA

DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES Y DE SEGURIDAD DE LA

INFORMACIÓN

Que en este contexto, se revisó el marco jur ídico aplicable en materia de tecnologías de la información y comunicaciones, para identificar aquellas disposiciones o procedimientos, tanto de carácter general como interno, que en la actualidad no garantizan procesos, trámites y servicios eficaces;

Que el presente Acuerdo tiene por objeto establecer las disposiciones administrativas en materia de tecnologías de la información y comunicaciones que se deberán observar en el ámbito de la Administración Pública Federal y, en lo conducente, en la Procuraduría General de la República, como parte de la estrategia de gobierno digital orientada a coordinar las políticas y programas en esa materia, para homologar y armonizar reglas y acciones definidas y contar con procesos uniformes para el aprovechamiento y aplicación eficiente de las tecnologías de la información y comunicaciones, lo que redundará en el mejoramiento de las políticas y normas de aplicación general y, en consecuencia, en el incremento de la efectividad de las instituciones públicas, he tenido a bien emitir el siguiente

ACUERDO

CAPITULO I

Objeto, Ámbito de Aplicación y Definiciones

ARTÍCULO PRIMERO.- El presente Acuerdo tiene por objeto establecer las disposiciones administrativas en materia de

tecnologías de la información y comunicaciones y de seguridad de la información, que deberán ob servar las

dependencias y entidades de la Administración Pública Federal y la Procuraduría General de la República, así como

expedir el Manual Administrativo de Aplicación General en Mater ia de Tecnologías de la Información y Comunicaciones

y de Seguridad de la Información, que en términos del Anexo Único de este Acuerdo, forma parte integrante del mismo.

La interoperabilidad entre las dependencias, las entidades y la Procuradur ía General de la República, se realizará

conforme a las bases, pr incipios y políticas previstos en el Esquema de interoperabilidad y de datos abier tos de la

Administración Pública Federal, que emita la Secretar ía de la Función Pública. 2

ARTÍCULO SEGUNDO.- Para los efectos del presente Acuerdo, se entiende por:

I . Centro: el Centro de Investigación y Seguridad Nacional;

II . Dependencias: las secretarías de Estado, incluyendo a sus órganos administrativos desconcentrados y la Consejería Jur ídica del Ejecutivo Federal, así como las unidades administrativas de la Presidencia de la Repúbl ica, conforme a lo dispuesto en la Ley Orgánica de la Administración Pública Federal. La Procuradur ía General de la República será considerada con este carácter en lo que el presente Acuerdo y el Manual Administrativo de Aplicación General en Materia de Te cnologías de la Información y Comunicaciones y de Seguridad de la Información, le resulten aplicables conforme a lo previsto en su Ley Orgánica;

III . Diseminación: la transmisión o entrega de información considerada de segur idad nacional, a quienes cumplan con los requisitos para conocer esa información, de acuerdo con el nivel de acceso autorizado;

IV. Entidades: los organismos públicos descentralizados, empresas de participación estatal mayoritaria y fideicomisos públicos que en términos de la Ley Orgánica de la Administración Pública Federal y de la Ley Federal de las Entidades Paraestatales, sean considerados entidades de la Administración Pública Federal Paraestatal;

V. Infraestructura de TIC: el hardware, software, redes e instalaciones requeridas para desarrollar, probar, proveer, monitorear, controlar y sopor tar los servicios de TIC;

VI. Instancias de seguridad nacional: las Instituciones o autoridades que en función de sus atribuciones par ticipen directa o indirectamente en la seguridad nacional, con forme a lo

2 Reformado mediante Acuerdos publicados en el Diar io Ofic ial de la Federación el 6 de septiembr e y el 29 de noviembr e de 2011.



dispuesto en la fracción II del ar tículo 6 de la Ley de Seguridad Nacional, incluidas aquéllas que tengan reconocido dicho carácter por Acuerdo tomado en el seno del Consejo de Seguridad Nacional;

VII . Manual: el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información;

VIII . Seguridad de la información: la capacidad de preservar la confidencialidad, integridad y disponibilidad de la información, así como la autentic idad, confiabilidad, trazabilidad y no repudio de la misma;

IX. Seguridad nacional: las acciones destinadas de manera inmediata y directa a mantener la integridad, estabilidad y permanencia del Estado Mexicano, en términos de lo dispuesto en el artículo 3 de la Ley de Seguridad Nacional;

X. TIC: las Tecnologías de la Información y Comunicaciones, y

XI. Unidad: la Unidad de Gobierno D igita l de la Secretar ía de la Función Pública. 3

CAPITULO II

De los Responsables de su Aplicación

ARTÍCULO TERCERO.- Los titu lares de las dependencias y entidades, en el ámbito de sus respectivas atribuciones,

realizarán las acciones que estimen necesarias para que se cumpla de manera estricta lo dispuesto en el presente

Acuerdo.

ARTÍCULO CUARTO.- Los titulares de las dependencias y entidades, en el ámbito de sus respectivas atribuciones,

instruirán lo conducente para que se dejen sin efecto los acuerdos, normas, lineamientos, oficios circulares y demás

disposiciones o procedimientos de carácter interno que se hubieren emitido en materia de TIC y de seguridad de la

información que no deriven de facultades expresamente previstas en leyes y reglamentos. 4

ARTÍCULO QUINTO.- La aplicación de las disposiciones contenidas en el presente Acuerdo y el Manual, corresponde a las áreas o unidades administrativas responsables de las TIC en las dependencias y entidades, así como a los servidores públicos cuyas atr ibuciones o funciones se vinculen con las TIC y con la seguridad de la información. 5

CAPITULO III

Procesos

ARTÍCULO SEXTO.- Con el propósito de armonizar y homologar las actividades que en materia de TIC y de seguridad

de la información realizan las dependencias y entidades, en el Manual se identifican los procesos correspondientes que

se regirán por lo d ispuesto en las disposiciones jur íd icas aplicables y el propio Manual.

Cuando las dependencias y entidades requieran contratar servicios de TIC, cuyo procedimiento para su ejecución

esté previsto en uno o más procesos del Manual, deberán señalar en la convocatoria a la licitación pública, invitación a

cuando menos tres personas o solicitud de cotización, según corresponda, de acuerdo con el procedimiento de

contratación de que se trate, las actividades del proceso o procesos del Manual que será necesario observar en la

prestación del servicio. 6

CAPÍTULO III BIS

Disposiciones específicas para la seguridad de la información considerada de seguridad nacional

ARTÍCULO SEXTO BIS .- Las Instancias de seguridad nacional deberán observar las disposiciones específicas siguientes:

3 Reformado mediante Acuerdo publicado en el Diar io Ofic ial de la Feder ación el 29 de noviembr e de 2011. 4 Reformado mediante Acuerdo publicado en el Diar io Ofic ial de la Feder ación el 29 de noviembr e de 2011 5 Reformado mediante Acuer do publicado en el Diario Ofic ial de la Feder ación el 29 de noviembr e de 2011 6 Reformado mediante Acuerdos publicados en el Diar io Ofic ial de la Federación el 6 de septiembr e y el 29 de noviembr e de 2011.



