| |
| DOF: 04/02/2016 |
ACUERDO por el que se modifican las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como el Manual Administrativo de Aplicación Gener ACUERDO por el que se modifican las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como el Manual Administrativo de Aplicación General en dichas materias. MIGUEL ÁNGEL OSORIO CHONG, Secretario de Gobernación y VIRGILIO ANDRADE MARTÍNEZ Secretario de la Función Pública, con fundamento en los artículos 10, 27, fracciones X, XXVI, XXVIII, XXIX y XLIII y 37 fracciones VI y XXVI, de la Ley Orgánica de la Administración Pública Federal, en relación con el Segundo Transitorio del Decreto por el que se reforman, adicionan y derogan diversas disposiciones de la Ley Orgánica de la Administración Pública Federal, publicado en el Diario Oficial de la Federación el 2 de enero de 2013; 12, fracciones II y VII, 18 y 55 de la Ley de Seguridad Nacional; 10, 11 y 24, fracción VII, del Reglamento para la Coordinación de Acciones Ejecutivas en materia de Seguridad Nacional; 1, 5, fracciones II, XXV y XXVIII, y 71 del Reglamento Interior de la Secretaría de Gobernación; así como 1, 5 y 6 fracciones I y XXIV, del Reglamento Interior de la Secretaría de la Función Pública, y CONSIDERANDO
Que el Plan Nacional de Desarrollo 2013-2018, así como el Programa para un Gobierno Cercano y Moderno 2013-2018, proponen fomentar la adopción y el desarrollo de las tecnologías de la información y comunicaciones (TIC), e impulsar un gobierno eficaz que inserte a México en la Sociedad del Conocimiento, lo cual permitirá el desarrollo de la modernización del gobierno y la mejora de los servicios y bienes públicos; Que en atención a dicha prioridad nacional, nuestro gobierno ha seguido avanzando en la implementación de instrumentos que favorecen el desarrollo de las TIC, tal es el caso del Decreto por el que se establece la Ventanilla Única Nacional para los Trámites e Información del Gobierno, publicado en el Diario Oficial de la Federación el 3 de febrero de 2015, mismo que busca propiciar la interoperabilidad con los sistemas electrónicos de las dependencias y entidades de la Administración Pública Federal y de las empresas productivas del Estado, así como el Decreto que establece la regulación en materia de Datos Abiertos publicado en el mismo órgano de difusión oficial el 20 de febrero de 2015, el cual tiene por objeto regular la forma mediante la cual los datos de carácter público, generados por las citadas instituciones se pondrán a disposición de la población como datos abiertos, con el propósito de facilitar su acceso, uso, reutilización y redistribución para cualquier fin, conforme a los ordenamientos jurídicos aplicables; Que tomando en consideración la importancia de seguir consolidando el desarrollo de las TIC en el Gobierno Federal, así como la necesidad de seguir simplificando y automatizando procesos en atención a las prioridades que en materia de austeridad y eficiencia presupuestal ha establecido el propio Gobierno, resulta necesario actualizar las políticas y disposiciones para la Estrategia Digital Nacional contenidas en el Acuerdo que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como establecer el Manual Administrativo de Aplicación General en dichas materias publicado en el Diario Oficial de la Federación el 8 de mayo de 2014, de manera que con ello se continúe combatiendo el rezago tecnológico en el que se encontraba la Administración Pública Federal, así como para simplificar y clarificar el citado documento y los procesos que integra en su Manual, por lo que hemos tenido a bien expedir el siguiente ACUERDO POR EL QUE SE MODIFICAN LAS POLÍTICAS Y DISPOSICIONES PARA LA ESTRATEGIA
DIGITAL NACIONAL, EN MATERIA DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES,
Y EN LA DE SEGURIDAD DE LA INFORMACIÓN, ASÍ COMO EL MANUAL ADMINISTRATIVO DE
APLICACIÓN GENERAL EN DICHAS MATERIAS.
ARTÍCULO PRIMERO.- Se REFORMAN: el artículo 2; el párrafo primero, las fracciones I, III, IV y IX del artículo 5, el artículo 6; el artículo 8; el artículo 9; las fracciones I, II, V, VII y VIII, del artículo 10; las fracciones II y III del artículo 11; las fracciones V, VI y VII del artículo 13; las fracciones I, II y III del artículo 14; las fracciones IV y VI del artículo 17; la fracción III del artículo 18; las fracciones III y IV del artículo 19; el artículo 23; el artículo 24 y la fracción VIII del artículo 27; Se ADICIONAN: un párrafo segundo al artículo 3; el artículo 4 BIS; las fracciones IX, X y XI al artículo 10; las fracciones IV a VI al artículo 11; la fracción VIII al artículo 13; la fracción IV al artículo 14 y las fracciones V y VI al artículo 19 del Acuerdo que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como establecer el Manual Administrativo de Aplicación General en dichas materias, para quedar como sigue: "Capítulo I
Objeto, Ámbito de Aplicación y Definiciones
Artículo 2.- Para los efectos del presente Acuerdo, se entiende por: · Activos de TIC: los aplicativos de cómputo, bienes informáticos, soluciones tecnológicas, sus componentes, las bases de datos o archivos electrónicos y la información contenida en éstos; · Acuerdo: el Acuerdo que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como establecer el manual administrativo de aplicación general en dichas materias. · Aplicativo de Cómputo: el software y/o los sistemas informáticos, que se conforman por un conjunto de componentes o programas construidos con herramientas que habilitan una funcionalidad o digitalizan un proceso, de acuerdo a requerimientos previamente definidos; · Arquitectura Empresarial: la información del estado actual y futuro de una Institución, a partir del análisis con perspectiva estratégica; considerando modelos de negocio, procesos, aplicativos y tecnologías de la información y comunicaciones; · Arquitectura Orientada a Servicios: la metodología y marco de trabajo, para construir componentes de software reutilizables para la interoperabilidad de aplicativos de cómputo; · Bases de Colaboración: los instrumentos consensuales celebrados por las Instituciones para establecer acciones que modernicen y mejoren la prestación de los servicios públicos, promocionen la productividad en el desempeño de sus funciones y reduzcan gastos de operación, a fin de incrementar la eficiencia y eficacia y cumplir con los objetivos previstos en el Programa y formalizar los compromisos, así como sus respectivos indicadores de desempeño; · Borrado Seguro: el proceso mediante el cual se elimina de manera permanente y de forma irrecuperable la información contenida en medios de almacenamiento digital; · Cartera Ejecutiva de Proyectos de TIC: Conjunto total de proyectos de TIC que la institución propondrá a la Unidad para su seguimiento; · Cartera Operativa de Proyectos de TIC: Conjunto total de proyectos que soportan la operación diaria de la UTIC y no son considerados como estratégicos; · Centro: el Centro de Investigación y Seguridad Nacional, órgano desconcentrado de la Secretaría de Gobernación; · Centro de Datos: el lugar físico en los que se ubiquen los activos de TIC y desde el que se proveen servicios de TIC; · CNTSE: el Catálogo Nacional de Trámites y Servicios del Estado, al que se alude en el Programa; · Cómputo en la Nube: al modelo de prestación de servicios digitales que permite a las Instituciones acceder a un catálogo de servicios digitales estandarizados, los cuales pueden ser: de infraestructura como servicios, de plataforma como servicios y de software