Normas de control interno

410 TECNOLOGA DE LA INFORMACIN

TEMA: documentos habilitantes y normas relacionadas a cada rea de
aplicacin de la norma
410-01 ORGANIZACIN INFORMTICA
Documentos
Organigrama
estructural
previamente
autorizado y
actualizado
Planificacin de
la organizacin
en donde
consten las
estrategias
internas y
objetivos.

Normas relacionadas
410-06 administracin de proyectos tecnolgicos.- esta
norma define los aspectos a considerar para administrar
los proyectos tecnolgicos y en la norma 410-01 dice que
la organizacin administrativa debe cubrir proyectos
tecnolgicos
410-08 adquisiciones de infraestructura tecnolgica.- la
unidad tecnolgica definir y justificara la adquisicin de
infraestructura tecnolgica.

410-09 mantenimiento y control de infraestructura

tecnolgica.- definir procedimientos para garantizar el
adecuado mantenimiento de la infraestructura
tecnolgica.
410-16 comit informtico.- uno de sus propsitos es el
apoyo tecnolgico a unidades administrativas que
formen parte de la entidad.

410-02 SEGREGACIONES DE FUNCIONES

Documentos
Manual de
funciones de los
puestos del
personal de
tecnologas de
informacin.

Normas relacionados
410-04 polticas y procedimientos.- las polticas y
procedimientos deben permitir organizar
apropiadamente el rea tecnolgica asignando el talento
humano calificado.

410-06 administraciones de proyectos tecnolgicos.-se

debe nombrar un servidor responsable para asegurar la
ejecucin de los proyectos, y se debe describir sus
funciones y responsabilidades.
410-10 seguridad de tecnologa de informacin.- si algn

empleados del rea tecnolgica debe trabajar en jornada

nocturna o los fines de semana se establecer
procedimientos que aseguren su seguridad.
410-16 comit informtico.- la creacin de un comit
informtico debe constar de un reglamento, crear
grupos de trabajo, definir atribuciones y
responsabilidades.

410-03 PLAN INFORMTICO ESTRATGICO DE TECNOLOGA

documentos
Plan estratgico
institucional

Plan informtico
estratgico
Planes
operativos de
tecnologas de
informacin
Portafolios de
proyectos y de
servicios
Presupuesto
anual y
presupuesto
asociado

Normas relacionadas
410-07 desarrollo y adquisicin de software aplicativo.debe regular procesos de desarrollo y adquisicin de
software lo cual debe constar en el plan informtico
estratgico ya que este se encarga de la administracin
de e recursos tecnolgicos
410-08 adquisicin de infraestructura tecnolgica, 41009 mantenimiento y control de la infraestructura
tecnolgica.- se debe justificar la adquisicin y definir
procedimientos para realizar el mantenimiento adecuado
de la infraestructura tecnologa y esto forma parte de la
administracin de recursos tecnolgicos
410-10 seguridad de tecnologas de informacin.mecanismos que protejan y salvaguarden medios fsicos
y la informacin de la unidad informtica
410-12 administracin de soporte de tecnologa de
informacin.- procedimientos para la administracin del
soporte tecnolgico de recursos y datos.

410-04 POLTICAS Y PROCEDIMIENTOS.

documentos
Manual de
polticas y
procedimientos
para la
organizacin de
la unidad
tecnolgica

Normas relacionadas
410-02 segregacin de funciones.- la asignacin de
funciones permitir una correcta segregacin de
funciones al personal el cual ser asignado de acuerdo a
las polticas y procedimientos establecidos en esta norma

410-05 MODELO DE ORGANIZACIN ORGANIZACIONAL

documentos
Documento del
modelo de
informacin
aplicado en la
organizacin
Diccionario de
datos
corporativo

Normas relacionadas
410-10 seguridad de tecnologa de informacin.- deben
proteger y salvaguardar los procedimientos para
perdidas y fugas de informacin, los datos deben ser
clasificados para aplicar niveles de seguridad.
410-11 plan de contingencia.- debe salvaguardar la
integridad y seguridad de la informacin

410-06 ADMINISTRACIN DE PROYECTOS TECNOLGICOS

documentos
Proyectos
tecnolgicos
institucionales
Cronogramas de
actividades del
proyecto
tecnolgico
Presupuestos de
los proyectos

Normas relacionadas
410-01 organizacin tecnolgica.-la unidad
administrativa cubrir la administracin de proyectos
tecnolgicos
410-02 segregacin de funciones.- definir funciones para
ejercer autoridad en cada puesto de trabajo

410-15 capacitacin informtica.- se realizaran

capacitaciones de acuerdo con las necesidades de la
unidad tecnolgica.