INFORMACIÓN

I . La información relacionada con la seguridad nacional, generada o custodiada, que pretendan diseminar, deberá identificarse previamente, mediante la asignación de alguno de los niveles de diseminación que a continuación se indican:

a) "AAA": se asignará este nivel cuando se trate de información requerida para el proceso de decisiones políticas fundamentales, esto es, para la adopción de decisiones sobre riesgos y amenazas a la seguridad nacional, por par te del Presidente de la República, previa consideración del Consejo de Seguridad Nacional, cuya revelación no autor izada pueda dañar la integridad, estabilidad o permanencia del Estado mexicano;

b) “AA”: este nivel se asignará a la información resultante del ejercicio de atribuciones sustantivas, cuya revelación no autorizada pueda actualizar o potenciar un riesgo o amenaza a la seguridad nacional en términos de la Ley de la materia, o b ien, comprometer su operación, las condiciones de seguridad de las instalaciones estratégicas o la integridad física de su personal, y

c) "A": se asignará este nivel a aquella información que der ive del cumplimiento de las disposiciones jurídicas en materia de ejercicio del gasto, transparencia y rendición de cuentas, cuya revelación no autorizada pueda comprometer su operación, las condiciones de segur idad de las instalaciones estratégicas o la integr idad física de su personal;

II . Asegurarse de que el destinatario de la información que se pretende diseminar tenga la necesidad de conocer de la misma, por ser el destinatario expreso de la información con motivo de las facultades conferidas por virtud de su empleo, cargo o comisión, relación contractual o de cualquier otra naturaleza, en términos de la normativa aplicable y de acuerdo con el n ivel de diseminación que le corresponda, en razón de su jerarquía o nivel jerárquico, o b ien conforme al n ivel de privilegio asignado;

III . Al diseminar la información identificada conforme a los niveles señalados en la fracción I, deberán asegurarse que aquélla que se contenga en medios magnéticos, ópticos o electrónicos, cuente al menos, con las medidas de protección siguientes:

a) Se incluya una carátula al inicio del documento, con la leyenda relativa al nivel de diseminación asignado, así como el nombre y cargo o código de seguridad del destinatario.

La leyenda a que se refiere el párrafo anterior se contendrá en cada una de las par tes que integren el documento electrónico, en formato de fondo de agua, siempre que el documento lo permita, y en el centro del mismo;

b) El documento electrónico deberá diseminarse en un formato de archivo que no permita su edición o manipulación y protegido de origen contra la impresión o copiado no autorizados ni parcial o totalmente de su contenido;

c) Se utilizarán mecanismos de cifrado de llave pública y privada, canales cifrados de comunicación y, cuando corresponda, de firma electrónica avanzada, que permitan la d iseminación de la información únicamente al destinatario autorizado al que esté dirig ida;

d) Verificar ante el Centro el registro de los destinatarios de información de seguridad nacional, y

e) Comunicar a los destinatarios sobre la responsabilidad que éstos adquieren al recibir la información a que se refiere este artículo, por lo que estarán obligados a:

i) Acusar de recibido al remitente, utilizando los mismos mecanismos de cifrado de llave pública y privada, canales cifrados de comunicación y, cuando corresponda, de firma electrónica avanzada. Cuando no sea posible acusar de recibo al remitente, los mecanismos utilizados deberán generar registros de env ío-recepción de la información diseminada;

ii) Resguardar la información que reciban en repositorios de información cifrados y controlados con mecanismos de autenticación para usuarios autorizados y, en los cuales, se lleve un registro sobre los accesos a la información contenida en los mismos, y

iii) Abstenerse de efectuar reproducciones totales o parciales de los documentos electrónicos, sin la previa autorización de la Instancia de seguridad nacional remitente, y

f) Las demás medidas de protección que, de acuerdo a los r iesgos y amenazas identificados, el Centro considere necesario adoptar;



IV. Asegurarse que la información identificada conforme a los niveles señalados en la fracción I, contenida en medios impresos que provengan de Infraestructura de TIC, cuente para efectos de su diseminación, como mínimo, con las medidas de protección señaladas en los incisos a), d) y f) de la fracción anterior, y con las siguientes:

a) Contenerse en sobre cerrado y sellado, cuyo trasladado será a cargo de servidores públicos de la Instancia de que se trate, para su entrega de manera personal al destinatario. En la medida de lo posible, en cada traslado se remitirá solamente un documento o pieza de información, y

b) Comunicar a los destinatarios sobre la responsabilidad que éstos adquieren al recibir la información a que se refiere este artículo, por lo que estarán obligados a:

i) Firmar el acuse de recibo correspondiente, haciendo constar hora y fecha de recepción, así como la integridad del sobre recibido, registrando al efecto, que no existan indicios de violación o cualquier otra irregularidad;

ii) Mantener resguardada la información en área cerrada y dentro de mobiliario provisto de cerradura, caja de seguridad o estructura de seguridad equivalente, y

iii) Abstenerse de efectuar reproducciones totales o parciales de la información recibida, sin la previa autorización de la Instancia de seguridad nacional remitente, y

V. Realizar las acciones necesarias para contener la circulación de información diseminada, que sea revelada sin autorización, con independencia de que se promuevan las responsabilidades que, en su caso, procedan.

La diseminación al interior de las Instancias de seguridad nacional deberá realizarse mediante controles de seguridad consistentes con los previstos en este ar tículo, que garanticen la seguridad de la información.

Las dependencias y entidades que, aún sin tener e l carácter de Instancia de seguridad nacional, generen o sean destinatarias de información considerada de seguridad nacional, deberán observar lo establecido en este artículo en los casos en que compar tan o transmitan dicha información.

Lo dispuesto en este ar tículo se aplicará sin perjuicio de lo establecido en la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental y demás disposiciones aplicables.7

ARTÍCULO SEXTO TER.- Las dependencias y entidades deberán comunicar al Centro, los datos de los servidores

públicos que designen como Responsables de la seguridad de la información; así como de los enlaces

responsables de mantener comunicación con los Equipos de respuesta a incidentes de seguridad en TIC, para

efectos de su registro.

Lo anterior será aplicable para los órganos administrativos desconcentrados, salvo para aquéllos que el Centro

exceptúe.

Asimismo, se deberán comunicar al Centro los nombres de las personas autorizadas para conocer información

de seguridad nacional, en razón de su empleo, cargo o comisión, relación contractual o de cualquier otra

naturaleza, así como el nivel de diseminación a que se refiere la fracción I del artículo Sex to Bis, acompañada de

las promesas de confidencialidad previstas en el artículo 53 de la Ley de Seguridad Nacional, para efectos de su

registro y consulta por par te de las demás dependencias o entidades.

Cualquier modificación a la in formación a que se refieren los párrafos anteriores deberá comunicarse al Centro

de inmediato.8

CAPITULO IV

Interpretación, Seguimiento y Vigilancia

ARTÍCULO SÉPTIMO.- La interpretación del presente Acuerdo y del Manual, para efectos administrativos, así como la resolución de los casos no previstos en el mismo, corresponderá:

7 Adic ionado mediante Acuerdo publicado en el Diar io Ofic ial de la Feder ación el 29 de noviembr e de 2011. Reformado mediante Acuerdo publicado en el Diar io Ofic ial de la Federación el 22 de agosto de 2012. 8 Reformado mediante Acuerdo publicado en el Diar io Ofic ial de la Feder ación el 22 de agosto de 2012.



INFORMACIÓN

I . En materia de TIC y de seguridad de la información, a la Secretar ía de la Función Pública, por conducto de la Unidad.

II . En materia de segur idad de la información considerada de seguridad nacional, a la Secretar ía de Gobernación, a través del Centro. 9

ARTÍCULO OCTAVO.- Las disposiciones y los procesos contenidos en el Manual a que se refiere el presente Acuerdo

deberán revisarse por las autoridades a que se refiere el ar tículo anterior, cuando menos una vez al año para

efectos, en su caso, de su actualización. 10

ARTÍCULO NOVENO.- Los órganos internos de control de las dependencias y entidades, vigilarán el cumplimiento de lo

dispuesto por el presente Acuerdo.

Asimismo, los refer idos órganos internos de control deberán verificar que las dependencias y entidades lleven a cabo

las acciones que procedan con el propósito de que queden sin efectos todas aquellas disposiciones que contravengan o

dupliquen lo dispuesto en el Manual, que no se encuentren contenidas o que su emisión no se encuentre prevista en

leyes y reglamentos.

TRANSITORIOS

Primero.- El presente Acuerdo entrará en vigor a los 20 días hábiles siguientes al de su publicación en el Diario

Oficial de la Federación.

Las dependencias y entidades de la Administración Pública Federal y la Procuraduría General de la República

contarán con un plazo de 20 días hábiles a par tir de la fecha de publicación en el Diario Oficial de la Federación del

presente ordenamiento, para efectos de lo previsto en los ar tículos Cuarto y Noveno, segundo párrafo del presente

Acuerdo.