como servicios; · Decreto: el Decreto que establece las medidas para el uso eficiente, transparente y eficaz de los recursos públicos, y las acciones de disciplina presupuestaria en el ejercicio del gasto público, así como para la modernización de la Administración Pública Federal, publicado en el Diario Oficial de la Federación el 10 de diciembre de 2012; · Decreto de Datos Abiertos: el Decreto por el que se establece la regulación en materia de Datos Abiertos publicado en el Diario Oficial de la Federación el 20 de febrero de 2015; · Dependencias: las Secretarías de Estado, incluyendo a sus órganos administrativos desconcentrados y la Consejería Jurídica del Ejecutivo Federal, así como a la Oficina de la Presidencia de la República y la Procuraduría General de la República; así como los Órganos Reguladores Coordinados en Materia Energética; · Diseminación: la transmisión o entrega de información considerada de seguridad nacional, a quienes cumplan con los requisitos para conocer esa información, de acuerdo con el nivel de acceso autorizado; · Dominio Tecnológico: las agrupaciones lógicas de TIC denominadas dominios, que conforman la arquitectura tecnológica de la Institución, los cuales podrán ser, entre otros, los grupos de seguridad, cómputo central y distribuido, cómputo de usuario final, telecomunicaciones, colaboración y correo electrónico, internet, intranet y aplicativos de cómputo; · EDN: la Estrategia Digital Nacional contenida en el Objetivo número 5 del Programa; · EIDA: el Esquema de Interoperabilidad y de Datos Abiertos de la Administración Pública Federal, establecido mediante Acuerdo publicado en el Diario Oficial de la Federación el 6 de septiembre de 2011; · Entidades: los organismos descentralizados, empresas de participación estatal mayoritaria, instituciones nacionales de crédito, organizaciones auxiliares nacionales de crédito e instituciones nacionales de seguros y de fianzas, y fideicomisos públicos que en términos de la Ley Orgánica de la Administración Pública Federal y de la Ley Federal de las Entidades Paraestatales, sean considerados entidades de la Administración Pública Federal Paraestatal; · ERISC: equipo de respuesta a incidentes de seguridad en TIC en la Institución; · Esquema de Tiempo y Materiales: los servicios en que el proveedor asigna, durante un periodo, un determinado número de recursos humanos, que cumplirán actividades definidas mediante un contrato; · Estándar abierto: a las especificaciones cuya utilización esté disponible de manera gratuita o que no suponga una dificultad de acceso, y que su uso y aplicación no esté condicionada al pago de un derecho de propiedad · Herramienta de Gestión de la Política TIC: sistema web usado para llevar a cabo la comunicación de actividades de reporte establecidas en el Acuerdo, considerando el reporte de PETIC, la obtención del dictamen técnico que emite la Unidad, autorización por parte de la UPCP, la arquitectura empresarial, el MAAGTICSI, entre otros; · Identidad Digital: la identificación única de una persona física o moral por medio de la Clave Única de Registro de Población (CURP) o la clave del Registro Federal de Contribuyentes (RFC) e.firma, ante un aplicativo de cómputo o un servicio electrónico; · Infraestructura Activa: elementos de las redes de telecomunicaciones o radiodifusión que almacenan, emiten, procesan, reciben o transmiten escritos, imágenes, sonidos, señales, signos o información de cualquier naturaleza; · Infraestructuras Críticas de Información: Las infraestructuras de información esenciales consideradas estratégicas, por estar relacionadas con la provisión de bienes y prestación de servicios públicos esenciales, y cuya afectación pudiera comprometer la Seguridad Nacional en términos de la Ley de la materia. · Infraestructuras de Información esenciales: Las redes, servicios, equipos e instalaciones asociados o vinculados con activos de información, TIC y TO, cuya afectación, interrupción o destrucción tendría un impacto mayor en la operación de las Instituciones. · Infraestructura de TIC: el hardware, software, redes e instalaciones requeridas para desarrollar, probar, proveer, monitorear, controlar y soportar los servicios de TIC; · Infraestructura Pasiva: elementos accesorios que proporcionan soporte a la infraestructura activa, entre otros, bastidores, cableado subterráneo y aéreo, canalizaciones, construcciones, ductos, obras, postes, sistemas de suministro y respaldo de energía eléctrica, sistemas de climatización, sitios, torres y demás aditamentos, dentro de las instalaciones de las dependencias o entidades, que sean necesarios para la instalación y operación de las redes, así como para la prestación de servicios de procesamiento de datos, de telecomunicaciones y radiodifusión; · Instancias de Seguridad Nacional: las Instituciones o autoridades que en función de sus atribuciones participen directa o indirectamente en la seguridad nacional, conforme a lo dispuesto en la fracción II del artículo 6 de la Ley de Seguridad Nacional, incluidas aquellas que tengan reconocido dicho carácter por Acuerdo tomado en el seno del Consejo de Seguridad Nacional; · Institución: las dependencias y entidades de la Administración Pública Federal, tal y como se definen en este Acuerdo; · Lineamientos: los Lineamientos para la aplicación y seguimiento de las medidas para el uso eficiente, transparente y eficaz de los recursos públicos, y las acciones de disciplina presupuestaria en el ejercicio del gasto público, así como para la modernización de la Administración Pública Federal, publicados en el Diario Oficial de la Federación el 30 de enero de 2013; · MAAGMAASSP: el Manual Administrativo de Aplicación General en Materia de Adquisiciones, Arrendamientos y Servicios del Sector Público; · MAAGTICSI: el Manual Administrativo de Aplicación General en las materias de tecnologías de la información y comunicaciones, y en la de seguridad de la información. Anexo Único del presente Acuerdo; · Niveles de servicio: el establecimiento en un lenguaje no técnico del servicios brindado, incluyendo al menos la definición, disponibilidad, calidad, tiempos de respuesta y solución. · PETIC: el conjunto de proyectos que elaboran las Instituciones, conformado por un máximo de 7 proyectos estratégicos, en los términos establecidos en el presente Acuerdo; · Portafolio de proyectos de TIC: es el total de los proyectos de TIC agrupados según su clasificación en Cartera Ejecutiva de Proyectos de TIC y Cartera Operativa de Proyectos de TIC que la Institución planea desarrollar, en los términos establecidos por el MAAGTICSI; · Programa: el Programa para un Gobierno Cercano y Moderno 2013-2018, aprobado mediante Decreto publicado en el Diario Oficial de la Federación el 30 de agosto de 2013; · Proyectos de TIC: el esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado de TIC y que cuenta con presupuesto para su ejecución; considerando 2 tipos: proyectos operativos que soportan las actividades diarias de la UTIC y proyectos estratégicos en los términos señalados en el presente Acuerdo; · Retos Públicos: el modelo que fomenta la democratización del gasto público y la innovación, invitando a los emprendedores del país a plantear soluciones a retos de gobierno mediante el desarrollo de aplicativos tecnológicos web y móviles; · SEGOB: la Secretaría de Gobernación; · Seguridad de la información: la capacidad de preservar la confidencialidad, integridad y disponibilidad de la información, así como la