VERSIÓN 001 PROCEDIMIENTO ACTUALIZACIÓN DEL PLAN ESTRATÉGICO PETIC PÁGINA: 1 de 10

Transcripción

1 PROCESO GESTIÓN DE TECNOLOGÍA DE LA INFORMACIÓN Y LAS COMUNICACIONES CÓDIGO: GTC-PR-001 VERSIÓN 001 PROCEDIMIENTO ACTUALIZACIÓN DEL PLAN ESTRATÉGICO PETIC PÁGINA: 1 de OBJETIVO Establecer los proyectos tecnológicos claves, que le permitan al Centro Nacional de Memoria Histórica-CNMH fortalecer la apropiación de las tecnologías de la información y las comunicaciones y el cumplimiento con su misión, visión y objetivos estratégicos. 2. ALCANCE Desde el levantamiento de la información preliminar para la construcción del documento línea base, incluyendo el análisis de la información preliminar, la estructuración de los pilares estratégicos, la modelación integral, continuando con la socialización y validación del modelo, la aprobación del modelo integral, definición de planes y proyectos, socialización del documento PETIC y finaliza con la actualización del Plan Estratégico de Tecnología de la Información y las Comunicaciones - PETIC. 3. LÍDER DEL PROCEDIMIENTO Asesor Especializado en TIC 4. DEFINICIONES ARQUITECTURA DE APLICACIÓN: Técnicas, herramientas y procesos que rigen el ciclo de vida de las aplicaciones y sistemas de información. ARQUITECTURA DE DATOS: Construcción del método utilizado para almacenar información en una computadora. ARQUITECTURA DE INFRAESTRUCTURA TECNOLÓGICA: Es el conjunto de hardware y software para llevar a cabo toda la actividad. ARQUITECTURA DE SERVICIOS IT: Enfocado en la gobernabilidad, administración y gestión de los servicios IT, tomando como base las buenas prácticas del ITIL, orientado en la calidad del servicio ofrecido a los usuarios, internos, comunidad y partes interesadas. ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN: Esquema de acción estratégica estableciendo directrices a nivel de seguridad de la información. ITIL: Administración de servicios de tecnología que permite actuar como un medio para estructurar la organización de TI a través de un enfoque basado en procesos. PLAN ESTRATÉGICO: Documento que refleja la estrategia a seguir. Un plan estratégico oscila entre 1 y 5 años PETIC (Planeación Estratégica de Tecnologías de la Información y las Comunicaciones): Es el documento de planeación estratégica en el que se definen los objetivos y proyectos estratégicos de TIC que la entidad efectuará en el año que se reporta. SGSI (Sistemas de Gestión de Seguridad de la Información): Conjunto de políticas, procesos, procedimientos y normas, tendientes a garantizar la integridad, ELABORÓ REVISÓ APROBÓ NOMBRE CARGO FECHA FIRMA

2 ACTUALIZACIÓN DEL PLAN ESTRATÉGICO DE TECNOLOGÍAS DE INFORMACIÓN Y LAS COMUNICACIONES - PETIC CÓDIGO GTC-PR-001 VERSIÓN 001 PÁGINA 2 de DEFINICIONES la disponibilidad y la confiabilidad de los activos de la información de la entidad. SGCN (Sistema de Gestión de Continuidad del Negocio): Conjunto de políticas, procesos, procedimientos y normas, tendientes a garantizar la continuidad de los servicios que presta la entidad. TIC: Tecnología de la Información y las comunicaciones. 5. NORMAS LEGALES Decreto 2482 de 2012: Se establecen los lineamientos generales para la integración de la planeación y la gestión de las entidades públicas. Decreto 1151 de 2008: La implementación de la Estrategia de Gobierno en Línea. Decreto 4803 de 2011: Por el cual se establece la estructura del Centro Nacional de Memoria Histórica. 6. CONDICIONES GENERALES Para llevar a cabo la Planeación Estratégica de Tecnología, se tendrá en cuenta los lineamientos del Plan Estratégico del Centro Nacional de Memoria Histórica. El documento PETIC previo servirá de insumo para la actualización del mismo. El proceso de tecnología levantará información estratégica en conjunto con los líderes de los procesos. Para la actualización del PETIC se tendrá como referencia normas, estándares y/o mejores prácticas en tecnología como ITIL, COBIT, Normas ISO. El comité de tecnología revisará el documento de Planeación Estratégica de la Información y las comunicaciones y actualizará el planteamiento de arquitectura, seguridad y modelo del sistema integral del CNMH, si se requiere, con una periodicidad mínimo de tres años.

3 ACTUALIZACIÓN DEL PLAN ESTRATÉGICO DE TECNOLOGÍAS DE INFORMACIÓN Y LAS COMUNICACIONES - PETIC CÓDIGO GTC-PR-001 VERSIÓN 001 PÁGINA 3 de DESCRIPCIÓN ID 1 Levantar preliminar (QUE) ACTIVIDAD información (COMO) DESCRIPCIÓN TAREAS (S) Compila información preliminar (mapa de procesos, plan estratégico corporativo, Normograma, información del estado actual de la infraestructura tecnológico, documento PETIC previo, instructivos, manuales etc.) de manera conjunta con las direcciones, dependencias y equipos de trabajo, realizando el levantamiento de una línea base, igualmente se recibe información tecnológica entregada por las entidades del sector de Inclusión Social y Reconciliación y el Departamento de la Prosperidad Social. (QUIEN) RESPONSABLE Comité de Tecnología DOCUMENTOS Y/O REGISTROS No Aplica Realiza entrevistas a los procesos misionales y de apoyo (labor misional, levantamiento de requerimientos técnicos y expectativas). 2 Analizar y revisar información la Analiza la información recopilada y la documentación previa recibida y se ajusta con base en las observaciones realizadas, normas, estándares y mejores prácticas vigentes en tecnología. Para cada ajuste del documento se genera una nueva versión. Establece brechas, es decir, estado actual de la tecnología de la entidad vs en lo que debería estar. Comité de Tecnología No Aplica Análisis de brechas. GTC-FT-001