Segundo.- Todos aquellos procesos, trámites, autorizaciones y actos in iciados con base en las disposiciones y

procedimientos que quedan sin efectos deberán concluirse conforme a lo previsto en los mismos.

Tercero.- Las dependencias y entidades que hayan realizado acciones de mejora funcional y sistematización integral

de los procesos en materia de tecnologías de la información y comunicaciones podrán operar con sus procedimientos

optimizados, siempre que acrediten ante la Unidad de Gobierno D igita l de la Secretar ía de la Función Pública, que los

mismos son compatibles con los establecidos en el Manual.

Cuarto.- El cumplimiento a lo establecido en el presente Acuerdo se realizará con los recursos humanos, materia les

y presupuestarios que tengan asignados las dependencias y entidades de la Administración Pública Federal y la

Procuraduría General de la República, por lo que no implicará la creación de estructuras ni la asignación de recursos

adicionales.

Quinto.- Para efectos de lo previsto en el ar tículo primero de este Acuerdo, las dependencias y entidades a más

tardar en la fecha de entrada en vigor del presente ordenamiento, presentarán ante la Unidad de Gobierno Digital, un

cronograma del inicio de aquellas actividades que en materia de tecnologías de la información y comunicaciones se

contemplan en los procesos establecidos en el Manual, para su aprobación y registro.

Sufragio Efectivo. No Reelección.

México, Distr ito Federal, a los siete días del mes de ju lio de dos mil diez.- El Secretario de la Función Pública,

Salvador Vega Casillas.- Rúbrica.

9 Reformado mediante Acuerdo publicado en el Diar io Ofic ial de la Feder ación el 29 de noviembr e de 2011. 10 Reformado mediante Acuerdos publicados en el Diar io Ofic ial de la Federación el 6 de septiembr e y el 29 de noviembr e de 2011.



TRANSITORIO

UNICO.- El presente Acuerdo entrará en vigor a los veinte días hábiles siguientes al de su publicación en el Diario

Oficial de la Federación.

Sufragio Efectivo. No Reelección.

México, Distrito Federal, a los treinta días del mes de agosto de dos mil once. - El Secretario de la Función

Pública, Salvador Vega Casillas.- Rúbrica

ANEXO UNO

MANUAL ADMINISTRTIVO DE APLICACION GENERAL EN MATERIA DE TECNOLOGIAS DE LA INFORMACION Y COMUNICACIONES

CONTENIDO

1 DEFINICIONES Y ACRONIMOS

2 OBJETIVOS

2.1 General

2.2 Específicos

3 AMBITO DE APLICACION

4 MARCO JURIDICO

5 PROCESOS EN MATERIA DE TIC Y DE SEGURIDAD DE LA INFORMACION

5.1 DR - DIRECCION

5.1.1 EMG - Establecimiento del modelo de gobierno de TIC

5.1.1.1 Objetivos del proceso

5.1.1.2 Descripción del proceso

5.1.1.2.1 Descripción de las actividades del proceso

5.1.1.2.2 Relación de productos

5.1.1.2.3 Relación de roles

5.1.1.3 Indicadores del proceso

5.1.1.4 Reglas del proceso

5.1.2 PE - Planeación estratégica de TIC








5.1.3 DDT - Determinación de la dirección tecnológica








5.2 CN - CONTROL



INFORMACIÓN

5.2.1 AE - Administración de la evaluación de TIC








5.2.2 ARTI - Administración de riesgos de TIC








5.3 PR - ADMINISTRACION DE PROYECTOS

5.3.1 APP - Administración del portafolio de proyectos de TIC








5.3.2 APTI - Administración de proyectos de TIC

5.3.2.1 Objetivo general del proceso







5.4 AP - ADMINISTRACION DE PROCESOS

5.4.1 OSGP - Operación del sistema de gestión y mejora de los procesos de la UTIC








5.5 AR - ADMINISTRACION DE RECURSOS

5.5.1 APT - Administración del presupuesto de TIC










5.5.2 APBS - Administración para las contrataciones de TIC








5.5.3 ADTI - Administración de proveedores de bienes y servicios de TIC








5.6 AS - ADMINISTRACION DE SERVICIOS

5.6.1 APS - Administración del portafolio de servicios de TIC








5.6.2 DSTI - Diseño de servicios de TIC








5.7 AD - ADMINISTRACION PARA EL DESARROLLO DE SOLUCIONES TECNOLOGICAS

5.7.1 ATC - Apoyo técnico para la contratación de soluciones tecnológicas de TIC



5.7.1.2.1 Descripción de las actividades de l proceso





5.7.2 DST - Desarrollo de soluciones tecnológicas de TIC





INFORMACIÓN






5.7.3 CST - Calidad de las soluciones tecnológicas de TIC








5.8 TE - TRANSICION Y ENTREGA

5.8.1 ACMB - Administración de cambios








5.8.2 LE - Liberación y entrega








5.8.3 THO - Transición y habilitación de la operación








5.8.4 ACNF - Administración de la configuración







5.9 OS - OPERACION DE SERVICIOS

5.9.1 OMS - Operación de la mesa de servicios










5.9.2 ANS - Administración de niveles de servicio







5.9.3 ASSI - Administración de la seguridad de los sistemas informáticos








5.10 AA - ADMINISTRACION DE ACTIVOS

5.10.1 ADT - Administración de dominios tecnológicos








5.10.2 ACNC - Administración del conocimiento







5.10.3 APC - Apoyo a la capacitación del personal de la UTIC








5.11 OP - OPERACIONES

5.11.1 AO - Administración de la operación



INFORMACIÓN








5.11.2 AAF - Administración de ambiente físico








5.11.3 MI - Mantenimiento de infraestructura








5.12 Documentación soporte a los procesos del presente Manual

1. DEFINICIONES Y ACRONIMOS

Para efectos de este Manual se entenderá por:

TERMINO DEFINICION

Activos de proceso: Los elementos de información que son par te de un proceso y que reflejan caracter ísticas específicas del mismo.

Activos de TIC: Las programas de cómputo, bienes informáticos, soluciones tecnológicas, sistemas o aplicativos, las bases de datos o archivos electrónicos y la información contenida en éstos.

Acuerdo de nivel de servicio SLA:

El acuerdo de nivel de servicio que se compromete con la Unidad administrativa solicitante, al entregar una solución tecnológica o servicio de TIC (Service Level Agreement por sus siglas en inglés).

Acuerdo de nivel operacional OLA:

El acuerdo de nivel operacional entre los responsables de los diversos componentes de la arquitectura tecnológica de un servicio de TIC, que se deben defin ir y cumplir para responder a los Acuerdos de nivel de servicio SLA comprometidos (Operacional Level Agreement por sus siglas en inglés).

Ambiente de trabajo: El conjunto de herramientas, utiler ías, programas, aplicaciones, información, facilidades y organización que un usuario tiene disponible para el desempeño de sus funciones de manera controlada, de acuerdo con los accesos y privilegios que tenga asignados por medio de una identificación única y una contraseña.

Análisis de riesgos: El uso sistemático de la información para identificar las fuentes de vulnerabilidades y amenazas a los activos de TIC, efectuar la evaluación de su magnitud o impacto y



estimar los recursos necesarios para eliminar las o mitigarlas.

Area técnica: La responsable en la Institución de elaborar las especificaciones técnicas que se deberán incluir en el procedimiento de contratación, de evaluar la propuesta técnica de las proposiciones y de responder en la junta de aclaraciones, las preguntas que sobre estos aspectos realicen los licitantes, en términos de las disposiciones jurídicas aplicables en materia de adquisiciones y arrendamiento de bienes muebles y servicios de cualquier naturaleza.

Centro de datos: El lugar físico en el que se ubican los equipos de TIC, desde donde se proveen los servicios de TIC.

Confidencialidad: La caracter ística o propiedad por la cual la informac ión sólo es revelada a individuos o procesos autorizados.