autenticidad, confiabilidad, trazabilidad y no repudio de la misma; · Seguridad Nacional: las acciones a las que se refiere el artículo 3 de la Ley de Seguridad Nacional; · SFP: la Secretaría de la Función Pública; · SHCP: la Secretaría de Hacienda y Crédito Público; · Tecnologías Verdes: el conjunto de mecanismos y acciones sobre el uso y aprovechamiento de las tecnologías de la información y comunicaciones, que reducen el impacto de éstas sobre el medio ambiente, contribuyendo a la sustentabilidad ambiental; considerando inclusive el reciclaje de componentes utilizados en el uso de estas tecnologías; · TIC: las tecnologías de información y comunicaciones que comprenden el equipo de cómputo, software y dispositivos de impresión que sean utilizados para almacenar, procesar, convertir, proteger, transferir y recuperar información, datos, voz, imágenes y video; · Unidad: la Unidad de Gobierno Digital de la SFP; · Ventanilla Única Nacional: la establecida a través del Decreto publicado en el Diario Oficial de la Federación el 3 de febrero de 2015; · UPCP: la Unidad Política de Control Presupuestario de la SHCP, y · UTIC: la Unidad de Tecnologías de Información y Comunicaciones o área responsables de las TIC en la Institución. Capítulo II
Responsables de la Aplicación
Artículo 3.- ... El Órgano Interno de Control respectivo, respecto al PETIC y del MAAGTICSI, podrá emitir las sugerencias u observaciones que de manera fundada y motivada que considere pertinentes, directamente a la UTIC, por medio de oficio entregado por mensajería tradicional o correo certificado, con acuse de recibo. También podrá realizarse mediante telefax, medios de comunicación electrónica o cualquier otro medio, siempre que pueda comprobarse fehacientemente la recepción del mismo. Capítulo III
Políticas para la Estrategia Digital Nacional
Artículo 4 BIS.- El modelo de contrataciones en materia de tecnología de la información y comunicación deberá adoptar y desarrollar estándares abiertos que permitan la aplicación de Interoperabilidad, escalabilidad, sostenibilidad, estabilidad, así como flexibilidad ante la evolución tecnológica, y el mejor beneficio para el Estado, atendiendo los objetivos del proyecto al que se destinen la tecnología a contratar. Artículo 5.- El Portafolio de Proyectos de TIC se sujetará al artículo anterior, para lo cual atenderá lo siguiente: I. Favorecer el uso del cómputo en la nube para el aprovechamiento de la economía de escala, eficiencia en la gestión gubernamental, fomentando la utilización de las TIC, los estándares abiertos y teniendo en consideración la seguridad de la información y la protección de datos personales; II. ... III. Establecer una ficha técnica base, de acuerdo al formato establecido en la Herramienta de Gestión de la Política TIC, para cada una de las Iniciativas y Proyectos de TIC, en la cual se registre el presupuesto estimado y, de ser el caso, el presupuesto autorizado para el ejercicio fiscal, así como necesidades adicionales en este rubro; IV. Identificar los Proyectos de TIC que aporten mayores beneficios a la población o cuenten con alto impacto en el cumplimiento de los objetivos institucionales, de la EDN y del Decreto, en el ámbito de sus atribuciones, identificándolos como estratégicos; V. a VIII. ... IX. Se deberán someter a la aprobación de la Unidad los aplicativos de cómputo para dispositivos móviles que planeen desarrollar. Artículo 6.- Una vez elaborada la Cartera Ejecutiva de Proyectos de TIC conforme al proceso de Planeación Estratégica que se establece en el MAAGTICSI, se atenderá lo siguiente: I. Las Instituciones presentarán a la Unidad, a través de la Herramienta de Gestión de la Política TIC, en el mes de octubre de cada año, la Cartera Ejecutiva de Proyectos de TIC del año siguiente; para conformar el PETIC deberán identificar como máximo 7 Proyectos de TIC como estratégicos, considerando como criterio preferentemente para su identificación, que aporten mayores beneficios a la población o cuenten con alto impacto en el cumplimiento de los objetivos institucionales, de la EDN, del Programa y del Decreto. Los proyectos de TIC que conformen el PETIC se propondrán a la Unidad para su seguimiento. Una vez presentada la Cartera Ejecutiva de Proyectos de TIC, la Unidad remitirá a las Instituciones, en su caso, la autorización correspondiente, a más tardar el 31 de diciembre del año anterior al que corresponda a la Cartera Ejecutiva de proyectos de TIC presentada. En el supuesto que la Unidad formule observaciones, las Instituciones contarán con diez días hábiles a partir de que se les notifique, para solventarlas y presentar nuevamente su Cartera Ejecutiva de Proyectos de TIC incluido el PETIC; en cuyo caso, la Unidad contará con 10 días hábiles para dar una respuesta; II. La Unidad seleccionará de la Cartera Ejecutiva de Proyectos de TIC propuestos por las Instituciones, aquéllos a los que dará seguimiento, tomando como base los que aporten mayores beneficios a la población o cuenten con alto impacto en el cumplimiento de los objetivos institucionales, de la EDN, del Programa y del Decreto, y III. La Unidad verificará, para su aprobación, que las Instituciones hayan evaluado la pertinencia de desarrollar aplicativos de cómputo para dispositivos móviles bajo el modelo de Retos Públicos, y que éstas sean concordantes con estas políticas y demás disposiciones aplicables. Artículo 8.- Las Instituciones deberán compartir recursos de infraestructura, bienes y servicios en todos los dominios tecnológicos, utilizando soluciones tecnológicas comunes a nivel institucional, sectorial y de la Administración Pública Federal, conforme a las directrices que emita la Unidad, teniendo en consideración la seguridad de la información, la privacidad y protección de datos personales. Artículo 9.- Las Instituciones para la contratación de adquisiciones y arrendamientos de bienes muebles y de prestación de servicios, en materia de TIC, además de sujetarse a las disposiciones que se establecen en la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público, su Reglamento, el MAAGMAASSP y demás disposiciones aplicables en la materia, deberán observar lo siguiente: I. En la planeación de las contrataciones, se sujetarán a las estrategias y líneas de acción de la EDN contenidas en el Programa; II. En la investigación de mercado que deban realizar para seleccionar el procedimiento de contratación, verificarán si existe algún ente público que, conforme a su objeto y niveles de servicio, esté en posibilidad de suministrar los bienes o prestar los servicios que se requieran, a efecto de considerarlo en dicha investigación; III. En la contratación para la prestación de servicios, se establecerá en la convocatoria a la licitación pública, en la invitación a cuando menos tres personas o en las solicitudes de cotización, o bien en los contratos que celebren con otros entes públicos, según corresponda, la obligación de presentar, además de los precios unitarios del servicio, un desglose de los componentes que integren el servicio a prestar; IV. Prever, en su caso, acciones por parte del proveedor para el adiestramiento formal especializado, para quienes resulte pertinente, de acuerdo al dominio tecnológico objeto de la contratación y, V. Cuando la dependencia o entidad de que se trate pretenda arrendar o contratar servicios de bienes de TIC, inferiores al equivalente a trescientas veces el salario mínimo diario general vigente en la Ciudad de México, no será necesario justifiquen y