4 ACTUALIZACIÓN DEL PLAN ESTRATÉGICO DE TECNOLOGÍAS DE INFORMACIÓN Y LAS COMUNICACIONES - PETIC CÓDIGO GTC-PR-001 VERSIÓN 001 PÁGINA 4 de DESCRIPCIÓN ID 3 (QUE) ACTIVIDAD Establecer visión del PETIC (COMO) DESCRIPCIÓN TAREAS (S) La información es suficiente? SI: Continuar con actividad 3 NO: Continuar con actividad 1 Se retoma la visión del PETIC anterior, se revisa y se reajusta, de ser necesario, alineándolo al Plan Estratégico de la entidad y brechas que se analizaron. La visión del PETIC será parte integral del documento final PETIC. Determina los pilares estratégicos de la entidad que regirán el desarrollo del PETIC. (QUIEN) RESPONSABLE Comité de Tecnología Comité Directivo DOCUMENTOS Y/O REGISTROS No Aplica 4 Establecer pilares estratégicos Se requiere actualización? SI: Continuar con actividad 2 NO: Continuar con actividad 5 Comité de Tecnología No Aplica 5 6 Plantear recomendaciones Revisar y actualizar la modelación integral del centro Con base en los pilares estratégicos, la información recopilada y la visión definida, se plantean recomendaciones para el desarrollo de la infraestructura tecnológica del CNMH Revisa y actualiza la arquitectura de aplicaciones que consiste en identificar diferentes módulos para el manejo de toda la información del CNMH (Ver última Versión documento PETIC) Comité de Tecnología Comité de Tecnología Documento de informe (Recomendaciones para el desarrollo de la infraestructura tecnológica). GTC-FT-003 No Aplica

5 ACTUALIZACIÓN DEL PLAN ESTRATÉGICO DE TECNOLOGÍAS DE INFORMACIÓN Y LAS COMUNICACIONES - PETIC CÓDIGO GTC-PR-001 VERSIÓN 001 PÁGINA 5 de DESCRIPCIÓN ID (QUE) ACTIVIDAD (COMO) DESCRIPCIÓN TAREAS (S) (QUIEN) RESPONSABLE DOCUMENTOS Y/O REGISTROS Revisa y actualiza la arquitectura de datos que consiste en identificar el tratamiento de la información (Ver última Versión documento PETIC) Se alinea con la normatividad gubernamental y los estándares internacionales? SI: Continuar con actividad 7 NO: Continuar con actividad 2 Determina la arquitectura de infraestructura tecnológica. Se toma como base la información recopilada mediante entrevistas, visitas realizadas, análisis de información sobre tendencias tecnológicas y estado actual de infraestructura (Ver última Versión PETIC) Información recopilada suficiente? SI: Continuar con actividad 7 NO: Continuar con actividad 2 Revisa y actualiza la arquitectura de servicios IT, enfocado en la gobernabilidad, administración y gestión de los servicios IT,

6 ACTUALIZACIÓN DEL PLAN ESTRATÉGICO DE TECNOLOGÍAS DE INFORMACIÓN Y LAS COMUNICACIONES - PETIC CÓDIGO GTC-PR-001 VERSIÓN 001 PÁGINA 6 de DESCRIPCIÓN ID (QUE) ACTIVIDAD (COMO) DESCRIPCIÓN TAREAS (S) tomando como base las buenas prácticas recomendadas, orientado en la calidad del servicio ofrecido a los usuarios, internos, comunidad y partes interesadas que interactúan con el CNMH (Ver última Versión documento PETIC). (QUIEN) RESPONSABLE DOCUMENTOS Y/O REGISTROS Revisa y actualiza la arquitectura de la seguridad de la información del CNMH, enfocado en la gobernabilidad, administración y gestión de la seguridad de la información tomando como referencia las normas internacionales vigentes y loas que fije el Gobierno Nacional (Ver última versión PETIC). 7 Socializar y validar el modelo integral Plantea el Modelo del Sistema Integral, como herramienta de integración de los procesos y procedimientos en el nivel estratégico, misional de apoyo y de evaluación, las normas internacionales vigentes y los que fije el Gobierno nacional (Ver última versión PETIC). Socializa y valida el modelo integral de la entidad en conjunto con la Dirección General y Direcciones de áreas. Las áreas se ven reflejadas en el modelo integral? SI: Continuar con actividad 9 NO: Continuar con actividad 8 Comité de Tecnología Acta de socialización del modelo integral de referencia. SIP-FT-001

7 ACTUALIZACIÓN DEL PLAN ESTRATÉGICO DE TECNOLOGÍAS DE INFORMACIÓN Y LAS COMUNICACIONES - PETIC CÓDIGO GTC-PR-001 VERSIÓN 001 PÁGINA 7 de DESCRIPCIÓN ID (QUE) ACTIVIDAD 8 Ajustar modelo integral (COMO) DESCRIPCIÓN TAREAS (S) Ajusta el modelo integral teniendo en cuenta las observaciones de la Dirección General y Direcciones de áreas. (QUIEN) RESPONSABLE Comité de Tecnología DOCUMENTOS Y/O REGISTROS No Aplica 9 10 Aprobar el modelo integral Identificar y definir planes de acción y proyectos asociados Presenta modelo de referencia integral del CNMH Directivo para aprobación mediante acta. al Comité Modelo integral aprobado? SI: Continuar con actividad 10 NO: Continuar con actividad 8 Identifica y define planes de acción recomendados para su ejecución ordenada y progresiva Evalúa proyectos exitosos de TIC de entidades del sector de inclusión social y reconciliación Prioriza los proyectos e identifica la importancia de la ejecución para la entidad. Plasma en el PETIC los planes y proyectos de tecnología a desarrollar. Consolida el documento final PETIC. Comité de Tecnología Dirección General y Direcciones de áreas Comité de Tecnología Acta de reunión aprobada el modelo de referencia. SIP-FT-001 Plan anual de adquisiciones (tecnología de la información y comunicaciones). ABS-FT-001 Plan Estratégico de Tecnología (PETIC) Política TIC. GTC-PC-001 Mapa de ruta del PETIC

8 ACTUALIZACIÓN DEL PLAN ESTRATÉGICO DE TECNOLOGÍAS DE INFORMACIÓN Y LAS COMUNICACIONES - PETIC CÓDIGO GTC-PR-001 VERSIÓN 001 PÁGINA 8 de DESCRIPCIÓN ID 11 Socializar del PETIC (QUE) ACTIVIDAD documento (COMO) DESCRIPCIÓN TAREAS (S) Realiza la socialización del PETIC mediante citación a Comité Directivo. Da a conocer al personal del CNMH el documento actualizado PETIC mediante reuniones informativas. (QUIEN) RESPONSABLE Comité de Tecnología DOCUMENTOS Y/O REGISTROS Acta de reunión socializando el PETIC. SIP-FT-001 Realiza presentación del PETIC ante entidades del Sector de Inclusión Social y Reconciliación.