Cuadro de mando integral de la UTIC:

La herramienta mediante la cual se obtiene el grado de cumplimento de la planeación estratégica de TIC, representado por el valor de los indicadores definidos para los objetivos estratégicos que se pretenden alcanzar.

Declaraciones de aplicabilidad:

El documento que contiene los controles aplicados por el SGSI de la Institución como resultado del proceso ARTI- Administración de riesgos de TIC.

Directriz rectora: Documento estratégico en el que se establecen principios tecnológicos de alto n ivel.

Disponibilidad: La caracter ística de la información de permanecer accesible para su uso cuando así lo requieran individuos o procesos autorizados.

Documento de planeación del proyecto:

El documento que contiene la definición de un proyecto, el control de su avance, así como sus documentos de planeación subsidiarios y documentación complementaria.

Documentos de planeación subsidiarios:

Los documentos de planeación que se deben instrumentar cuando un proyecto es autorizado, los cuales se incorporan al Documento de planeación del proyecto.

Entregable: El producto adquirido, desarrollado o personalizado, con características cuantificables y medibles en términos de su valor, integralidad, funcionalidad y capacidades.

Evento: La alerta o notificación generada por un servicio de TIC, elemento de configuración o herramienta de monitoreo que a menudo conllevan al registro de incidentes.

Funcionalidad: Las características de un servicio de TIC que permiten que cubra las necesidades o requerimientos de un usuario.

Gestión de riesgos: La identificación, valoración, y ejecución de acciones para el control y minimización, de los riesgos de TIC que afecten a la información de la Ins titución.

Gobierno digital: Las políticas, acciones y criterios para el uso y aprovechamiento de las TIC, con la finalidad de mejorar la entrega de servicios al ciudadano; la interacción del gobierno con la industria; facilitar el acceso del ciudadano a la información de éste, así como hacer más eficiente la gestión gubernamental para un mejor gobierno y facilitar la interoperabilidad entre las instituciones.

Incidente: La interrupción no planificada de un servicio de TIC o reducción en la calidad del mis mo.

Iniciativas de TIC: La conceptualización o visualización temprana de una opor tunidad para ofrecer un servicio de TIC o una solución tecnológica en beneficio de la Institución, éstas se concretan por medio de la planeación y ejecución de uno o más Programas de proyectos, y de proyectos de TIC.

Infraestructura de TIC: El hardware, software, redes e instalaciones requeridas para desarrollar, probar, proveer, monitorear, controlar y sopor tar los servicios de TIC.

Institución: Las dependencias y entidades de la Administración Pública Federal, así como la Procuraduría General de la República.

Integridad: Mantener la exactitud y corrección de la información y sus métodos de proceso.

Interoperabilidad: La capacidad de organizaciones y sistemas, dispares y diversos, para interactuar con objetivos consensuados y comunes, con la finalidad de obtener beneficios mutuos, en donde la interacción implica que las Instituciones compar tan infraestructura, información y conocimiento mediante el intercambio de datos entre sus respectivos sistemas de TIC.

Mapa estratégico de la La representación visual que integra los Objetivos estratégicos de la UTIC e ilustra cómo



INFORMACIÓN

UTIC: interactúan las perspectivas de presupuesto, de usuarios, de procesos internos y de crecimiento o aprendizaje de los servidores públicos de la UTIC.

Marco rector de procesos en materia de TIC:

El conjunto de procesos tendientes a la homologación de la gestión interna de las UTIC, así como a eficientar la elaboración y entrega de servicios digita les al ciudadano y los mecanismos de medición del desempeño de los procesos.

Mesa de servicios: El punto de contacto único, en el cual se reciben las solicitudes de servicio de los usuarios de equipos y servicios de TIC en la Institución.

Objetivos estratégicos de TIC:

El conjunto de resultados que se prevé alcanzar y que se integran en el PETIC, los cuales describen el alcance de las acciones que serán llevadas a cabo por la UTIC.

Problema: La causa de uno o más incidentes, del cual se plantea una solución alterna en espera de una solución defin itiva.

Programa de capacidad: El documento de planeación que contiene la información sobre la capacidad de la infraestructura de TIC considerando los escenarios de necesidades futuras y los acuerdos de niveles de servicio establecidos.

Programa de contingencia:

El documento de planeación en el que se plantea la estrategia, el Recurso humano en la UTIC, los activos y las actividades requeridas, para recuperar por completo o parcialmente un servicio o proceso cr ítico, en caso de presentarse un desastre o la materia lización de un riesgo.

Programa de continuidad:

El documento de planeación que contiene los elementos y las acciones necesarios para asegurar que la operación de los servicios y procesos cr íticos de TIC de la Ins titución no se interrumpa.

Programa de disponibilidad:

El documento de planeación que contiene los elementos y acciones necesarios para que los componentes de la infraestructura de TIC estén operando y sean accesibles.

Programa de proyectos: La integración de uno o más proyectos de TIC que pueden ser administrados en su conjunto para la obtención de beneficios adicionales a los que se lograr ían de ser administrados individualmente durante su ejecución.

Programa de retorno del cambio:

El documento de planeación que contiene el objetivo y descripción de las actividades para un regreso al estado inicial del ambiente operativo de la UTIC, en caso de falla o incidente que no permita finalizar un cambio en proceso de implantación.

Programa de tecnología: El documento de planeación en el que se establecen las acciones estratégicas para la conformación de las arquitecturas de cada dominio tecnológico y de todos ellos en su conjunto, considerando los servicios de TIC existentes y proyectados.

Programa de trabajo del cambio

El documento de planeación que contiene el objetivo y descripción de las actividades necesarias para la integración de un elemento al ambiente operativo de la UTIC.

Recursos de TIC: La infraestructura, los activos, el Recurso humano en la UTIC y el presupuesto de TIC.

Recursos humanos en la UTIC:

Los servidores públicos adscritos a la UTIC, o inclusive los servidores públicos de otras áreas de la Institución o personal de ter ceros cuando par ticipen en alguno de los procesos previstos en el Manual y hayan sido acreditados por algún servidor público facultado al efecto, para llevar a cabo actividades específicas en dichos procesos.

Reglas de adaptación: El documento que contiene los supuestos en que resulta factib le adaptar alguno de los procesos del “Marco rector de procesos en materia de TIC”, cuando por las caracter ísticas par ticulares de la Institución así se justifique, conforme a lo previsto en el proceso OSGP- Operación del sistema de gestión y mejora de los procesos de la UTIC.

Repositorio: El espacio en medio magnético u óptico en el que se almacena y mantiene la información digital.

Requerimientos funcionales:

La caracter ística que requiere cumplir un producto o entregable asociado a una función en un proceso o servicio automatizado, o por automatizar.

Riesgo: La posibilidad de que una amenaza pueda explotar una vulnerabilidad y causar una



pérdida o daño sobre los activos de TIC e información de la Institución.

Seguridad de la información:

La capacidad de preservación de la confidencialidad, integridad y disponibilidad de la información.

Sistema o aplicativo: El conjunto de componentes o programas construidos con herramientas de software que habilitan una funcionalidad o automatizan un proceso, de acuerdo a requerimientos previamente definidos.

Software de código abierto:

El software cuya licencia asegura que el código pueda ser modificado y mejorado por

cualquier persona o grupo de personas con las habilidades correctas, el conocimiento es de dominio público.

Solución tecnológica: El sistema, aplicativo o componente desarrollado en la Institución o adquirido por la misma, para habilitar la automatización de procesos o proveer un servicio de TIC.

Unidad administrativa solicitante:

La unidad administrativa de la Institución que solici ta una solución tecnológica o servicio de TIC y que es responsable de definir sus requerimientos, funcionalidad y niveles de servicio.

Usuarios: Los servidores públicos o aquéllos terceros que han sido acreditados o cuentan con permisos para hacer uso de los servicios de TIC.

Validación: La actividad que asegura que un servicio de TIC, producto o entregable, nuevo o modificado, satisface las necesidades acordadas previamente con la Unidad administrativa solicitante.