manifiesten el costo-beneficio de dichas adquisiciones, ante esta Unidad, por lo que no requerirá el Dictamen técnico correspondiente. La UTIC registrará en la Herramienta de Gestión de la Política TIC su Estudio de Factibilidad, el cual deberá ser turnado al Órgano Interno de Control respectivo para que de conformidad con lo señalado en el numeral 32 de los lineamientos, este último emita sus sugerencias y comentarios de manera fundada y motivada a través de la Herramienta de Gestión de la Política TIC, a más tardar dentro de los 8 días hábiles siguientes a la recepción, una vez que la UTIC reciba dicha respuesta podrá enviar el estudio en cuestión a la Unidad. En el caso de adquisiciones, la Unidad emitirá el dictamen técnico correspondiente a más tardar a los 10 días hábiles posteriores a la recepción de la solicitud y lo turnará a la UPCP junto con la solicitud y sus anexos. La UPCP en el ámbito de sus atribuciones emitirá el pronunciamiento dentro de los 20 días hábiles posteriores a la recepción de la solicitud, tal y como lo establece el numeral 33 de los lineamientos. Tratándose de arrendamientos y contratación de servicios de bienes de TIC la Unidad emitirá, en su caso, el dictamen favorable, a través de la Herramienta de Gestión de la Política TIC, en un término de quince días hábiles posteriores a la recepción de la solicitud correspondiente. Las solicitudes se tendrán por dictaminadas favorablemente, si transcurrido el plazo señalado la Unidad no emite pronunciamiento alguno. En caso de que la Unidad requiera mayor información, podrá regresar la solicitud a la Institución y formular el requerimiento respectivo, en dicho caso el cómputo del plazo señalado en los párrafos anteriores se reiniciará una vez que se presente la información requerida. Para la contratación de servicios de hospedaje de infraestructura y aplicaciones en un centro de datos, incluyendo hospedaje en la nube, las Instituciones deberán solicitar la autorización a la Unidad, de conformidad al numeral 35 de los Lineamientos. La Unidad se podrá allegar de la opinión de servidores públicos de las diversas dependencias y entidades de la Administración Pública Federal para la emisión del dictamen técnico correspondiente. Artículo 10.- ... I. Requerir a los participantes en el procedimiento de contratación o al ente público con el que se pretenda contratar, cuando se considere aplicable, la presentación de acreditaciones de Normas Oficiales Mexicanas, Normas Mexicanas y Normas Internacionales en términos de la Ley Federal sobre Metrología y Normalización, así como la certificación de otros estándares o modelos reconocidos por la industria como las mejores prácticas. Previo a establecer el requerimiento de certificaciones o acreditaciones a que se refiere el párrafo anterior, las Instituciones deberán obtener el dictamen técnico favorable de la Unidad, para lo cual presentarán la justificación correspondiente a través de la Herramienta de Gestión de la Política TIC, sujetándose a los plazos establecidos en el artículo 9 de este Acuerdo; II. Incluir el diseño detallado del aplicativo que se vaya a desarrollar, considerando por lo menos, requerimientos del negocio, de seguridad de la información, de privacidad y protección de datos personales, técnicos, casos de uso, módulos, matriz de trazabilidad y protocolos de pruebas; así como el uso de la Identidad digital y, en su caso, lo dispuesto en artículo 19 fracción IV y artículo 26 del presente Acuerdo; considerando las guías o disposiciones que emita la Unidad a través de su portal; III. a IV. ... V. Señalar que el desarrollo de aplicativos de cómputo por encargo, desarrollados por personal de la Institución o realizados con recursos públicos, queden bajo la titularidad de la Institución en los términos de la ley aplicable en la materia, en el que se incluirán la totalidad de los componentes del aplicativo de cómputo, como son, el código fuente, el código objeto, el diseño físico y lógico, los manuales técnicos y de usuario; exceptuando todos aquellos que ya cuenten con un registro, patente o licencia de uso; VI. ... VII. Prever que la transferencia de datos se realice sobre canales seguros en donde se favorezca el cifrado y la integridad de los datos críticos, confidenciales sensibles, en concordancia con el MAAGTICSI, en lo referente a Seguridad de la Información; VIII. Requerir, para el caso del desarrollo de aplicativos de cómputo, por lo menos un modelo de tres capas: de datos, del negocio y de presentación; I. Verificar que se cumplan las especificaciones de diseño, codificación y seguridad, definidas por la Institución, utilizando metodologías o procedimientos estándares para el análisis, diseño, programación y pruebas de software con el objetivo de lograr una mayor confiabilidad, lo cual no deberá ser realizado por el proveedor ni equipo de trabajo que codificó el producto de software; II. Analizar la viabilidad de llevar a cabo el desarrollo de aplicativos web o móviles a través del modelo de retos públicos; considerando las guías que emita la Unidad a través de su portal, y III. En los trámites y servicios digitales que ofrezcan, deberán establecer como medio de acreditación personal la identidad digital, según resulte procedente. Al efectuar el diseño de aplicativos de cómputo y de servicios nuevos o que requieran de adecuaciones se implementará la identidad digital. Artículo 11.- ... I. II. Contar con mecanismos estándares de cifrado de datos, de acuerdo a lo que se establece en las reglas del proceso de administración de servicios del MAAGTICSI, considerando la criticidad de los datos en sus etapas de tratamiento, especialmente en su transmisión a través de redes de telecomunicaciones; III. Incluir mecanismos que soporten y habiliten servicios de multidifusión en redes privadas o locales, así como en redes de área amplia, para soportar el envío de información y datos en video, así como los beneficios en reducción de costos operativos, capacitación, agilidad gubernamental y experiencia al ciudadano; IV. Proporcionar las medidas necesarias para el óptimo funcionamiento de los equipos que conforman la red de telepresencia, considerando al menos equipos de conmutación de datos, ruteadores, equipos ópticos e infraestructura pasiva con los que cuenten; V. Prever que la infraestructura pasiva quede a favor de la Institución al término del contrato, en las convocatorias a la licitación pública, en las invitaciones a cuando menos tres personas o las solicitudes de cotización, o bien en los contratos que celebren con otros entes públicos, y VI. Considerar que los equipos de frontera soporten preferentemente la versión 4 y 6 del protocolo de internet. Artículo 13.