410-07 DESARROLLO ADQUISICIN DE SOFTWARE APLICATIVO

documentos
Portafolio de
proyectos y
servicios
priorizados
Polticas
publicas
aplicadas

Normas relacionadas
410-01 organizacin informtica.- debe cubrir la
infraestructura tecnolgica entre esta la adquisicin
tecnolgica.

410-03 plan informtico estratgico de tecnologas.- se

debe definir un portafolio de proyectos y servicios
prioritarios, adems de definir cmo se van a administrar
los recursos tecnolgicos,
Contratos
410-09 mantenimiento y control de la infraestructura
realizados con
tecnolgica.- registro y control de las versiones de
terceros
software que ingresan.
Ley de Propiedad 410-12 administracin de soporte de tecnologas de
Intelectual
informacin.- medidas de prevencin para la proteccin
de software malicioso y virus informtico.
Manuales

tcnicos de
instalacin y
configuracin
410- 08 ADQUISICIN DE INFRAESTRUCTURA TECNOLGICA
documentos
Planificacin de
la organizacin
en donde
consten los
objetivos
Portafolio de
proyectos y
servicios
Contratos de
adquisicin de
hardware, y de
proveedores de
servicio
Plan anual de
contratacin
previamente
aprobado

Normas relacionadas
410-01 organizacin informtica.- la unidad informtica
debe cubrir lo referente a infraestructura informtica.

410-03 plan informtico estratgico de tecnologas.busca la administracin correcta de la infraestructura

tecnolgica
410-09 mantenimiento y control de la infraestructura
tecnolgica.- se debe definir los procedimientos para el
adecuado uso y mantenimiento de la infraestructura
tecnolgica, ya adquirida, el mantenimiento de bienes
con garanta sern responsabilidad del proveedor y la
institucin no tendr ningn costo por ello
410-11 plan de contingencia.- definir planes de
contingencia para situaciones de emergencia que
comprometan el funcionamiento de la unidad
tecnolgica.
410-16 comit informtico.- precautela el crecimiento de
la unidad tecnolgica, de acuerdo a las polticas internas
410-17 firmas electrnicas.- el dispositivo portable de la
firma electrnica ser considerado como un bien ms de
la institucin.

410- 09 MANTENIMIENTO Y CONTROL DE LA INFRAESTRUCTURA TECNOLGICA

documentos
Manual de
procedimientos
de
mantenimiento y
liberacin de
software
Bitcora de

Normas relacionadas
410-01 organizacin informtica.- cubrir como mnimo
la infraestructura informtica, esto conlleva su correcto
cuidado y uso atraves del mantenimiento y control

410-08 adquisiciones de infraestructura tecnolgica.- los

procedimientos
procesos y
sistemas
Manuales
tcnicos y de
usuarios
Plan de
mantenimiento
preventivo
Inventario
actualizado de
los bienes
informticos

contratos de adquisicin de infraestructura tecnolgica

detallaran la garanta que tendrn los equipos
comprados.
410-10 seguridad de tecnologas de informacin.- se
debe establecer un lugar de acuerdo a las necesidades
de la unidad tecnolgica, con libre acceso y salida,
implementacin de seguridad para software y hardware;
instalaciones fsicas adecuadas para el trabajo de esta
unidad, adems estas deben tener una deteccin de
posibles riesgos
410-11 planes de contingencia.- el plan de contingencia
permitir establecer procedimientos para salvaguardar
informacin y continuar con las operaciones de la unidad
tecnolgica en caso de una emergencia.
410-12 administracin de soporte de tecnologas de
informacin.- se debe proteger la informacin mediante
el correcto funcionamiento de la unidad tecnolgica, para
esto se realizaran evaluaciones peridicas de la
capacidad actual y futura de la unidad tecnolgica y
comparacin con la capacidad ofrecida a clientes
internos y externos

410-10 SEGURIDADES DE TECNOLOGA DE INFORMACIN.

Documentos
Cronograma y
procedimientos
aprobados para
obtencin de
respaldos.
Procedimientos
de seguridad
para el personal

Normas relacionadas
410-03 plan informtico estratgico de tecnologa.- las
medidas de prevencin de perdida de informacin y
riesgos que no permitan el desarrollo normal de las
actividades deben constar en el plan informtico
estratgico de tecnologa
410-05 modelo de informacin organizacional.- los datos
debern ser clasificados por niveles a fin de aplicar
medidas de seguridad de acuerdo a cada nivel.
410- 09 mantenimiento y control de la infraestructura
tecnolgica.- se debe establecer ambientes de
desarrollo/pruebas y de produccin independientes,
implementar mecanismos de seguridad que garanticen la
integridad y disponibilidad de la unidad informtica
ofreciendo as un ambiente confiable para trabajar
410-08 adquisicin de infraestructura tecnolgica.- la
adquisicin de infraestructura tecnolgica se realizara
previo el anlisis de riesgos tomando en cuenta las
contingencias, adems en la norma 410-10 nos habla de
la obtencin de sitios de procesamiento alternativo