9 8. FLUJOGRAMA Ver Flujograma ACTUALIZACIÓN DEL PLAN ESTRATÉGICO DE TECNOLOGÍAS DE INFORMACIÓN Y LAS COMUNICACIONES - PETIC CÓDIGO GTC-PR-001 VERSIÓN 001 PÁGINA 9 de 10

10 ACTUALIZACIÓN DEL PLAN ESTRATÉGICO DE TECNOLOGÍAS DE INFORMACIÓN Y LAS COMUNICACIONES - PETIC CÓDIGO GTC-PR-001 VERSIÓN 001 PÁGINA 10 de PUNTOS DE CONTROL No. NOMBRE ACTIVIDAD MÉTODO DE CONTROL FRECUENCIA RESPONSABLE REGISTRO 9 Aprobar el modelo integral del centro 10. DOCUMENTOS DE REFERENCIA Plan Estratégico Corporativo Norma ISO/IEC Norma NTC GP1000:2009 MECI 11. ANEXOS Mapa de procesos Normograma 12. CONTROL DE CAMBIOS ASPECTOS QUE CAMBIARON EN EL DOCUMENTO Se revisa el modelo integral, se somete a votación para aprobación o rechazo del mismo. Mínimo cada tres años Comité de Tecnología Dirección General y Direcciones de áreas Acta de reunión aprobada el modelo de referencia. IP-FT-001 DETALLE DE LOS CAMBIOS EFECTUADOS FECHA DEL CAMBIO VERSIÓN No Aplica Elaboración del documento primera versión DD/MM/AAAA 001

11 PROCESO PROCEDIMIENTO GESTIÓN DE TECNOLOGÍA DE LA INFORMACIÓN Y LAS COMUNICACIONES IMPLEMENTACIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO: GTC-PR-002 VERSIÓN 001 PÁGINA: 1 de OBJETIVO Establecer mecanismos para la ejecución efectiva de soluciones y servicios de tecnología del Centro Nacional de Memoria Histórica -CNMH. 2. ALCANCE Este procedimiento inicia desde la revisión de los planes de acción y proyectos asociados a tecnología dentro del marco del Plan Estratégico de Tecnología de la Información y las Comunicaciones -PETIC, incluyendo actividades como contratación del desarrollo del proyecto y verificación de actividades y finaliza con el establecimiento de acciones de mejora para el proyecto implementado en caso que aplique. 3. LÍDER DEL PROCEDIMIENTO Profesional Especializado TIC 4. DEFINICIONES ITIL (Information Technology Infraestructura Library): Conjunto de buenas prácticas para la administración de servicios de tecnología que permite actuar como un medio para estructurar la organización de TI a través de un enfoque basado en procesos. REQUERIMIENTOS TÉCNICOS: Son las características, condiciones, cantidad, y calidad de los bienes, servicios y obras que una entidad requiere adquirir o contratar para el cumplimiento de sus funciones. Son elaborados por el área usuaria de la entidad y posteriormente son consignados en las bases del proceso de selección. SONDEO DE MERCADO: Es la actividad de consultar el mercado para establecer un estimado de costos de soluciones tecnológicas requeridas por las dependencias usuarias de la tecnología de la entidad. SOLUCIÓN TECNOLÓGICA: Es una respuesta a un requerimiento utilizando herramientas y recursos tecnológicos, buscando mayor eficiencia. 5. NORMAS LEGALES Ley 1341 de 2009: Por el cual se definen principios y conceptos sobre la sociedad de la información y la organización de las tecnologías de la información y las Comunicaciones TIC se crea la Agencia Nacional de Espectro y se dictan otras disposiciones. ELABORÓ REVISÓ APROBÓ NOMBRE CARGO FECHA FIRMA

12 IMPLEMENTACIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-002 VERSIÓN 001 PÁGINA 2 de NORMAS LEGALES Decreto 1510 de 2013: Por el cual se reglamenta el Estatuto General de la Administración Pública y se dictan otras disposiciones. 6. CONDICIONES GENERALES 1. Toda implementación de soluciones y servicios de tecnología estará sujeto a las normas de contratación vigentes. 2. Toda implementación de soluciones y servicios de tecnología estarán alineados con el PETIC.

13 IMPLEMENTACIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-002 VERSIÓN 001 PÁGINA 3 de DESCRIPCIÓN ID 1 2 (QUE) ACTIVIDAD Revisar planes de acción y proyectos asociados a tecnología Definir la solución o servicio tecnológico a implementar (COMO) DESCRIPCIÓN TAREAS (S) Revisa planes de acción y proyectos asociados a tecnología incluidos en el PETIC identificando alcance y recursos necesarios. Define acciones y proyectos prioritarios a ejecutar. Asigna presupuesto a cada proyecto de tecnología. Identifica características y requisitos de la solución a implementar mediante entrevistas con el área o áreas usuarias, diligenciando el formato de documento de requerimiento técnico. Este debe tener el visto bueno del jefe o Director de la dependencia. (QUIEN) RESPONSABLE Comité de Tecnología (Director (a) Administrativa y Financiera, Asesor de la Dirección Administrativa y Financiera y profesionales especializados) Profesional Especializado en TIC DOCUMENTOS Y/O REGISTROS Plan anual de adquisiciones de tecnología de la información y comunicaciones. ABS-FT-001 Solicitud de requerimientos técnicos. GTC-FT-002 Valida con el área o áreas usuarias el documento de requerimientos técnicos 3 Validar información de requerimientos El documento de requerimientos refleja las necesidades del área? SI: Continuar con actividad 4 NO: Continuar con actividad 1 Profesional Especializado en TIC No Aplica Presenta documento de requerimientos técnicos al Comité de Tecnología

14 IMPLEMENTACIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-002 VERSIÓN 001 PÁGINA 4 de DESCRIPCIÓN ID 4 (QUE) ACTIVIDAD Aprobar documento de requerimientos técnicos 5 Realizar sondeo de mercado (COMO) DESCRIPCIÓN TAREAS (S) Aprueba el documento de requerimientos técnicos por parte de las áreas usuarios realizando los ajustes correspondientes. Documento de requerimientos técnicos aprobado? SI: Continuar con actividad 5 NO: Continuar con actividad 2 Elabora documento de sondeo de mercado: Este documento contiene la siguiente información: Objeto del proyecto, requisitos técnicos, ficha técnica, alcance, tiempo de ejecución, tabla de propuesta económica. Valida el sondeo de mercado con el área usuaria y con el Comité de Tecnología (QUIEN) RESPONSABLE Dependencias Usuarias Profesional Especializado en TIC DOCUMENTOS Y/O REGISTROS Acta de aprobación de documento de requerimiento técnico. SIP- FT-001 Sondeo de mercado. 6 Validar y liberar sondeo de mercado Documento de sondeo de mercado aprobado? SI: Continuar con actividad 7 NO: Continuar con actividad 5 Profesional Especializado en TIC No Aplica Libera documento de sondeo de mercado, invita a varias empresas a participar para que envíen sus propuestas técnico - económicas.