- ... I. a IV. ... V. Almacenar y administrar en los Centros de Datos que se encuentren en las instalaciones de las Instituciones, los datos considerados de seguridad nacional y seguridad pública conforme a la normatividad aplicable; VI. Mantener en la infraestructura de los Centros de Datos una arquitectura que permita la portabilidad, de forma tal que las aplicaciones de cómputo puedan migrar entre distintos Centros de Datos y sean interoperables, dicha infraestructura deberá ser compatible con el uso de máquinas virtuales. En caso de contrataciones de servicios de Centro de Datos, se incluirá en la convocatoria a la licitación pública, en la invitación a cuando menos tres personas o en las solicitudes de cotización, o bien en los contratos que celebren con otros entes públicos, según corresponda, la opción de efectuar la migración de los aplicativos de cómputo de las plataformas con las que cuenta la Institución, a una versión virtualizada de las mismas, así como el acompañamiento para dicho proceso; VII. Establecer la infraestructura y administración de la seguridad de la información en zonas de seguridad física y lógica, considerando identidad, perfiles y privilegios, incluyendo en éstas las necesarias para el personal involucrado, conforme a los controles de seguridad de la información que se definan atendiendo a lo previsto en el MAAGTICSI, y VIII. En la contratación de servicios de hospedaje, gestión u operación de Centro de Datos, deberán asegurarse se establezca el acceso irrestricto a la información y datos propiedad de la Institución, durante la vigencia del mismo, así como la devolución de la información y datos al término del servicio. Artículo 14.- ... I. El servicio deberá comprender soluciones de filtrado para correo no deseado o no solicitado y antivirus que protejan el envío y recepción de correos; II. La obligación del proveedor de entregar a la Institución la totalidad de los correos electrónicos, en un plazo no mayor a 30 días naturales, a partir del término del contrato; III. Las Instituciones contarán con 30 días naturales a partir de la fecha de entrega de los correos electrónicos por parte del proveedor para validar la información recibida y, en su caso, solicitar al mismo aclaraciones sobre los entregables, y IV. Al término del plazo señalado en la fracción anterior, y no habiendo aclaraciones pendientes de resolver, el proveedor contará con 10 días naturales para entregar evidencias auditables de no conservar información alguna utilizando métodos de borrado seguro. Artículo 17.- ... I. a III. ... IV. Prever que la infraestructura pasiva quede a favor de la Institución al término del contrato, en las convocatorias a la licitación pública, en las invitaciones a cuando menos tres personas o las solicitudes de cotización, o bien en los contratos que celebren con otros entes públicos; V. ... VI. Utilizar esquemas de consulta y acceso a directorio u otra base de datos normalizada para control de accesos y usuarios; VII. a IX. ... Artículo 18.- I. a II. ... III. Ejecutar rutinas de análisis de vulnerabilidades acordes con el software de capa intermedia que se establezca, a fin de disminuir el riesgo por falta de disponibilidad, de acuerdo a las guías de interoperabilidad que emita la Unidad a través de su portal. Artículo 19.- ... I. a II. ... III. Prever en la convocatoria a la licitación pública, en la invitación a cuando menos tres personas o en las solicitudes de cotización, o bien en los contratos que celebren con otros entes públicos, según corresponda, que en la contratación de servicios de hospedaje de páginas web y, de ser el caso, de cualquier otro tipo de presencia digital, el hospedaje se encuentre protegido bajo estándares nacionales, y en los casos que aplique, estándares internacionales de seguridad; asimismo, que sea provisto mediante enlaces de internet con protección ante amenazas y ataques, que permita mantener los niveles de servicio conforme a lo que se establece en el MAAGTICSI; IV. Contar con una versión móvil de su portal, cuyo desarrollo corresponda al lenguaje estándar basado en marcas de hipertexto, en versión 5 o superiores, compatibles con más de un navegador de Internet. Para el desarrollo de aplicativos para dispositivos móviles nativos se privilegiará el uso de dicho estándar o versiones superiores; V. Prever que cuenten con elementos de accesibilidad, de acuerdo a las guías que emita la Unidad, y VI. Cumplir con las disposiciones aplicables en materia de datos abiertos, protección de datos personales, seguridad de la información y derechos de autor. Capítulo IV
Disposiciones generales para la seguridad de la información
Sección I
Seguridad de la información
Artículo 23. Las Instituciones elaborarán su catálogo de infraestructuras de información esenciales y activos clave e identificarán, en su caso, las que tengan el carácter de infraestructuras críticas de información. El catálogo deberá mantenerse actualizado a fin de facilitar la definición de los controles que se requieran para protegerlas, en términos de lo previsto en el MAAGTICSI. Artículo 24. Las Instituciones desarrollarán un análisis de riesgos, que identifique, clasifique y priorice los mismos de acuerdo a su impacto en los procesos y servicios en la Institución. En aquellos casos en que las Instituciones, implementen una metodología distinta a la establecida en el MAAGTICSI para llevar a cabo el citado análisis de riesgos, ésta será válida para los efectos del presente Manual, siempre que contemple todos los elementos incluidos en los factores críticos de la actividad ASI 5. Artículo 27.- ... I. a VII. ... VIII. Establecer herramientas de filtrado de contenido, que incluya búsquedas e imágenes en Internet, y permitan la segmentación en distintas categorías, reportes y soporte de sitios de nueva generación y/o micro-aplicaciones." ARTÍCULO SEGUNDO.- Se REFORMAN las definiciones: Activo de información clave, Análisis de riesgos, Gestión de riesgos, Incidente, Infraestructura Críticas, Interdependencia, Riesgo y Vulnerabilidades del Apartado de Definiciones; los procesos I.A. Proceso de Planeación Estratégica (PE) y I.B. Proceso de Administración del Presupuesto y las Contrataciones (APCT) ambos del numeral I. Procesos de Gobernanza; los procesos II.A. Proceso de Administración de Servicios (ADS); II.B. Proceso de Administración de la Configuración (ACNF); el numeral 2 de los Objetivos Específicos, los numerales 4, 14, 18 y 19 de las Reglas del Proceso, el numeral 2 de los Roles del proceso, los numerales 1 y 2 de los Factores Críticos de las actividades del Proceso ASI 2 Operar y mantener el modelo de gobierno de seguridad de la Información, los numerales 7 y 8 de los Factores Críticos del ASI 3 Diseño del SGSI, el título, descripción, los numerales 1, 6, 10, 11, 12 y 14 del ASI 4 Identificar las infraestructuras críticas y los activos clave, el numeral 2 y los primeros tres subtítulos de los Factores Críticos del ASI 5 Elaborar el análisis de riesgos; la descripción, el numeral 1 de los Factores Críticos, sus incisos a), c), l), y o) su párrafo segundo y el numeral 2 del proceso ASI 6 Integrar al SGSI los controles mínimos de seguridad de la información y el numeral 2 de la Relación de Productos, del numeral II.C. Proceso de administración de la seguridad de la información (ASI), todos ellos del numeral II. Procesos de Organización; los numerales III.A. Proceso de Administración de Proyectos (ADP), III.C. Proceso de Administración de la Operación (AOP) y III.D Proceso de Operación de los Controles de Seguridad de la Información y del ERISC (OPEC), todos del numeral III. Procesos de Entrega. Se ADICIONAN las definiciones Infraestructuras de información esenciales y Tecnologías de Operación (TO) del Apartado de Definiciones; los numerales 20 y 21 de las Reglas del proceso, los numerales 9 a 18 de los Factores Críticos del ASI 3 Diseño del SGSI, los incisos p), q) y r) del proceso ASI 6 Integrar al SGSI los controles mínimos de seguridad de la información y los numerales 6 a 9 del ASI 7 Mejorar el SGSI todos los anteriores del numeral II.C Proceso de administración de la seguridad de la información (ASI), este último perteneciente al numeral II. Procesos de Organización. Se DEROGAN los numerales 3 y 4 de los Roles del proceso y el numeral 5 de la Relación de