Verificación: La actividad que permite revisar si un servicio de TIC o cualquier otro producto o entregable, está completo y acorde con su especificación de diseño.

Vulnerabilidades: Las debilidades en la segur idad de la información dentro de una organización que potencialmente permite que una amenaza afecte a un activo de TIC.

AA: El grupo de procesos de Administración de activos del “Marco rector de procesos en materia de TIC”. Agrupa los siguientes procesos: ADT, ACNC y APC.

AAF: El proceso de Administración de ambiente físico, del “Marco rector de procesos en materia de TIC”.

ACMB: El proceso de Administración de cambios, del “Marco rector de procesos en materia de TIC”.

ACNC: El proceso de Administración del conocimiento, del “Marco rector de procesos en materia de TIC”.

ACNF: El proceso de Administración de la configuración, del “Marco rector de procesos en materia de TIC”.

AD: El grupo de procesos de Administración para el desarrollo de soluciones tecnológicas del “Marco rector de procesos en materia de TIC”. Agrupa los siguientes procesos: ATC, DST y CST.

ADT: El proceso de Administración de dominios tecnológicos, del “Marco rector de procesos en materia de TIC”.

ADTI: El proceso de Administración para las contrataciones de TIC, del “Marco rector de procesos en materia de TIC”.

AE: El proceso de Administración de la evaluación, de TIC del “Marco rector de procesos en materia de TIC”.

ANS: El proceso de Administración de niveles de servicio, del “Marco rector de procesos en materia de TIC”.

AO: El proceso de Administración de la operación, del “Marco rector de procesos en materia de TIC”.



INFORMACIÓN

AP: El grupo de procesos de Administración de procesos del “Marco rector de procesos en materia de TIC”. Está conformado por el proceso OSGP.

APBS: El proceso de Administración de proveedores de bienes y servicios de TIC, del “Marco rector de procesos en materia de TIC”.

APC: El proceso de Apoyo a la capacitación del personal de la UTIC, del “Marco rector de procesos en materia de TIC”.

APP: El proceso de Administración del por tafolio de proyectos de TIC, del “Marco rector de procesos en materia de TIC”.

APS: El proceso de Administración del por tafolio de servicios de TIC, del “Marco rector de procesos en materia de TIC”.

APT: El proceso de Administración del presupuesto de TIC del “Marco rector de procesos en materia de TIC”.

APTI: El proceso de Administración de proyectos de TIC, del “Marco rector de procesos en materia de TIC”.

AR: El grupo de procesos de Administración de recursos, del “Marco rector de procesos en materia de TIC”. Agrupa los siguientes procesos: APT, APBS y ADTI.

ARTI: El proceso de Administración de riesgos de TIC, del “Marco rector de procesos en materia de TIC”.

AS: El grupo de procesos de Administración de servicios, del “Marco rector de procesos en materia de TIC”. Agrupa los siguientes procesos: APS y DSTI.

ASSI: El proceso de Administración de la seguridad de los sistemas informáticos, del “Marco rector de procesos en materia de TIC”.

ATC: El proceso de Apoyo técnico para la contratación de soluciones tecnológi cas de TIC, del “Marco rector de procesos en materia de TIC”.

CN: El grupo de procesos de Control del “Marco rector de procesos en materia de TIC”. Agrupa los siguientes procesos: AE y ARTI.

CST: El proceso de Calidad de las soluciones tecnológicas de TIC, del “Marco rector de procesos en materia de TIC”.

DDT: El proceso de Determinación de la dirección tecnológica, del “Marco rector de procesos en materia de TIC”.

DR: El grupo de procesos de Dirección del “Marco rector de procesos en materia de TIC”. Agrupa los siguientes procesos: EMG, PE y DDT.

DST: El proceso de Desarrollo de soluciones tecnológicas de TIC, del “Marco rector de procesos en materia de TIC”.

DSTI: El proceso de Diseño de servicios de TIC, del “Marco rector de procesos en materia de TIC”.

EMG: El proceso de Establecimiento del modelo del gobierno de TIC, del “Marco rector de procesos en materia de TIC”.

LE: El proceso de Liberación y entrega, del “Marco rector de procesos en materia de TIC”.

MI: El proceso de Mantenimiento de infraestructura, del “Marco rector de procesos en materia de TIC”.

OMS: El proceso de Operación de la mesa de servicios, del “Marco rector de procesos en materia de TIC”.

OP: El grupo de procesos de Operaciones del “Marco rector de procesos en materia de TIC”. Agrupa los siguientes procesos: AO, AAF y MI.



OS: El grupo de procesos de Operación de servicios del “Marco rector de procesos en materia de TIC”. Agrupa los siguientes procesos: OMS, ANS y ASSI.

OSGP: El proceso de Operación del sistema de gestión y mejora de los procesos de la UTIC, del “Marco rector de procesos en materia de TIC”.

PE: El proceso de Planeación estratégica de TIC, del “Marco rector de procesos en materia de TIC”.

PETIC: El documento de planeación estratégica en el que se definen los objetivos y proyectos estratégicos de TIC que la Institución efectuará en un periodo de tiempo determinado.

PR: El grupo de procesos de Administración de proyectos del “Marco rector de procesos en materia de TIC”. Agrupa los siguientes procesos: APP y APTI.

SFP: La Secretar ía de la Función Pública.

SGSI: El Sistema de Gestión de Seguridad de la Información que por medio del análisis de riesgos y de la defin ición de controles, implementa, opera, monitorea, revisa y mejora de manera continua la seguridad de la información.

TE: El grupo de procesos de Transición y entrega del “Marco rector de procesos en materia de TIC”. Agrupa los siguientes procesos: ACMB, LE, THO y ACNF.

THO: El proceso de Transición y habilitación de la operación, del “Marco rector de procesos en materia de TIC”.

TIC: Las Tecnologías de la Información y Comunicaciones.

UGD: La Unidad de Gobierno Digita l de la Secretar ía de la Función Pública.

UTIC: La unidad administrativa de la Institución responsable de proveer de infraestructura y servicios de TIC a las demás áreas y unidades administrativas de la Institución.

2. OBJETIVOS

General:

Definir los procesos que en mater ia de TIC regirán a la Institución, con el propósito de regular y homologar su gestión, independientemente de la e structura organizacional con que ésta cuente.

Específicos:

1. Proporcionar a las Instituciones procesos simplificados y homologados en materia de TIC, así como las correspondientes regulaciones para cada proceso.

2. Establecer indicadores homologados que permitan a la SFP medir los resultados de la gestión de la UTIC, de manera que le sea posible defin ir estrategias de apalancamiento y apoyo a las Instituciones que lo requieran.

3. Contribuir a alcanzar una mayor eficiencia en las actividades y procesos ins titucionales, mediante la aplicación del “Marco rector de procesos en materia de TIC”, contenidos en el presente Manual.

3. AMBITO DE APLICACION

El presente Manual es de aplicación general en las Instituciones, a través de sus correspondientes UTIC.

4. MARCO JURIDICO

Los ordenamientos jurídicos referidos en este apartado, se citan de manera enunciativa y no limitativa.

1. Constitución Política de los Estados Unidos Mexicanos.

2. Ley Orgánica de la Administración Pública Federal.

3. Ley Federal de las Entidades Paraestatales.



INFORMACIÓN

4. Ley Federal de Presupuesto y Responsabilidad Hacendaria.

5. Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público.

6. Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.

7. Ley Federal de Responsabilidades Administrativas de los Servidores Públicos.

8. Reglamento Interior de la Secretaría de la Función Pública.

9. Reglamento de Ley Federal de las Entidades Paraestatales.

10. Reglamento de la Ley Federal de Presupuesto y Responsabilidad Hacendar ia.

11. Reglamento de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público.

12. Plan Nacional de Desarrollo 2007-2012.

13. Programa Especial de Mejora de la Gestión en la Administración Pública Federal 2008-2012, publicado en el Diario Oficial de la Federación el 10 de noviembre de 2008.

14. Decreto que establece las medidas de austeridad y disciplina del gasto de la Administración Pública Federal, publicado en el Diario Oficia l de la Federación el 4 de diciembre de 2006.