15 IMPLEMENTACIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-002 VERSIÓN 001 PÁGINA 5 de DESCRIPCIÓN ID (QUE) ACTIVIDAD (COMO) DESCRIPCIÓN TAREAS (S) (QUIEN) RESPONSABLE DOCUMENTOS Y/O REGISTROS 7 Realizar análisis de propuestas Analiza las propuestas técnico económicas recibidas y se seleccionan aquellas propuestas que correspondan con los requerimientos solicitados en el sondeo de mercado. Profesional Especializado en TIC No Aplica 8 Consolidar económicas 9 Realizar estudios previos 10 propuestas Responder a observaciones técnicas y realizar solicitud de modificaciones del prepre-pliego Consolida propuestas recibidas y seleccionadas, definiendo un presupuesto estimado a recomendar para el futuro proceso de contratación. Realizar estudios previos teniendo como base el documento de sondeo de mercado. Se incluyen obligaciones del contratista, obligaciones de la entidad, condiciones que debe cumplir el proponente, incluye el certificado de disponibilidad presupuestal. El profesional Especializado de Contratación elaborar el pre-pliego. Ver Proceso de Adquisición de Bienes y Servicios Responde a observaciones realizadas por los potenciales proponentes a través del proceso de adquisiciones de bienes y servicios y se envía al proceso de adquisición de bienes y servicios la solicitud de modificación si aplica. Profesional Especializado en TIC Profesional Especializado en TIC Profesional Especializado en TIC Informe de sondeo de mercado. ABS-FT-004 Estudios previos. ABS-FT- 005 Borrador de pre-pliegos. ABS-FT-009 Comunicación oficial por correo electrónico de respuesta a observaciones a pre-pliegos

16 IMPLEMENTACIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-002 VERSIÓN 001 PÁGINA 6 de DESCRIPCIÓN ID (QUE) ACTIVIDAD (COMO) DESCRIPCIÓN TAREAS (S) (QUIEN) RESPONSABLE DOCUMENTOS Y/O REGISTROS El profesional Especializado de Contratación elaborar el pre-pliego definitivo. Ver Proceso de Adquisición de Bienes y Servicios Pliegos definitivos. ABS-FT Responder a observaciones técnicas y Solicitar modificaciones a los pliegos definitivos Responde a observaciones realizadas por parte de los potenciales proponentes. Envían las respuestas al proceso de Adquisición de Bienes y Servicios y realiza solicitud de adenda si aplica. Profesional Especializado en TIC Comunicación oficial por correo electrónico de respuesta a observaciones a pliegos definitivos y solicitar adenda 12 Recibir propuestas 13 Elaborar evaluación técnica Recibe propuestas de las empresas interesadas en participar en el proyecto. Realiza evaluación de los requerimientos técnicos mínimos de las propuestas recibidas, determinando que propuestas quedan habilitadas y cuáles no. Se entrega la evaluación al proceso de Adquisiciones de Bienes y Servicios. Solicita aclaraciones a las propuestas presentadas en caso que aplique o se requiera. Profesional Especializado en TIC Profesional Especializado en TIC No Aplica Documento de informe (Informe de Evaluación Técnica). GTC-FT-003

17 IMPLEMENTACIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-002 VERSIÓN 001 PÁGINA 7 de DESCRIPCIÓN ID (QUE) ACTIVIDAD Recibir y dar respuesta a observaciones de la evaluación técnica Realizar ajustes a la evaluación técnica (COMO) DESCRIPCIÓN TAREAS (S) Recibe observaciones a la evaluación técnica por parte de los proponentes Realiza ajustes a la evaluación técnica con base en las observaciones recibidas por parte de los proponentes. Revisa y/o aprueba la evaluación técnica el comité de contratación. (QUIEN) RESPONSABLE Profesional Especializado en TIC Profesional Especializado en TIC DOCUMENTOS Y/O REGISTROS Comunicación oficial por correo electrónico de respuesta a observaciones de la evaluación técnica Documento de informe (Informe de Evaluación Técnica ajustado). GTC-FT Revisar y/o aprobar evaluación técnica Evaluación técnica aprobada? SI: Continuar con actividad 17 NO: Continuar con actividad 15 El Profesional Especializado de Contratación, pública el documento de evaluación técnica, realiza la adjudicación del proceso y elabora el contrato. Ver Proceso de Adquisición de Bienes y Servicios. El Director(a) Administrativa y Financiera, asigna supervisor del contrato. Ver proceso de Adquisición de Bienes y Servicios. Comité de contratación (Ordenadora del gasto, parte técnica, parte jurídica y abogados asignados al proceso) Director (a) Administrativo y Financiera Acta de reunión aprobando la Evaluación Técnica. SIP-FT-001

18 IMPLEMENTACIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-002 VERSIÓN 001 PÁGINA 8 de DESCRIPCIÓN ID (QUE) ACTIVIDAD (COMO) DESCRIPCIÓN TAREAS (S) Realiza reuniones con el contratista asignado, acuerda el plan de trabajo a ejecutar. Se establecen: reunión de inicio, reuniones de seguimiento, reuniones técnicas y reunión de cierre, dejando como evidencia la correspondiente acta. (QUIEN) RESPONSABLE DOCUMENTOS Y/O REGISTROS Actas de reunión. SIP-FT Implementar la solución y/o el servicio de tecnología Verifica la implementación de la solución tecnológica contratada, realizando pruebas. Verifica la parametrización y configuración del sistema. El responsable de la ejecución (adjudicatario) enviará informes parciales de la implementación al supervisor asignado y este a su vez revisa y elabora el informe de ejecución y resultados. Supervisor Asignado de Tecnología Listas de asistencia SIP-FT-002 Documento de informe (Informe de ejecución y resultados). GTC-FT Realizar control de cambios 19 Depurar y ajustar la solución tecnológica Registra las solicitudes de cambio generadas, las analiza, cuantifica, cualifica su impacto y aprueba o desaprueba el cambio. El supervisor asignado dejará constancia de los cambios en el acta de control de cambios. Ajusta los detalles de la implementación con base en los hallazgos de las pruebas realizadas, detallándolos en el informe de ejecución y resultados. Supervisor Asignado de Tecnología Proveedor de la solución Profesional Especializado TIC Acta control de cambios en implementaciones tecnológicas. GTC-FT-004 Documento de informe (Informe de ejecución y resultados). GTC-FT-003

19 IMPLEMENTACIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-002 VERSIÓN 001 PÁGINA 9 de DESCRIPCIÓN ID 20 (QUE) ACTIVIDAD Verificar las condiciones de funcionamiento (COMO) DESCRIPCIÓN TAREAS (S) Verifica las condiciones de funcionamiento de la solución de tecnología implementada, validando con los usuarios finales de la solución. (QUIEN) RESPONSABLE Usuario Final DOCUMENTOS Y/O REGISTROS No Aplica Dar VoBo a la solución tecnológica implementada Cerrar proyecto de implementación Revisa y aprueba la solución mediante VoBo a la implementación tecnológica. Implementación correcta? SI: Continuar con actividad 22 NO: Continuar con actividad 19 Revisa y autoriza la facturación para pagos. Recibe documentación técnica: manuales, diagramas, licencias, garantías, instructivos, y toda la información técnica del proyecto. Verifica que se desarrollen las capacitaciones a los interesados. Revisa que las garantías estén activas, revisa la vigencia del licenciamiento, revisa las necesidades posteriores de soporte del sistema implementado. Supervisor Asignado de Tecnología Supervisor asignado de tecnología Acta de reunión aprobando la solución tecnológica implementada. SIP-FT-001 Documentación EXT Técnica. Documento de informe (Informe de ejecución y resultados). GTC-FT-003 Actas de liquidación de contratos. ABS-FT-021 Liquida el o los contratos mediante actas de liquidación y efectúa el cierre del proyecto mediante acta de cierre. Acta de cierre del proyecto. SIP-FT-001