Productos del proceso del numeral II. C Proceso de administración de la seguridad de la información (ASI), pertenecientes al numeral II. Procesos de Organización del Anexo Único. Manual Administrativo de Aplicación General en las Materias de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información, para quedar como sigue " | Para efectos de este manual, además de las definiciones del artículo 2 del Acuerdo por el que se expide éste, se entenderá por: Términos: ... Activo de información clave: El activo de información que resulta esencial o estratégico para la operación y/o el control de una infraestructuras de información esenciales y/o críticas, o incluso de una que no tenga este carácter, pero cuya destrucción, pérdida, alteración o falla tendría un grave impacto o consecuencia en la funcionalidad de la infraestructura o en los servicios que soporta. ... ... ... ... ... ... ... ... Análisis de riesgos: El uso sistemático de la información para identificar las fuentes de vulnerabilidades y amenazas a los activos de TIC, a las infraestructuras de información esenciales y/o críticas o a los activos de información, así como efectuar la evaluación de su magnitud o impacto y estimar los recursos necesarios para eliminarlas o mitigarlas. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... Gestión de riesgos: La identificación, valoración y ejecución de acciones para el control y minimización de los riesgos que afecten a los activos de TIC, a las infraestructuras de información esenciales y/o críticas o a los activos de información de la Institución. ... Incidente: A la afectación o interrupción a los activos de TIC, a las infraestructuras de información esenciales y/o críticas, así como a los activos de información de la Institución, incluido el acceso no autorizado o no programado a éstos. Infraestructuras Críticas de Información: Las infraestructuras de información esenciales consideradas estratégicas, por estar relacionadas con la provisión de bienes y prestación de servicios públicos esenciales, y cuya afectación pudiera comprometer la Seguridad Nacional en términos de la Ley de la materia. | | Infraestructuras de Información esenciales: Las redes, servicios, equipos e instalaciones asociados o vinculados con activos de información, TIC y TO, cuya afectación, interrupción o destrucción tendría un impacto mayor en la operación de las Instituciones. ... Interdependencia: La interconexión estrecha que existe entre las infraestructuras de información esenciales, y que conlleva a que la falla o falta de una de ellas impacte negativamente en otras, presentándose como consecuencia un efecto cascada de fallas en la prestación de servicios. ... ... ... ... ... ... ... ... ... ... ... ... ... ... Riesgo: La posibilidad de que una amenaza pueda explotar una vulnerabilidad y causar una pérdida o daño sobre los activos de TIC, las infraestructuras de información esenciales y/o críticas y activos de información de la Institución. ... ... Tecnologías de Operación (TO): Hardware o software que detecta o genera un cambio a través del control y/o monitoreo de dispositivos físicos, procesos y eventos en las Instituciones. ... ... ... ... Vulnerabilidades: Las debilidades en la seguridad de la información dentro de una organización que potencialmente permite que una amenaza afecte a los activos de TIC, a las infraestructuras de información esenciales y/o críticas, así como a los activos de información. Acrónimos: ... ... ... ... ... ... ... | | I. PROCESOS DE GOBERNANZA | | I.A. PROCESO DE PLANEACIÓN ESTRATÉGICA (PE) | | Objetivo General: | | Mantener la operación un modelo de gobierno de TIC en la Institución, para efectuar, entre otras acciones, el análisis de las oportunidades de aprovechamiento de las TIC, la planeación estratégica de TIC y asegurar la adecuada organización al interior de la UTIC para la gestión de sus procesos y vinculación ordenada con sus usuarios. | | 1. Promover que los mandos medios y los titulares de las unidades administrativas de la Institución, coadyuven con la UTIC en la toma de decisiones para la dirección y control de las TIC, así como para la entrega efectiva y eficiente de los sistemas y servicios de TIC. 2. Prever que la Institución cuente con una Cartera Ejecutiva de Proyectos TIC, con el objeto de establecer líneas de acción en materia de TIC y su seguimiento, alineadas a los objetivos institucionales, al Plan Nacional de Desarrollo 2013-2018, a los programas sectoriales y especiales que resulten aplicables, así como al Decreto, el Programa, las Bases de colaboración que haya celebrado la Institución y las líneas de acción de la EDN. | | Reglas del proceso: | | 1. El Titular de la UTIC es el responsable de la Planeación estratégica de TIC de la Institución. El titular de la UTIC podrá designar como corresponsable de la Planeación estratégica de TIC en la Institución a un colaborador de un nivel inmediato inferior que le reporte directamente. 2. El Titular de la UTIC deberá asegurarse que la Cartera Ejecutiva de Proyectos de TIC de la Institución cumpla con las disposiciones del Acuerdo. 3. El Grupo de trabajo para la dirección de TIC deberá apoyar la implementación, operación y mejora del SGSI, así como las acciones que realice el Grupo estratégico de seguridad de la información. 4. El Responsable de este proceso deberá asegurarse que el PETIC se integre en el sistema que para tales efectos informe la Unidad, habiendo cubierto previamente las autorizaciones correspondientes al interior de la Institución, tal y como lo establece el presente proceso. | | Roles del proceso: | | 1. Titular de la UTIC. 2. Responsable de la Planeación estratégica de la UTIC. 3. Grupo de trabajo para la dirección de TIC. | | PE 1Establecer la gobernabilidad de las operaciones de la UTIC. Descripción: Establecer el grupo de trabajo para la dirección de TIC, que lleve el gobierno de TIC, tanto en la operación de los procesos de la UTIC y áreas vinculadas, como en la entrega de los servicios de TIC. | | Factores Críticos: El responsable de la planeación estratégica de la UTIC deberá: 1. Solicitar la intervención del titular de la Institución, o el de un inmediato inferior que el titular designe, para establecer el grupo de trabajo para la dirección de TIC, el cual deberá integrarse por mandos superiores con capacidad de toma de decisiones sobre los objetivos, metas y proyectos institucionales de TIC, y formalizarse mediante una acta la integración y forma de operación del grupo de trabajo para la dirección de TIC. 2. Definir, implementar y mantener una adecuada organización al interior de la UTIC, mediante la asignación de roles y responsabilidades para la gestión de los procesos de ésta, atendiendo a las necesidades de los procesos y proyectos de la UTIC. 3. Informar al titular de la Institución acerca de los resultados, recomendaciones y acuerdos del grupo de trabajo para la dirección de TIC. El grupo de trabajo para la dirección de TIC deberá efectuar, entre otras, las siguientes actividades: 1. Asegurar que la dependencia cuente con una Cartera Ejecutiva de Proyectos de TIC actualizada, conforme al Factor Crítico PE-2 2. Alinear las prioridades de la Cartera Ejecutiva de Proyectos de TIC con las prioridades institucionales, así como con los programas sectoriales y especiales que le competan 3. Verificar que las principales inversiones en materia de TIC se encuentren alineadas a los objetivos estratégicos de la Institución 4. Establecer la coordinación necesaria con el