15. Lineamientos Específicos para la Aplicación y Seguimiento de las Medidas de Austeridad y Disciplina del Gasto de la Administración Pública Federal; publicado en el D iario Oficial de la Federación el 29 de diciembre de 2006.

16. Acuerdo por e l que se adicionan y modifican los lineamientos específicos para la aplicación y seguimiento de las medidas de austeridad y disciplina del gasto de la Administración Pública Federal, publicado en el Diario Oficial de la Federación el 14 de mayo de 2007.

17. Lineamientos de Protección de Datos Personales, emitidos por el Instituto Federal de Acceso a la Información.

18. Recomendaciones sobre medidas de Seguridad aplicables a los Sistemas de Datos Personales emitidos por el Instituto Federal de Acceso a la Información.

19. Acuerdo por el que se da a conocer la Agenda de Gobierno D igita l, publicado en el D iario Oficia l de la Federación el 16 de enero de 2009.

5. PROCESOS EN MATERIA DE TIC

El presente Manual contiene la estrategia para armonizar y homologar las actividades de las Instituciones en materia

de TIC, identificadas y agrupadas en 29 procesos, que conforman el “Marco rector de procesos en materia de TIC”, el

cual se muestra en la siguiente figura:



5.1 DR - DIRECCION

5.1.1 EMG - Establecimiento del modelo de gobierno de TIC


General:

Establecer un modelo de gobierno de TIC en la Institución, mediante la conformación de dos grupos de trabajo para

efectuar, entre otras acciones, el análisis de las opor tunidades de aprovechamiento de la s TIC y asegurar la adecuada organización al interior de la UTIC para la gestión de sus procesos.

Específicos:

1. Establecer un modelo de gobierno de TIC.

2. Establecer y mantener al interior de la UTIC los roles defin idos en el “Marco rector de procesos en materia de TIC”.

3. Operar y mantener un modelo de gobierno de las TIC, a fin de:

a) Promover que los mandos medios y los titulares de las unidades administrativas de la Institución,

coadyuven con la UTIC en la toma de decisiones para la dirección y control de las TIC, así como para la entrega efectiva y eficiente de servicios de TIC.

b) Asegurar que la asignación de roles a quienes integran el Recurso humano en la UTIC, permita la gestión eficiente de los procesos indicados en el presente Manual.





INFORMACIÓN

EMG-1 Establecer un modelo de gobierno de TIC

Descripción Establecer el Grupo de trabajo para la dirección de TIC y el Grupo de trabajo estratégico de TIC, para la implantación y adopción del modelo de gobierno de TIC, en la entrega de los servicios de TIC y en la gestión de los procesos de la UTIC.

Factores críticos

El Responsable de este proceso solicitará el apoyo del Titular de la Institución para:

1. Establecer el Grupo de trabajo para la dirección de TIC, mediante el Documento de integración y operación del Grupo de trabajo para la dirección de TIC y asegurar que:

a) El Documento contenga, al menos: objetivos y responsabilidades del Grupo de Trabajo; miembros del grupo; roles y responsabilidades de cada miembro, así como el funcionamiento del Grupo de trabajo.

b) El Grupo de trabajo se integre por servidores públicos que deberán ser de alto nivel dentro de la Institución. Este grupo estará encabezado por e l Titular de la UTIC.

c) Se comuniquen los roles y responsabilidades de los integrantes del Grupo de trabajo para la dirección de TIC.

d) Se realicen, entre otras actividades, las siguientes:

i. Determinar las opor tunidades y los riesgos en el uso de TIC.

ii. Determinar las prioridades de las Iniciativas de TIC alineadas con la estrategia y las prioridades institucionales.

iii. Verificar que las principales inversiones en materia de TIC se encuentren alineadas a los objetivos estratégicos de la Institución.

iv. Evaluar el cumplimiento de los niveles de servicio establecidos para los servicios de TIC.

El Responsable de este proceso deberá:

2. Establecer el Grupo de trabajo estratégico de TIC, mediante el Documento de integración y operación del Grupo de trabajo estratégico de TIC y asegurarse de que:

a) El Documento contenga, al menos: los objetivos y responsabilidades del grupo; roles y responsabilidades de cada miembro, así como el funcionamiento del grupo.

b) El grupo se integre por servidores públicos de la UTIC. Este grupo estará encabezado por el servidor público de la UTIC que designe su Titular.

c) Se comuniquen los roles y responsabilidades de los integrantes del Grupo de trabajo estratégico de TIC.

d) Se realicen entre otras actividades, las de defin ir, implementar y mantener una adecuada organización al inter ior de la UTIC, mediante la asignación de roles y responsabilidades para la gestión de los procesos, atendiendo a las necesidades para la gobernabilidad de los procesos y proyectos de la UTIC.

EMG-2 Establecer y mantener una adecuada organización de la UTIC

Descripción Distribuir de manera equilibrada los roles y responsabilidades en la organización de la UTIC para atender las necesidades de gobierno de TIC.

Factores críticos

El Grupo de trabajo estratégico de TIC deberá:

1. Asignar roles y responsabilidades a los servidores públicos de la UTIC, para cada proceso, de manera que se delimite con precisión su participación, considerando sus conocimientos, experiencia y habilidades, para lo cual deberá:

a) Utilizar la matriz denominada RACI, (acrónimo de sus siglas en inglés: Responsible, Accountable, Consulted and Informed), la cual debe incluir el cruce de roles sobre las posibilidades de acción definidas en la matriz: responsable de la ejecución, responsable de rendir cuentas, responsable de asesorar o proporcionar consultor ía y responsable de mantenerse informado.

b) Integrar la asignación de roles y responsabilidades en el Documento de descripción de roles y responsabilidades.

2. Implantar, en la medida de lo posible, la segregación de roles y responsabilidades con la finalidad de que se reduzca la posibilidad de que un solo individuo ejecute o administre un proceso o actividad crítica, mediante lo siguiente:



a) Definir los tramos de actividades a los diversos actores en cada proceso o actividad.

b) Definir las acciones para identificar y prevenir irregularidades en la gestión de los procesos, originadas por roles y responsabilidades inadecuadamente asignados, de manera que sea posible evitar discrecionalidades o errores.

c) Implantar controles para asegurar que los roles y responsabilidades se ejerzan de acuerdo a las asignaciones efectuadas.

d) Integrar la información de este factor crítico en el Documento de segregación de roles y responsabilidades.

3. Supervisar las asignaciones efectuadas, apoyándose en el sistema de gestión y mejora de los procesos de la UTIC que se opera en el proceso OSGP- Operación del sistema de gestión y mejora de los procesos de la UTIC.

4. Evaluar, al menos una vez al año, la asignación de roles y responsabilidades y ajustarla, según sea necesario.


5. Comunicar a los servidores públicos de la UTIC de los roles y responsabilidades asignados en esta actividad.

EMG-3 Operar y mantener el modelo de gobierno de TIC

Descripción Institucionalizar prácticas para asegurar que las TIC sean aprovechadas con dirección y gobierno.

Factores críticos

El Grupo de trabajo para la dirección de TIC deberá:

1. Tomar acuerdos sobre los asuntos que en materia de TIC le sean puestos a su consideración, a través de la Lista de asuntos y acuerdos directivos.

2. Participar en los procesos APP- Administración del portafolio de proyectos de TIC y APS- Administración del portafolio de servicios de TIC, conforme se señala en los mismos.

3. Aprobar el PETIC y mantenerse informado del seguimiento del mismo, conforme a lo señalado en el proceso PE- Planeación estratégica de TIC.

4. Aprobar el sistema de gestión y mejora de los procesos de la UTIC; las Matrices de r iesgos de TIC; el Documento de administración del SGSI, así como los indicadores del Cuadro de mando integral de la UTIC.


5. Informar al Titular de la Institución acerca de los resultados, recomendaciones y acuerdos del Grupo de trabajo para la dirección de TIC.