20 IMPLEMENTACIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-002 VERSIÓN 001 PÁGINA 10 de FLUJOGRAMA Ver Flujograma

21 IMPLEMENTACIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-002 VERSIÓN 001 PÁGINA 11 de PUNTOS DE CONTROL No. NOMBRE ACTIVIDAD MÉTODO DE CONTROL FRECUENCIA RESPONSABLE REGISTRO 3 Cada vez que se presentan Profesional Validar información de Realizar verificaciones y ajustes a los nuevos requerimientos Especializado TIC requerimientos requerimientos de las dependencias. tecnológicos No Aplica Comunicación oficial por Responder a correo electrónico de Profesional observaciones y Revisar y analizar las observaciones Cada vez que se genere un respuesta a Especializado TIC 10 realizar solicitud de de los potenciales proponentes y nuevo proceso para observaciones a pre modificaciones del prepliego proponer los ajustes si aplica. contratación pliegos Responder a observaciones técnicas a pliegos definitivos y solicitar modificaciones a los pliegos Depurar y ajustar la solución tecnológica Revisar y analizar las observaciones de los potenciales proponentes y proponer los ajustes si aplica. Realiza pruebas técnicas a la solución tecnológica. Cada vez que se genere un nuevo proceso para contratación Cada vez que se implemente una solución tecnológica Profesional Especializado TIC Profesional Especializado TIC Comunicación oficial por correo electrónico de respuesta a observaciones a pliegos definitivos y solicitar adenda Acta control de cambios en implementaciones tecnológicas. GTC-FT-004

22 IMPLEMENTACIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-002 VERSIÓN 001 PÁGINA 12 de DOCUMENTOS DE REFERENCIA Plan Estratégico de Tecnología de la Información y las Comunicaciones (PETIC) Norma NTC GP1000:2009 ISO 9001:2008: Sistema de Gestión de Calidad 11. ANEXOS No Aplica 12. CONTROL DE CAMBIOS ASPECTOS QUE CAMBIARON EN EL DOCUMENTO DETALLE DE LOS CAMBIOS EFECTUADOS FECHA DEL CAMBIO VERSIÓN No Aplica Elaboración del documento primera versión DD/MM/AAAA 001

23 1. OBJETIVO PROCESO GESTIÓN DE TECNOLOGÍA DE LA INFORMACIÓN Y LAS COMUNICACIONES CÓDIGO GTC-PR-003 VERSIÓN 001 PROCEDIMIENTO GESTIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA PÁGINA: 1 de 8 Alinear los servicios y soluciones de tecnología de la información con el cumplimiento de objetivos misionales del Centro Nacional de Memoria Histórica - CNMH. 2. ALCANCE Desde la puesta en producción de la solución tecnológica implementada, hasta la terminación del ciclo de vida de la solución. 3. LÍDER DEL PROCEDIMIENTO Profesional Especializado TIC 4. DEFINICIONES ANS (Acuerdos de niveles de servicio): Acuerdos dentro de los cuales se establece un contrato de servicios y determina la forma de medición. DAR DE BAJA: Dar de baja un activo tecnológico es llevar a cabo las actividades que determinan la disposición final del activo una vez deja de ser útil para la entidad (finalización del ciclo de vida del activo al interior de la entidad). GESTIÓN DE SERVICIOS DE TECNOLOGÍAS DE LA INFORMACIÓN: Es una disciplina basada en procesos, enfocada en alinear los servicios de TI proporcionados con las necesidades de la empresas. Servicios de punta usando distintos marcos de trabajo con las mejores prácticas, como por ejemplo de Information Technology Library (ITIL) o el escm (enabled Service Capability Model). MANTENIMIENTO CORRECTIVO: Consiste en detectar defectos y corregirlos o repararlos MANTENIMIENTO PREVENTIVO: Son actividades destinadas a la conservación de equipos o instalaciones mediante la realización de actividades que garanticen su buen funcionamiento. 5. NORMAS LEGALES Ley 1341 de 2009: Por el cual se definen principios y conceptos sobre la sociedad de la información y la organización de las tecnologías de la información y las Comunicaciones TIC se crea la Agencia Nacional de Espectro y se dictan otras disposiciones. Decreto 2482 de 2012: Se establecen los lineamientos generales para la integración de la planeación y la gestión. ELABORÓ REVISÓ APROBÓ NOMBRE CARGO FECHA FIRMA

24 GESTIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-003 VERSIÓN 001 PÁGINA 2 de 8 6. CONDICIONES GENERALES 1. Los mantenimientos correctivos y preventivos se realizarán de acuerdo con las recomendaciones del fabricante y/o proveedor de la solución tecnológica implementada. 2. El proceso de tecnología de la información y las comunicaciones elaborará el programa de mantenimientos de acuerdo con la información técnica suministrada por el fabricante y/o proveedor de la solución tecnológica, incluyendo las fechas de seguimiento al funcionamiento de la solución y/o servicio tecnológico. 3. El proceso de Gestión de Tecnologías de la información y las comunicaciones establecerá las condiciones que determinan la finalización del ciclo de vida de la solución.

25 7. DESCRIPCIÓN GESTIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-003 VERSIÓN 001 PÁGINA 3 de 8 ID (QUE) ACTIVIDAD (COMO) DESCRIPCIÓN TAREAS (S) (QUIEN) RESPONSABLE DOCUMENTOS Y/O REGISTROS 1 Poner en marchar la solución y pasar a producción Integra los usuarios a la solución para pasar a producción. Se crean nuevos usuarios, con diferentes perfiles, atributos y niveles de acceso. Profesional Especializado TIC Registro de perfiles de usuario. GTC-FT Socializar la solución tecnológica Socializa la solución tecnológica al interior del CNMH. Profesional Especializado TIC Lista de asistencia. SIP- FT Liberar la solución tecnológica Libera la solución tecnológica para uso del CNMH. Profesional Especializado TIC No Aplica 4 5 Realizar seguimiento al funcionamiento de la solución tecnológica Realizar mantenimiento correctivo Verifica el buen funcionamiento de todos los equipos tecnológicos. Funcionamiento correcto? SI: Continuar con actividad 6 NO: Continuar con actividad 5 Realiza mantenimiento correctivo a la solución tecnológica en el caso que aplique. Profesional Especializado TIC Profesional Especializado TIC Documento de informe (Informe de seguimiento del funcionamiento de la solución y/o servicio tecnológico). GTC-FT-003 Documento de informe (Informe mantenimiento correctivo). GTC-FT-003