responsable de seguridad de la información en la Institución para armonizar el gobierno de TIC, la administración de riesgos y el SGSI. | | PE-2 Integrar la información de la Cartera Ejecutiva de Proyectos de TIC. Descripción: Integrar la información de los proyectos que conformarán la Cartera Ejecutiva de Proyectos de TIC institucional, incluyendo su línea base y las fechas de ejecución de las principales actividades para su seguimiento. | | Factores críticos: El responsable de la planeación estratégica de la UTIC deberá: 1. Identificar y categorizar el conjunto de proyectos de TIC que integrarán la Cartera Ejecutiva de Proyectos de TIC, de la siguiente forma: a) Proyectos Estratégicos de TIC (PETIC). Identificar un máximo de 7 proyectos de TIC que se consideren estratégicos, para conformar el PETIC, aplicando como criterio preferente para su identificación que aporten mayores beneficios a la población o cuenten con alto impacto en el cumplimiento de los objetivos institucionales, del Decreto y la EDN;. b) Proyectos para contratación de bienes y servicios de TIC. Identificar los proyectos de TIC cuyo objetivo sea la contratación de bienes y servicios de TIC. 2. Los proyectos de TIC que no se consideren como estratégicos ni de contratación de bienes y servicios, no formarán parte de la Cartera Ejecutiva de Proyectos de TIC que se reportará a la Unidad, estos proyectos deberán gestionarse a través del proceso de Administración de Proyectos ADP. 3. Integrar, para cada uno de los proyectos de la Cartera Ejecutiva de Proyectos de TIC, la Ficha Técnica Base, que considere la fecha de inicio, fecha de término, presupuesto estimado y fechas estimadas de ejecución de las principales actividades (línea base), según los establecido por la Herramienta de Gestión de la Política TIC. 4. Los proyectos que conformarán la Cartera Ejecutiva de Proyectos de TIC, deberán categorizarse de acuerdo a la siguiente lista: a) Optimización. En donde por medio de la aplicación de TIC se logra una mejor manera de llevar a cabo actividades. b) Digitalización. Aplicación de TIC para la conversión de contenidos a medios digitales en la generación de trámites y servicios por este medio, así como el acceso a información en este formato. c) Simplificación. Aplicación de TIC para la reducción de tiempos, costos y requisitos en los trámites y servicios, así como en la eliminación o automatización de actividades en los procesos. d) Racionalización. Reducción en el costo de los recursos e insumos obtenidos de mejores prácticas y estrategias en la contratación. 5. Integrar en el PETIC los objetivos institucionales, las metas nacionales, del Programa y de la EDN, así como los elementos de la arquitectura empresarial institucional que lo conformen. | | PE-3 Validar, aprobar, comunicar y adecuar, de ser necesario, la Cartera Ejecutiva de Proyectos de TIC. Descripción: Validar, aprobar, comunicar y adecuar, de ser necesario, la Cartera Ejecutiva de Proyectos de TIC | | Factores críticos: El titular de la UTIC, en la fecha que se determina en el Acuerdo, deberá: 1. Revisar y validar la Cartera Ejecutiva de Proyectos de TIC. 2. Presentar la Cartera Ejecutiva de Proyectos de TIC para la autorización del titular de la Institución, o el de un inmediato inferior que el titular designe. 3. Registrar y enviar a la Unidad la Cartera Ejecutiva de Proyectos de TIC, una vez cumplido el factor crítico anterior, a través de la Herramienta de Gestión de la Política TIC. El responsable de la planeación estratégica de la UTIC deberá: 1. Verificar que se obtenga la autorización de la Cartera Ejecutiva de Proyectos de TIC por parte de la Unidad, utilizando para ello el sistema web al que se alude en el factor crítico anterior. 2. Difundir la Cartera Ejecutiva de Proyectos de TIC a todos los involucrados para su cumplimiento en la UTIC y en la Institución. | | PE 4 Dar seguimiento a la planeación estratégica de TIC. Descripción: Dar seguimiento a los avances de la Cartera Ejecutiva de Proyectos de TIC y reportarlos a la Unidad. | | Factores críticos: El responsable de la planeación estratégica de la UTIC deberá: 1. Dar seguimiento al avance de la Cartera Ejecutiva de Proyectos de TIC, y reportarlo trimestralmente a la Unidad, previa aprobación del titular de la UTIC. 2. Informar trimestralmente al grupo de trabajo para la dirección de TIC sobre el cumplimiento en el avance de los proyectos que conforman la Cartera Ejecutiva de Proyectos de TIC. | | Relación de Productos del proceso: | | 1. "Acta de integración y forma de operación del grupo de trabajo para la dirección de TIC". Formato PE F1. 2. Cartera Ejecutiva de Proyectos de TIC en la Herramienta de Gestión de la Política TIC. | | Indicador del proceso: | | Nombre: Porcentaje de cumplimiento en la ejecución de los proyectos que integran la Cartera Ejecutiva de Proyectos de TIC. Objetivo: Medir la eficiencia en la ejecución de los proyectos. Descripción: Obtener la eficiencia en la ejecución de los proyectos que integran la Cartera Ejecutiva de Proyectos de TIC, con respecto a la línea base establecida en la planeación de los mismos. Fórmulas: Por cada uno de los proyectos en la Cartera Ejecutiva de Proyectos de TIC, se deberá realizar el siguiente cálculo: % Eficiencia en la ejecución del proyecto = (avance real / avance estimado) * 100 Una vez realizado el cálculo de cada uno de los proyectos que integran la Cartera Ejecutiva de Proyectos de TIC, se deberá realizar el siguiente cálculo: % de eficiencia en la ejecución de los proyectos que integran la Cartera Ejecutiva de Proyectos de TIC = Promedio de la eficiencia de cada proyecto que integra la Cartera Ejecutiva de Proyectos de TIC. Responsable: El responsable de la Planeación Estratégica de TIC (PE). Frecuencia de cálculo: Trimestral. | | I.B. Proceso de Administración del Presupuesto y las Contrataciones (APCT) | | Objetivo General: | | Coordinar las acciones para el ejercicio del presupuesto destinado a las TIC, a fin de maximizar su aplicación en las contrataciones de TIC requeridas por la Institución, así como las acciones para efectuar el acompañamiento necesario a las unidades facultadas para realizar los procedimientos de contrataciones en la Institución, de manera que se asegure su ejecución en tiempo y forma, alineado al presupuesto autorizado; así como el seguimiento a los contratos que se celebren. | | Objetivos Específicos: | | 1. Elaborar el listado de bienes y servicios de TIC que la UTIC requiera contratar en cada ejercicio fiscal, considerando las directrices de la Institución, así como las disposiciones que en materia presupuestaria, de adquisiciones, arrendamientos y servicios resulten aplicables. 2. Proporcionar al área contratante, el apoyo y los elementos técnicos necesarios para llevar a cabo los procedimientos de contratación de TIC y participar en los mismos de acuerdo a su ámbito de atribuciones. | | 1. El responsable del seguimiento del presupuesto autorizado, de los procedimientos de contratación de TIC y de los contratos celebrados en materia de TIC, deberá ser designado por el titular de la UTIC, y tener un nivel jerárquico inmediato inferior al de éste. 2. El responsable del proceso deberá asegurarse que éste se ejecute con apego a las disposiciones que en materia presupuestaria resulten aplicables, así como a los procesos de las unidades administrativas facultadas para administrar los recursos financieros y elaborar el anteproyecto anual de presupuesto de la Institución. 