1.1. “Documento de integración y operación del Grupo de trabajo para la dirección de TIC”, formato sugerido: anexo 1, formato 1.

1.2 “Documento de integración y operación del Grupo de trabajo estratégico de TIC”, formato sugerido: anexo 1, formato 2.

1.3 “Documento de descripción de roles y responsabilidades”, formato suger ido: anexo 1, formato 3.

1.4 “Documento de segregación de roles y responsabilidades”, formato sugerido: anexo 1, formato 4.

1.5 “Lista de asuntos y acuerdos directivos”, formato sugerido: anexo 1, formato 5.


1.1. Responsable del proceso EMG- Establecimiento del modelo de gobierno de TIC.

1.2 Grupo de trabajo para la dirección de TIC.

1.3 Grupo de trabajo estratégico de TIC.


Nombre Objetivo Descripción Clasificación Fórmula Responsable Frecuencia de cálculo



INFORMACIÓN

Resultados

del Grupo de trabajo para la

dirección de TIC.

Medir la

eficacia en la resolución de asuntos

tratados por el Grupo de trabajo para la dirección de TIC.

Comparar el

número de asuntos resueltos con

el número de asuntos tratados en las sesiones del

grupo de trabajo.

Dimensión: Eficacia.

Tipo:

Estratégico.

% eficacia=

(Número de

asuntos resueltos en las reuniones

del Grupo / Número de asuntos tratados en las

reuniones del Grupo) X 100

El Responsable

del proceso EMG- Establecimiento

del modelo de gobierno de TIC.

Semestral.

Resultados

del Grupo de trabajo estratégico de TIC.

Medir la

eficacia del Grupo de trabajo

estratégico de TIC en términos de las

supervisiones efectuadas.

Medir la

eficacia del grupo por medio de las

acciones de supervisión que éste efectúe para

verificar el apego a las asignaciones efectuadas.

Dimensión: Eficacia.

Tipo: Estratégico.

% eficacia=

(Número de

supervisiones realizadas / Número de

supervisiones programadas) X 100

El Responsable

del proceso EMG- Establecimiento

del modelo de gobierno de TIC.

Semestral.


1.1 El Titular de la UTIC es e l Responsable de este proceso.

1.2 Los roles que se señalan en cada uno de los procesos de este Manual serán asignados a los servidores públicos de la UTIC en este proceso. Para cualquier cambio en su asignación será necesario considerar los resultados de l proceso OSGP- Operación del sistema de gestión y mejora de los procesos de la UTIC.

1.3 Los servidores públicos de la UTIC serán responsables, de acuerdo a los roles que les sean asignados, de las actividades que en los diversos procesos de este Manual se señalan para dichos roles.

1.4 El Grupo de trabajo para la dirección de TIC deberá apoyar la implantación, operación y mejora del SGSI.

5.1.2 PE - Planeación estratégica de TIC


General:

Que la Institución cuente con un PETIC, con el objeto de establecer líneas de acción en materia de TIC y su seguimiento, alineadas a los objetivos institucionales, de acuerdo lo establecido en el Plan Nacional de Desarrollo, los programas sectoriales y especiales que resulten aplicables, así como las estrategias y líneas de acción de la Agenda de Gobierno Digital.

Específicos:

1. Establecer y mantener alineada la misión y visión de la UTIC en el contex to de la Institución.

2. Identificar los objetivos y prioridades de la Institución con la finalidad de proponer proyectos de TIC, especialmente de aquéllos relacionados con la mejora de trámites y servicios públicos.



3. Identificar las opor tunidades y riesgos para el cumplimiento de los Objetivos estratégicos de TIC mediante el análisis del entorno y de la Institución.

4. Elaborar el Mapa estratégico de la UTIC en el que se definen estrategias, líneas de acción e indicadores de TIC.

5. Establecer los mecanismos para elaborar, operar y supervisar el avance del PETIC, en términos de proyectos, metas e indicadores.

6. Elaborar el PETIC y dar seguimiento a su avance, entre otros factores, en lo relativo a las estimaciones del presupuesto de inversión por proyecto, a los beneficios esperados y a las fuentes de financiamiento; con el propósito de asegurar su cumplimiento y corregir desviaciones.

7. Dar seguimiento a los indicadores estratégicos de TIC, mediante el Cuadro de mando integral de la UTIC.



PE-1 Analizar el entorno en materia de TIC

Descripción Identificar y analizar los factores que conforman el entorno de la Institución en materia de TIC,

mediante el reconocimiento de la situación actual.

Factores críticos

El Responsable de la planeación estratégica de la UTIC deberá:

1. Identificar los elementos regulatorios y tecnológicos que influyen o pueden influ ir en la ejecución de las actividades y servicios que provee la UTIC.

2. Realizar un análisis de fortalezas, opor tunidades, debilidades y amenazas que influyen en el cumplimiento de las funciones de la Institución en materia de TIC, para lo cual se deberá considerar lo previsto en el Plan Nacional de Desarrollo, los programas sectoria les y especiales que apliquen, los objetivos estratégicos de la Institución, así como las estrategias y líneas de acción de la Agenda de Gobierno Digita l.

3. Identificar elementos del ambiente ex terno que podr ían representar una amenaza u oportunidad en materia de TIC para la Institución, como pueden ser: factores legales, regulatorios, políticos, económicos, sociales y tecnológicos.

4. Identificar fortalezas y debilidades de la Institución en materia de TIC, como pueden ser: disponibilidad de recursos tecnológicos, recursos financieros, procesos, capacidades de la infraestructura y servicios de TIC, así como la percepción de los usuar ios.

5. Integrar la información de los factores cr íticos anteriores en la Matriz de for talezas, oportunidades, debilidades y amenazas (FODA).

PE-2 Establecer la misión, visión y estrategias de la UTIC

Descripción Establecer la misión, visión y estrategias de la UTIC y comunicarlos de manera efectiva.

Factores

críticos


1. Establecer la misión de la UTIC, que describa de manera clara y concreta su propósito fundamental.

2. Establecer la visión de la UTIC, que describa la situación deseada que busca alcanzar a largo

plazo. Debe ser fácil de recordar y estar a lineada a los objetivos estratégicos de la Institución.

3. Obtener la aprobación de la misión y visión de la UTIC por parte del Titu lar de ésta.

4. Difundir la misión y la visión de la UTIC en la Institución, por medio de actividades continuas

que busquen transmitir y sensibilizar la impor tancia de éstas.

5. Establecer, con apoyo de los Administradores de los portafolios de proyectos y de servicios

de TIC, los Objetivos estratégicos de TIC y sus indicadores, en base a:

a) La misión y visión de la UTIC.

b) Los resultados del FODA.

c) Los programas y objetivos estratégicos de la Ins titución.



INFORMACIÓN

d) Los indicadores institucionales relacionados.

e) Las Iniciativas de TIC preexistentes.

6. Integrar el Documento estratégico de TIC con la información obtenida de los factores cr íticos anteriores y obtener del Responsable de este proceso la aprobación del documento.

7. Integrar la información relativa a In iciativas de TIC en el Repositorio de iniciativas de TIC y

proyectos estratégicos de la UTIC, incluyendo los datos necesarios para su seguimiento a nivel estratégico.

PE-3 Desarrollar el mapa estratégico y cuadro de mando integral de la UTIC

Descripción Establecer objetivos y metas de la UTIC mediante el d iseño e implementación de un mapa

estratégico y un cuadro de mando integral de la UTIC.

Factores

críticos


1. Analizar la situación actual de la UTIC obtenida del FODA.

2. Analizar las funciones sustantivas de la Institución.

3. Integrar el Mapa estratégico de la UTIC, con base en el Documento estratégico de TIC, de

manera que en dicho Mapa se definan los Objetivos estratégicos de la UTIC en las cuatro

perspectivas siguientes:

a) Perspectiva financiera: Objetivos estratégicos que permitan tener una situación económica favorable en la UTIC.

b) Perspectiva de cliente o usuario: Objetivos estratégicos que permitan mantener niveles

de satisfacción adecuados de los usuarios de la Institución.

c) Perspectiva de procesos: Objetivos estratégicos que permitan que los procesos

contenidos en este Manual operen de manera efectiva, eficiente y con un adecuado

nivel de control.

d) Perspectiva de recursos humanos: Objetivos estratégicos que permitan que los Recursos humanos en la UTIC obtengan el conocimiento y capacidades necesarios para

cumplir los roles que le sean asignados.