26 7. DESCRIPCIÓN GESTIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-003 VERSIÓN 001 PÁGINA 4 de 8 ID (QUE) ACTIVIDAD (COMO) DESCRIPCIÓN TAREAS (S) (QUIEN) RESPONSABLE DOCUMENTOS Y/O REGISTROS Realizar mantenimiento preventivo Realizar pruebas de mantenimiento Verificar las condiciones de finalización del ciclo de vida de las soluciones y/o servicios tecnológicos Coordina con el proveedor las fechas y periodicidad del mantenimiento preventivo. Contacta al proveedor para gestionar la realización del mantenimiento preventivo en las fechas acordadas. Realiza acompañamiento para la adecuada realización del mantenimiento preventivo. Realiza pruebas para verificar el funcionamiento de la solución y/o servicio tecnológico. Pruebas tecnológicas exitosas? SI: Continuar con actividad 8 NO: Continuar con actividad 5 Revisa las condiciones que determinan la finalización del ciclo de vida de la solución y/o servicio de tecnología. Se requiere dar de baja a la solución tecnológica? SI: Continuar con actividad 9 NO: Continuar con actividad 5 Profesional Especializado TIC Profesional Especializado TIC Profesional Especializado TIC No Aplica Documento de Informe (Informe mantenimiento correctivo). GTC-FT-003 Documento de Informe (informe de mantenimiento preventivo). GTC-FT-003 Documento de Informe (Informe de resultado de pruebas). GTC-FT-003 Documento de Informe (Informe de la capacidad utilizada). GTC-FT-003

27 7. DESCRIPCIÓN GESTIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-003 VERSIÓN 001 PÁGINA 5 de 8 ID 9 (QUE) ACTIVIDAD Dar de baja a la solución tecnológica (COMO) DESCRIPCIÓN TAREAS (S) Ejecuta las actividades que determina la disposición final de la solución que ha llegado a la última etapa del ciclo de vida. (QUIEN) RESPONSABLE Profesional Especializado TIC DOCUMENTOS Y/O REGISTROS Acta de reunión cerrando el ciclo de vida de la solución tecnológica. SIP-FT-001

28 8. FLUJOGRAMA Ver Flujograma GESTIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-003 VERSIÓN 001 PÁGINA 6 de 8

29 GESTIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-003 VERSIÓN 001 PÁGINA 7 de 8 9. PUNTOS DE CONTROL No. NOMBRE ACTIVIDAD MÉTODO DE CONTROL FRECUENCIA RESPONSABLE REGISTRO 4 Realizar seguimiento al funcionamiento de la solución tecnológica Realiza revisiones y análisis de los reportes de incidencias generados por los usuarios de la solución y/o servicio tecnológico. De acuerdo a lo establecido en el programa de mantenimiento preventivo Profesional Especializado TIC Documento de informe (Informe de seguimiento del funcionamiento de la solución y/o servicio tecnológico). GTC-FT Realizar pruebas de mantenimiento Realiza pruebas para verificar el funcionamiento después de haber realizado un mantenimiento correctivo y/o preventivo. Cada vez que se realice un mantenimiento correctivo y/o preventivo Profesional Especializado TIC Documento de Informe (Informe de resultado de pruebas). GTC-FT-003 Documento de Informe (Informe de la capacidad utilizada). GTC-FT DOCUMENTOS DE REFERENCIA Manuales de la solución tecnológica, instructivos, guías técnicas del fabricante. 11. ANEXOS Programa de Mantenimiento Preventivo y/o Correctivo.

30 GESTIÓN DE SOLUCIONES Y SERVICIOS DE TECNOLOGÍA CÓDIGO GTC-PR-003 VERSIÓN 001 PÁGINA 8 de CONTROL DE CAMBIOS ASPECTOS QUE CAMBIARON EN EL DOCUMENTO DETALLE DE LOS CAMBIOS EFECTUADOS FECHA DEL CAMBIO VERSIÓN No Aplica Elaboración del documento primera versión DD/MM/AAAA 001

31 PROCESO GESTIÓN DE TECNOLOGÍA DE LA INFORMACIÓN Y LAS COMUNICACIONES CÓDIGO: GTC-PR-004 VERSIÓN 001 PROCEDIMIENTO GESTIÓN DE SOPORTE A USUARIOS E INCIDENTES TIC PÁGINA: 1 de 8 1. OBJETIVO Gestionar el soporte a los usuarios cuando ocurra un incidente y/o un evento en las diferentes partes interesadas del CNMH, buscando la restauración tan pronto como sea posible el servicio, encontrar la causa raíz con el fin de alimentar la base de conocimiento de incidencias para generar los respectivos planes de acción. 2. ALCANCE Este procedimiento inicia con la atención de solicitudes de usuarios y finaliza con la solución y evaluación del servicio. 3. LÍDER DEL PROCEDIMIENTO Profesional Especializado TIC 4. DEFINICIONES ACUERDOS DE NIVELES DE SERVICIO (ANS): Corresponden a los acuerdos dentro de los cuales se establece un contrato de servicio y termina las formas de medición. BASE DE CONOCIMIENTO: Modelar y almacenar bajo forma digital un conjunto de conocimientos, ideas, conceptos o datos que permitan ser consultadas o utilizadas. CALL CENTER: Su objetivo es gestionar un alto volumen de llamadas y redirigir a los usuarios, excepto en los casos más triviales, a otras instancias de soporte y/o misionales. CONTROL DE CAMBIO: Es un mecanismo utilizado para controlar las modificaciones realizadas a un documentos, sistema etc. CENTRO DE SOPORTE: Su principal objetivo es ofrecer una primera línea de soporte técnico que permita resolver en el menor tiempo las interrupciones del servicio. CENTRO DE SERVICIOS: Conjunto de servicios que ofrece la posibilidad de gestionar y solucionar todas las posibles incidencias de manera integral, junto con la atención de requerimientos relacionados con las TIC s. DISEÑO DEL SERVICIO: Cubre los principios y métodos necesarios para transformar los objetivos estratégicos en portafolios de servicios de activos. ESCALAR: Cambiar la persona o el técnico o el profesional de soporte asignado a una solicitud por otra con mayor conocimiento y experiencia en el tema a tratar después de verificar que la solución del mismo requiere atención especializada. ELABORÓ REVISÓ APROBÓ NOMBRE CARGO FECHA FIRMA