410-11 planes de contingencia.- acciones que se deben

tomar en caso del fallo de equipos, programas o
personal; un plan de contingencia es la continuidad de
funciones es un sitio alternativo y la obtencin de
informacin de los respaldos
410-11 PLANES DE CONTINGENCIA
Documentos
Plan de
contingencia
previamente
aprobado y
difundido
Plan de
respuesta a
riesgos
Plan de
continuidad de
tecnologas de
informacin

Plan de
continuidad de
operaciones
Plan d
recuperacin de
desastres

Normas relacionadas
410-02 segregacin de funciones.- se debe definir
claramente las funciones del personal de la unidad
tecnolgica as ser tambin para la persona encargada
de poner en marcha el plan de contingencia tomando en
cuntala asignacin de roles crticos
410-04 polticas y procedimientos.- se debe actualizar las
polticas y procedimientos vinculados con la unidad
tecnolgica de manera peridica, y el plan de
contingencia es un procedimiento
410-08 adquisicin de infraestructura tecnolgica.- se
debe hacer un estudio costo-beneficio para el uso
compartido de un data center y as optimizar recursos, el
uso de este data center puede ser tomado tambin como
un plan de contingencia mientras dure el riesgo; o se
podr considerar la adquisicin de un centro de cmputo
alterno
410-10 seguridad de tecnologas de informacin.considerar la alternativa de sitios de procesamiento de
informacin alternos para poner continuar con las
operaciones de la unidad tecnolgica
410-15 capacitacin informtica.- la capacitacin se
llevara acabo de acuerdo a las necesidades de la unidad,
y todo el personal de la organizacin informtica debe
estar debidamente capacitado sobre el plan de
contingencia aprobado en caso de un siniestro.

410-12 ADMINISTRACIONES DE SOPORTE DE TECNOLOGA DE INFORMACIN

Documentos
Registro
actualizado de
las cuentas de
usuario de los
sistemas
informticos.

Normas relacionadas
410-03 plan informtico estratgico de tecnologa.- el
plan estratgico tendr un detalle suficiente para definir
los planes operativos, considerara las contingencias y la
capacidad de los servicios ofrecidos a los usuarios

Repositorio de
diagramas y
configuracin de
hardware y
software
Registro de los
respaldo y
procedimientos
de recuperacin
de datos

410-07 desarrollo y adquisicin de software aplicativo.previa a la adquiri de software se realizar un anlisis

para conocer si cubre con los requerimiento y la
capacidad para cubrir los niveles de servicio acordado
por los usuarios, adems se debe tomar en cuenta que la
entidad debe poseer las licencias para el uso de software
410-09 mantenimiento y control de infraestructura
tecnolgica.- se debe controlar y registrar cada software
que ingrese a la unidad tecnolgica, adems se definir
manuales para los usuarios.
410-10 seguridad de tecnologa de informacin.procedimientos que salvaguarden la fuga de informacin,
obtencin peridica de respaldos y procedimientos para
recuperacin de datos, garantizar la seguridad de
personal que trabaje en jornada nocturna
410-11 planes de contingencia.- se establecern planes
de contingencia que aseguren la seguridad de la
informacin en caso de siniestros, y que puedan
asegurar la continuidad de operaciones en centros de
procesamiento de informacin alternos, adems del uso
de un data center estatal compartido
410-13 monitoreo y evaluacin de los procesos y
servicios.- se debe determinar si los servicios
proporcionados estn siendo suficientes para los usuarios
o clientes, esto con una evaluacin peridica de
medicin anlisis y mejora de los niveles de satisfaccin
de clientes internos y externos de los servicios

410-13 MONITOREO Y EVALUACIN DE PROCESOS Y SERVICIOS

Documentos
Registro de los
procesos
aplicados por la
unidad
tecnolgica
Registro de los
servicios
ofrecidos

Normas relacionadas
410-02 segregaciones de funciones.- se deben establecer
funciones para cada puesto de trabajo de la unidad
informtica, evitando as la duplicidad de funciones.

410-03 planes informtico estratgico de tecnologa.para definir el plan estratgico de tecnologa se debe
tomar en cuenta los servicios a prestar y ya definido el
plan se administrara mediante este las tecnologas de
informacin para poder evitar las obsolescencias y
precautelar el funcionamiento correcto de procesos y
servicios.