3. El responsable de este proceso deberá asegurarse que éste se efectúe con apego a las disposiciones en materia de adquisiciones y arrendamiento de bienes muebles y servicios, al Acuerdo por el que se expide el MAAGMAASSP, al Acuerdo y aquellas en materia presupuestaria, que resulten aplicables. 4. El titular de la UTIC, deberá designar a un representante con los conocimientos técnicos suficientes que permitan dar respuesta clara y precisa a las solicitudes de aclaración de los licitantes en las juntas de aclaraciones de los procedimientos de contratación a los que fuere convocada la UTIC como área técnica. 5. Cuando otras áreas o unidades administrativas de la Institución diversas a la UTIC, tengan asignados recursos financieros para la contratación de bienes o servicios de TIC necesarios para el cumplimiento de sus funciones, deberán contar previo al inicio del procedimiento de contratación de que se trate, con la aprobación por escrito de la UTIC, por medio de un dictamen técnico. 6. En el supuesto a que se refiere la regla anterior, corresponderá al área o unidad administrativa de que se trate, fungir como área técnica, por lo que la UTIC deberá proporcionar el apoyo técnico que le sea requerido por ésta. 7. En aquellos casos en que se integren o adicionen componentes de software a un aplicativo de cómputo o a un servicio de TIC ya existente, el responsable del proceso se deberá asegurar de que se consideren las siguientes pruebas: integrales, de funcionalidad, estrés, volumen, aceptación del usuario y de seguridad, con el propósito de comprobar que la funcionalidad del aplicativo de cómputo o servicio de TIC existente se mantiene inalterada y que la relativa al componente integrado o adicionado es consistente. 8. El responsable de este proceso deberá verificar que cada vez que se suscriba un contrato para la adquisición, arrendamiento o servicios de TIC, éste sea registrado en el sistema electrónico de compras gubernamentales denominado CompraNet, con apego a la normatividad aplicable, así como en la Herramienta de Gestión de la Política TIC, en un plazo no mayor a días 10 hábiles una vez firmado dicho contrato. 9. El titular de la UTIC será el responsable de firmar electrónicamente el Estudio de Factibilidad, dentro de la Herramienta de Gestión de la Política TIC, así como de su trámite ante la Unidad. 10. El titular de la UTIC deberá constatar que se revise el inventario de aplicaciones de la APF para determinar si existe, con el propósito de su reutilización, un aplicativo de cómputo de características similares a los requerimientos que la UTIC reciba o que se generen dentro de la misma. En el caso de que en la revisión se haya determinado la existencia de algún aplicativo de cómputo susceptible de ser reutilizado, deberá dar aviso a la Unidad y gestionar dicha reutilización ante la UTIC de la Institución responsable del aplicativo de cómputo de que se trate. | | Roles del proceso: | | 1. Responsable del Proceso de Administración del Presupuesto y las Contrataciones (APCT). 2. Responsable del seguimiento del presupuesto autorizado de TIC. 3. Responsable del listado de bienes y servicios de TIC. | | APCT 1 Participar en el establecimiento de prioridades del presupuesto de TIC. Descripción: Participar en la definición de los proyectos a los que se dará prioridad al asignar los recursos financieros destinados a las TIC. | | Factores Críticos: El responsable del seguimiento del presupuesto, con apoyo de los responsables de los procesos de la UTIC, deberá: 1. Identificar los proyectos y servicios de TIC incluidos en los portafolios de proyectos y servicios de TIC, para los que sea necesaria una asignación presupuestaria. 2. Establecer escenarios para el adecuado ejercicio del presupuesto destinado a las TIC, indicando los gastos indispensables para garantizar la continuidad de la operación, los riesgos operativos y los correspondientes a los proyectos de TIC comprometidos. 3. Estimar los recursos presupuestarios de TIC, de acuerdo con los requerimientos previstos en los programas de aprovisionamiento y de mantenimiento de la infraestructura tecnológica de la UTIC. 4. Entregar el presupuesto estimado de TIC del ejercicio siguiente, previa autorización del Titular de la UTIC, a la Unidad administrativa facultada y responsable de la integración del anteproyecto anual de presupuesto de la Institución. 5. Gestionar ante la unidad administrativa facultada para administrar los recursos financieros de la Institución, las constancias de suficiencia presupuestaria para sustentar la contratación de bienes y servicios de TIC que sean requeridos por la UTIC. | | APCT 2 Establecer el listado de bienes y servicios de TIC a contratar por la UTIC en cada ejercicio fiscal. Descripción: Elaborar la planeación de las contrataciones de bienes y servicios de TIC en cada ejercicio fiscal con base en su presupuesto autorizado y realizar las acciones de apoyo para las contrataciones de TIC. | | Factores Críticos: El responsable del Proceso de Administración del Presupuesto y las Contrataciones (APCT), con apoyo del responsable del listado de bienes y servicios de TIC deberán: 1. Elaborar un listado de bienes y servicios de TIC a contratar por la UTIC en el ejercicio fiscal en curso, que incluya el cronograma de las contrataciones de TIC previstas, respecto de la Cartera Ejecutiva de Proyectos de TIC y reportarlo a la Unidad a través de la Herramienta de Gestión de la Política TIC, para que en su caso se emitan sugerencias y comentarios. 2. Verificar, en conjunto con la Unidad, la posibilidad de llevar a cabo contrataciones consolidadas y de utilizar contratos marco u otras estrategias de contratación, a fin de proponerlas al área de la Institución encargada de integrar el programa anual de adquisiciones, arrendamientos y servicios. | | APCT 3 Estudios de Factibilidad. Descripción: Contar con los estudios de factibilidad de las contrataciones en Materia de TIC conforme a la normatividad aplicable. | | Factores Críticos: El responsable del seguimiento del presupuesto, con apoyo de los responsables de los procesos de la UTIC, deberá: 1. Asegurar que, para cada contratación que se prevea, se elabore el Estudio de Factibilidad, y se remita a la Unidad, a través de la Herramienta de Gestión de la Política TIC, según se establece en el Acuerdo, a fin de obtener el dictamen correspondiente. 2. En concordancia con el factor crítico anterior, proponer la estrategia de contratación para los proyectos de TIC autorizados, al área contratante de la Institución. 3. Definir acciones a fin de proveer al área contratante de la Institución con los elementos técnicos necesarios para llevar a cabo los procedimientos de contratación que correspondan. 4. Verificar que la documentación soporte que deba entregarse al área contratante de la Institución se encuentre debidamente integrada, en términos de lo señalado en el numeral 4.2.1.1.8 del MAAGMAASSP, y particularmente que el anexo técnico que elabore la UTIC contenga las especificaciones y requerimientos técnicos del bien o servicio de TIC que se pretenda contratar, entre otros: a) Requerimientos funcionales. b) Requerimientos no funcionales, tales como: la disponibilidad del bien o servicio de TIC en función de las necesidades de la unidad administrativa solicitante, así como los controles de seguridad que deberán garantizarse respecto del bien o para la prestación del servicio de TIC de que se trate. c) Cuando corresponda, los casos de uso, módulos, matriz de trazabilidad y protocolos de | | | | |