32 GESTIÓN DE SOPORTE A USUARIOS E INCIDENTES TIC CÓDIGO GTC-PR-004 VERSIÓN 001 PÁGINA 2 de 8 4. DEFINICIONES ESTADO DE LA SOLICITUD: Estatus que adquiere una solución de soporte registrada en el Sistema de Gestión de Servicios a medida que se ejecutan acciones encaminadas hacia su solución. ESTADO RESUELTO: Cuando una solicitud registrada ha llegado a su solución definitiva y ésta ha cumplido con las expectativas del usuario. ESTADO NO RESUELTO: Cuando una solicitud registrada, ha llegado a un punto donde el área de soporte no puede dar una solución definitiva que cumpla con las expectativas. ESTADO CERRADO: Cuando una solicitud registrada ha llegado a su solución bien sea Resuelto o No Resuelto, se ha aplicado la encuesta de satisfacción y el usuario ha autorizado su cierre definitivo. EVENTO: Todo suceso detectable que tiene importancia para la estructura de TI en el CNMH, para la prestación de un servicio o para la evaluación del mismo. INCIDENTE: Ocurre por la repetición de un problema con síntomas comunes, o cuando se presenta un problema cuya causa es desconocida y requiere un plan especial de acciones para solucionarlo de raíz. INCIDENTE DE SEGURIDAD: Cualquier evento que atente contra la Confidencialidad, integridad y Disponibilidad de la información y los recursos tecnológicos. INCIDENTE DE SOPORTE: Interrupción no planificada o reducción de calidad de algún servicio TI. IMPACTO AL SERVICIO: Efecto producido por el cambio a realizar en el servicio que se presta. SATISFACCIÓN DEL USUARIO: Es el grado es que se cumplen los requisitos de los usuarios. SOPORTE TÉCNICO: Es un rango de servicios que proporcionan asistencia con el hardware o software de una computadora, o algún otro dispositivo electrónico o mecánico. TRANSICIÓN DEL SERVICIO: Cubre el proceso de transición para la implementación de nuevos servicios o su mejora. 5. NORMAS LEGALES No Aplica 6. CONDICIONES GENERALES Los servicios que se presten deben ser orientados a los usuarios internos y externos del Centro Nacional de Memoria Histórica. El responsable del soporte a usuarios e incidentes TIC, debe actuar alineado con los objetivos misionales de la entidad. La gestión del servicio de TI, debe enmarcarse en las buenas prácticas del ITIL.

33 GESTIÓN DE SOPORTE A USUARIOS E INCIDENTES TIC CÓDIGO GTC-PR-004 VERSIÓN 001 PÁGINA 3 de 8 6. CONDICIONES GENERALES Utilizar un lenguaje de fácil comprensión para el usuario interno (funcionarios y/o contratistas del CNMH) y externo (funcionarios de entidades externas que eventualmente tuviesen acceso a los sistemas de información del CNMH). El servicio a usuarios se prestará en horario hábil de lunes a viernes entre 7am a 6pm jornada continua. El servicio se prestará haciendo uso de las herramientas que el CNMH disponga para tal fin. Los tiempos de respuesta no deben superar los tiempos especificados en los Acuerdos de Nivel de Servicio pactados (ANS) para la prestación del servicio.

34 GESTIÓN DE SOPORTE A USUARIOS E INCIDENTES TIC CÓDIGO GTC-PR-004 VERSIÓN 001 PÁGINA 4 de 8 7. DESCRIPCIÓN ID 1 2 (QUE) ACTIVIDAD Atender solicitud de usuario Analizar el incidente de acuerdo con su nivel (COMO) DESCRIPCIÓN TAREAS (S) Recibe la solicitud del usuario a través del medio de comunicación dispuesto por la entidad (Línea telefónica, correo electrónico, software de mesa de ayuda, entre otros). Se trata de un punto único de contacto. Diligencia el reporte de solicitud de servicio (datos básicos de fecha y hora, identificación del usuario, ubicación física y orgánica y técnico que atiende, descripción del incidente. Dependiendo de la complejidad del incidente reportado, lo diagnostica, determina el escalamiento del mismo y el tiempo estimado de solución. Nivel 1: Atención en Línea: Resuelve el incidente Nivel 2: Atención en Sitio Nivel 3: Escalamiento a fabricantes o desarrolladores (QUIEN) RESPONSABLE Técnico en Mesa de Ayuda Técnico en Mesa de Ayuda DOCUMENTOS Y/O REGISTROS Registro de solicitud de servicio (Evaluación del servicio y/o escalamiento). GTC-FT- 006 Registro de solicitud de servicio (Evaluación del servicio y/o escalamiento). GTC-FT Atención del incidente El encargado del servicio asigna un recurso de soporte para que identifique la causa raíz que activo el incidente. Soluciona el incidente tomando como base la información registrada. Documenta el incidente en el formato reporte de incidentes. Cuando sean cambios solicitados por los usuarios, se gestionan mediante peticiones de servicio. Técnico en Mesa de Ayuda Reporte de incidentes. GTC-FT-007 Peticiones de servicio. GTC-FT-008

35 7. DESCRIPCIÓN GESTIÓN DE SOPORTE A USUARIOS E INCIDENTES TIC CÓDIGO GTC-PR-004 VERSIÓN 001 PÁGINA 5 de 8 ID (QUE) ACTIVIDAD (COMO) DESCRIPCIÓN TAREAS (S) (QUIEN) RESPONSABLE DOCUMENTOS Y/O REGISTROS Nivel 1: En línea Incidente resuelto? SI: Continuar con actividad 5 NO: Continuar con el Nivel 2 Nivel 2: Atención en sitio Incidente Resuelto? SI: Continuar con actividad 5 NO: Continuar al Nivel 3 Nivel 3: Escalamiento a fabricantes o desarrolladores. Incidente Resuelto? SI: Continuar con actividad 5 NO: Continuar actividad 4 4 Definir y ejecutar plan de acción Define y ejecuta el plan de acción asignando actividades, tiempos, responsables y recursos. Técnico en Mesa de Ayuda Plan de mejoramiento. CTI-FT Generar y analizar encuesta de satisfacción y cerrar servicio Realiza encuesta de satisfacción a los usuarios atendidos, y autorizada el cierre del servicio. Alimenta la base de conocimiento de acuerdo con los resultados del análisis de las encuestas. Técnico en Mesa de Ayuda Encuesta de satisfacción diligenciada. GTC-FT- 009

36 7. DESCRIPCIÓN GESTIÓN DE SOPORTE A USUARIOS E INCIDENTES TIC CÓDIGO GTC-PR-004 VERSIÓN 001 PÁGINA 6 de 8 ID (QUE) ACTIVIDAD (COMO) DESCRIPCIÓN TAREAS (S) (QUIEN) RESPONSABLE DOCUMENTOS Y/O REGISTROS Documento de Informe (Informe de resultado de análisis de encuesta de satisfacción). GTC-FT Analizar las incidencias reportadas 7 Evaluar el servicio Analiza las incidencias reportadas, las prioriza y genera acciones preventivas y/o correctivas enmarcadas en un plan de acción, para garantizar la mejora continua del servicio. Evalúa las estadísticas generadas por prestación del servicio, las encuestas de satisfacción reportadas por los usuarios del servicio. Técnico en Mesa de Ayuda Profesional Especializado TIC Profesional Especializado TIC Reporte base de conocimiento. Reporte de comportamiento de atención. Documento de Informe (Reporte de acciones correctivas y/o preventivas). GTC-FT- 003 Registro de solicitud de servicio (Evaluación del servicio y/o escalamiento). GTC-FT- 006