Indicadores de
desempeo

Informes
peridicos de
gestin

410-10 seguridad de tecnologas de informacin.- de

establecern procesos para obtencin de respaldos y
recuperacin de informacin, estos deben ser evaluados
peridicamente
410-11 planes de contingencia.- se desarrollaran planes
de contingencias, de continuidad de operaciones,
respuestas a los riesgos y estos deben ser evaluados
continuamente para poder actualizarlos constantemente
410-12 revisiones peridicas para determinar si la
capacidad de los servicios proporcionados es igual a la
capacidad requerida y as poder realizar mejoras en la
medicin de la satisfaccin del cliente.

410-14 SITIO WEB, SERVICIOS DE INTERNET E INTRANET

documentos
Instructivos de
instalacin de
servicios de
internet,
intranet, correo
electrnico y
sitio web

Normas relacionadas
410-02 segregacin de funciones.- se determinara
funciones relacionadas con la administracin de sitios
web, servicios de internet e intranet, estas estarn
contenidas den un manual de funciones para as
precautelar el buen uso de estos servicios

410-07 desarrollo y adquisicin de software aplicativo.los derechos de software desarrollados sern de

propiedad de la entidad y sern registrados en el
organismo correspondiente.
410-08 adquisicin de infraestructura tecnolgica.- los
contratos de adquisicin de infraestructura tecnolgica
detallaran la garanta que tendrn los equipos
comprados, se puede tomar en cuenta la instalacin de
redes en la institucin
410-15 CAPACITACIN INFORMTICA
documentos
Plan de
capacitacin
informtico

Registro de
personal

Normas relacionadas
410-06 administracin de proyectos tecnolgicos.- para
la ejecucin de proyectos tecnolgicos se nombrar un
servidor responsable con capacidad y autoridad de
decisin, se deber capacitarlo para el cumplimiento del
proyecto
410-11 planes de contingencia.- los aplanes de
contingencia deben ser actualizados peridicamente y
estos a su vez deben ser comunicados al personal

involucrado, se tomara esto como capacitacin de

planes de contingencia.
410-17 firmas electrnicas.- la entidad de certificacin
debe capacitar al personal autorizado para manejar
firmas electrnicas respecto de medidas de seguridad,
condiciones, alcances, limitaciones, y responsabilidades
del uso del servicio
410-16 COMIT INFORMTICO
documentos
Documento de
creacin del
comit
informtico
Reglamento del
comit
informtico

Normas relacionadas
410-01 organizacin informtica.-cada organizacin
pblica debe contar con una unidad tecnolgica que
preste asesoramiento y apoyo y esta debe contar con un
comit informtico como rgano consultivo y de gestin.
420-02 segregacin de funciones.- se determinaran
funciones para cada puesto de trabajo de la unidad
tecnolgica as tambin para los integrantes del comit
informtico
410-04 polticas y procedimientos.- la mxima autoridad
de la entidad aprobara las polticas y procedimientos
para organizar la unidad tecnolgica, pero el comit
informtico est encargado de evaluar las polticas
internas para en crecimiento ordenado de las tecnologas
de informacin
410-08 adquisicin de infraestructura tecnolgica.- la
adquiri de la infraestructura tecnolgica est planificada
para su correcto crecimiento y precautelar la calidad de
los servicios esto apoyado en el comit informtico.

410-17 FIRMAS ELECTRNICAS

documentos
Ley de comercio
electrnico,
firmas y
mensajes de
datos y su
reglamento
Certificado de la
firma electrnica

Normas relacionadas
410-02 segregacin de funciones.- se debe establecer
manuales de funciones para poder definir las funciones
de cada puesto de trabajo y se deber definir que
funcionarios podrn manejar documentos atraves de
firmas electrnicas
410-08 adquiri de infraestructura tecnolgica.- la
adquisicin tecnolgica est alineada a los objetivos de
la organizacin, y con la debida autorizacin cuando se
obtiene el dispositivo portable de la firma digital este
ser tomado como un bien de la entidad.

Polticas
internas de
manejo y archivo
de informacin
digital

410-10 seguridades de tecnologas de informacin.- se

debe establecer mecanismos para salvaguardar la
informacin, los usuarios de la firma electrnica sern
responsables de su uso as como del uso del certificado y
las claves de acceso.
410-11 planes de contingencia.- precautelaran una
situacin de riesgo en la unidad informtica, es as que el
funcionario deber solicitar la revocacin de su
certificado de firma electrnica si se presentara alguna
circunstancia que comprometa su utilizacin.
410-15 capacitacin informtica.- la entidad certificadora
ser responsable de la capacitacin de los usuarios de la
firma electrnica advirtiendo sobre las condiciones,
alcances, responsabilidades sobre el uso del servicio.