4. Incluir la interrelación y dependencia que guarden entre sí las cuatro perspectivas.

5. Integrar indicadores estratégicos relevantes para la toma de decisiones, en cada una de las perspectivas.

6. Definir las metas y acciones que permitan cumplir los Objetivos estratégicos de TIC.

7. Establecer en el Mapa estratégico de la UTIC, la correspondencia existente entre

indicadores, metas y acciones.

8. Establecer un cuadro de mando integral que integre la información del Mapa estratégico de la

UTIC y los indicadores estratégicos definidos. El Cuadro de mando integral de la UTIC

deberá:

a) Plasmar los avances y desviaciones en el cumplimiento de la planeación estratégica de

TIC de la Institución.

b) Permitir que se obtenga una medición del cumplimiento de las estrategias de TIC y los

compromisos de la UTIC, en las cuatro perspectivas defin idas en el factor cr ítico 3.

PE-4 Identificar las iniciativas y proyectos estratégicos de TIC

Descripción Identificar las principales in iciativas y los proyectos estratégicos de TIC que deben ser ejecutados para cumplir con lo establecido en el Mapa estratégico de la UTIC.

Factores críticos

El Responsable de la planeación estratégica de la UTIC, con apoyo del Grupo de trabajo estratégico de TIC, deberá:



1. Determinar las iniciativas y proyectos estratégicos de TIC necesarios para cumplir con los Objetivos estratégicos de TIC.

2. Priorizar las in iciativas y proyectos estratégicos de TIC, considerando su relevancia para cumplir con los Objetivos estratégicos de TIC.

3. Estimar la inversión requer ida para las in iciativas y proyectos estratégicos de TIC,

desagregándola, al menos, en los siguientes rubros: recursos financieros, materiales y humanos.

4. Integrar las iniciativas y proyectos estratégicos de TIC al por tafolio de proyectos de TIC que

se establece en el proceso APP- Administración del por tafolio de proyectos de TIC, y obtener la Relación de iniciativas de TIC y proyectos estratégicos de la UTIC.

PE-5 Elaborar, validar, aprobar, comunicar y actualizar el PETIC

Descripción Elaborar, validar, aprobar, comunicar y actualizar el PETIC.

Factores críticos

El Responsable de la planeación estratégica de la UTIC, con apoyo de los Administradores de los portafolios de proyectos y de servicios de TIC, deberá:

1. Elaborar el PETIC, integrando la infor mación de las actividades anteriores (PE-1 a PE-4) en la herramienta de registro y seguimiento determinada por la UGD.


2. Revisar y validar el PETIC.

3. Presentar el PETIC al Grupo de trabajo para la dirección de TIC, para su aprobación.

4. Enviar el PETIC a la UGD y difundirlo a todos los involucrados.

El Responsable de la planeación estratégica de la UTIC, con apoyo de los Administradores de los portafolios de proyectos y de servicios de TIC, deberá:

5. Actualizar el PETIC cuando existan razones de carácter técnico, económico o de otra naturaleza que sean justificadas. Las actualizaciones al PETIC están sujetas a los factores críticos 2 a 4 anteriores.

PE-6 Dar seguimiento a la planeación estratégica de TIC

Descripción Dar seguimiento a los avances en el cumplimiento de la planeación estratégica de TIC.

Factores críticos


1. Dar seguimiento al avance del PETIC y reportarlo trimestralmente a la UGD, previa aprobación del Titu lar de la UTIC por medio del Reporte de seguimiento del PETIC que se obtiene de la herramienta provista por la UGD.

2. Informar trimestralmente al Grupo de trabajo para la dirección de TIC, del cumplimiento del PETIC y de la situación de los indicadores en el Cuadro de mando integral de la UTIC.

3. Dar seguimiento a los acuerdos del Grupo de trabajo para la dirección de TIC, relacionados con el PETIC y con los indicadores del Cuadro de mando integral de la UTIC.

4. Identificar, registrar y administrar las acciones correctivas en caso de desviación en el avance real del PETIC o en los indicadores del Cuadro de mando integral de la UTIC.

5.1.2.2.2 Relación de Productos

1.1 “Matriz de for talezas, opor tunidades, debilidades y amenazas (FODA)”, conforme al formato que defina la Institución.

1.2 “Documento estratégico de TIC”, formato sugerido: anexo 2, formato 1.

1.3 “Mapa estratégico de la UTIC”, formato suger ido: anexo 2, formato 2.

1.4 “Cuadro de mando integral de la UTIC”, formato sugerido: anexo 2, formato 3.

1.5 “Repositorio de iniciativas de TIC y proyectos estratégicos de la UTIC”, defin ido por la Institución.

1.6 “Relación de in iciativas de TIC y proyectos estratégicos de la UTIC”, formato sugerido: anexo 2, formato 4.



INFORMACIÓN

1.7 “PETIC”, herramienta indicada por la UGD.

1.8 “Reportes de seguimiento del PETIC”, emitidos por la herramienta indicada por la UGD.


1.1 Responsable del proceso PE- Planeación estratégica de la UTIC.

1.2 Responsable de la planeación estratégica de la UTIC.

1.3 Grupo de trabajo para la dirección de TIC.


Nombre Objetivo Descripción Clasificación Fórmula Responsable Frecuencia de cálculo

Cumplimiento en la entrega del PETIC.

Medir el cumplimiento en la entrega del PETIC.

Registrar la eficiencia en la entrega del PETIC.

Dimensión: Eficiencia.

Tipo:

De gestión.

Entrega en tiempo.

El Responsable del proceso PE-Planeación estratégica de

TIC.

Anual.

Eficiencia del PETIC.

Medir la eficiencia en

la elaboración del PETIC.

Obtener la eficiencia en

base al número de ajustes técnicos

integrados como una actualización al

PETIC.

Dimensión: Eficiencia.

Tipo:

De gestión.

% de incidencia=

(Número de ajustes técnicos al PETIC /

Número de ajustes totales) X

100

El Responsable del proceso PE-

Planeación estratégica de TIC.

Trimestral.


1.1 El Titular de la UTIC es el Responsable de este proceso.

1.2 El Responsable de este proceso deberá verificar que en el Documento estratégico de TIC de la

Institución, se incorporen las directr ices planteadas en la Agenda de Gobierno Digital.

5.1.3 DDT - Determinación de la dirección tecnológica


General:

Determinar la dirección tecnológica de la Institución y establecer un Programa de tecnología que facilite la selección, el desarrollo, la aplicación y el uso de la infraestructura de TIC, de manera que ésta responda a la dinámica de la Institución.

Específicos:

1. Determinar los requerimientos tecnológicos que, de acuerdo a las necesidades de la Institución, deberán ser incorporados en el Programa de tecnología.

2. Definir un Programa de tecnología que incluya la arquitectura tecnológica que considere los dominios tecnológicos necesarios para estandarizar y evolucionar a una infraestructura de TIC que cuente con la

capacidad para satisfacer las necesidades actuales y proyectadas de la Institución.

3. Balancear el Programa de tecnología en cuanto se refiere a necesidades, innovación, beneficios, r iesgos y costos.



4. Orientar a la Institución hacia el desarrollo de nuevas formas para cumplir con sus objetivos en materia de TIC.



DDT-1 Establecer el Grupo de trabajo de arquitectura tecnológica

Descripción Conformar el Grupo de trabajo de arquitectura tecnológica.

Factores

críticos El Responsable de este proceso deberá: 1. Establecer el Grupo de trabajo de arquitectura tecnológica, mediant

salvador vega casillas, secretario de la función pública, con … · 2018-07-05 · acuerdo por...

Documents