37 8. FLUJOGRAMA Ver Flujograma GESTIÓN DE SOPORTE A USUARIOS E INCIDENTES TIC CÓDIGO GTC-PR-004 VERSIÓN 001 PÁGINA 7 de 8

38 GESTIÓN DE SOPORTE A USUARIOS E INCIDENTES TIC CÓDIGO GTC-PR-004 VERSIÓN 001 PÁGINA 8 de 8 9. PUNTOS DE CONTROL No. NOMBRE ACTIVIDAD MÉTODO DE CONTROL FRECUENCIA RESPONSABLE REGISTRO Categorizar los incidentes realizando verificaciones Reporte de Cada vez que se Técnico en Mesa de 3 Atención del incidente sucesivas de acuerdo con la complejidad del incidentes. reporta un incidente Ayuda incidente reportado. GTC-FT DOCUMENTOS DE REFERENCIA Librerías ITIL 11. ANEXOS No Aplica 12. CONTROL DE CAMBIOS ASPECTOS QUE CAMBIARON EN EL DOCUMENTO DETALLE DE LOS CAMBIOS EFECTUADOS FECHA DEL CAMBIO VERSIÓN No Aplica Elaboración del documento primera versión DD/MM/AAAA 001

39 1. OBJETIVO PROCESO GESTIÓN DE TECNOLOGÍA DE LA INFORMACIÓN Y LAS COMUNICACIONES CÓDIGO GTC- PR-005 VERSIÓN 001 PROCEDIMIENTO GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PÁGINA: 1 de 11 Garantizar la integridad, la disponibilidad y la confiabilidad de la información que administra, procesa y entrega el Centro Nacional de Memoria Histórica - CNMH. 2. ALCANCE Inicia con la planeación del Sistema de Gestión de Seguridad de la información (SGSI) y finaliza con la ejecución de acciones de mejora. 3. LÍDER DEL PROCEDIMIENTO Oficial de Seguridad de la Información 4. DEFINICIONES ACTIVOS DE LA INFORMACIÓN: Es aquel elemento que contiene o manipula información. Por ejemplo, ficheros, base de datos, contratos, acuerdos, documentación del sistema, manuales de usuarios, material de formación, aplicaciones, software del sistema, equipos informáticos, equipos de comunicación, servicios informáticos y de comunicaciones, calefacción, iluminación, energía, y aire acondicionado y las personas, que son las que en últimas generan, transmiten y destruyen información. ADVERTENCIAS DE SEGURIDAD: Es una lista de vulnerabilidades de seguridad conocidas y compiladas gracias a la aportación de proveedores de productos externos. ALERTAS DE SEGURIDAD: Se trata de una advertencia producida por la gestión de la seguridad de TI, que generalmente se hace pública cuando se prevé el surgimiento de infracciones de seguridad o cuando ya están ocurriendo. ANALISIS DE RIESGOS: Hace referencia al proceso necesario para responder a tres cuestiones básicas sobre la seguridad: Que queremos proteger, contra quien, como lo queremos proteger. AMENAZAS: Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño sobre los elementos de un sistema de seguridad informática. COPIA DE RESPALDO: Copia de la información en un medio magnético que se almacena en un lugar seguro. CONFIDENCIALIDAD: Criterio que responde a la importancia que tendría que el activo se accediera de manejo no autorizado. DISPONIBILIDAD: Criterio que responde a la pregunta de cuál sería la importancia o el trastorno que tendría el que el activo no estuviera disponible. ELABORÓ REVISÓ APROBÓ NOMBRE CARGO FECHA FIRMA

40 GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CÓDIGO GTC- PR-005 VERSIÓN 001 PÁGINA 2 de DEFINICIONES ESTRATEGIA DE SEGURIDAD DE TI: Contiene una guía de acercamiento para procurar la seguridad de los sistemas y servicios de TI. GESTIÓN DE RIESGO: Es un programa de trabajo y estrategias para disminuir la vulnerabilidad y promover acciones de conservación, desarrollo de mitigación del riesgo utilizando recursos gerenciales. INTEGRIDAD: Criterio que responde que importancia tendría que el activo fuera alterado sin autorización ni control. INVENTARIO DE ACTIVOS: Es la base para la gestión de los mismos, ya que tiene que incluir toda la información necesaria para mantenerlos operativos e incluso poder recuperarse ante un desastre. INFORMACIÓN CONFIDENCIAL: Información que al ser divulgada pueda causar daño o perjuicio a la persona. INFORME DE SEGURIDAD DE TI: Provee información sobre asuntos de Seguridad de TI a los procesos de Gestión de Servicios y la dirección de TI. POLÍTICA DE SEGURIDAD DE TI: Establece reglas vinculantes para el uso de servicios y de sistemas con miras a mejorar la seguridad de TI. PROTOCOLO DE SEGURIDAD: Define las reglas que gobiernan las comunicaciones diseñadas para que el sistema pueda soportar ataques de carácter perspicaz y malicioso SEGURIDAD DE LA INFORMACIÓN: Preservación de la confidencialidad, integridad y disponibilidad de la información. SGSI (Sistema de Gestión de la Seguridad de la Información): Es un depósito virtual de todos los datos de gestión de la seguridad de TI. RIESGO: Es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione, a las operaciones. VULNERABILIDAD: Es la capacidad, las condiciones y características del sistema mismo, que lo hace susceptible a amenazas, con el resultado de sufrir algún daño. 5. NORMAS LEGALES Ley 527 de 1999: Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. Ley 599 de 2000: Por el cual se establece la estructura del tipo penal de violación ilícita de comunicaciones, se creó el bien jurídico de los derechos de autor y se incorporaron algunas conductas relacionadas con el delito informático. Ley 962 de 2005: Por la cual se dictan disposiciones sobre racionalización de trámites y procedimientos de los organismos y entidades del Estado y de los particulares que ejercen funciones públicas o prestan servicios públicos.

41 GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CÓDIGO GTC- PR-005 VERSIÓN 001 PÁGINA 3 de NORMAS LEGALES Ley 1273 de 2009: Se crea un nuevo bien jurídico tutelado denominado de la protección de la información y de los datos. Decreto 2693 de 2012: Lineamientos generales de la Estrategia Gobierno en Línea. Resolución 2258 de 2009: Sobre seguridad de las redes de los proveedores de redes y servicios de telecomunicaciones. Circular 052 de 2007: Fija los requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios. 6. CONDICIONES GENERALES La política de seguridad debe ser un documento muy general, una especie de declaración de intensiones, por lo tanto no pasará de dos o tres páginas. La entidad deberá desarrollar un inventario de activos de la información. La entidad debe identificar amenazas y vulnerabilidades que afecten los activos de la información. Se debe identificar impactos que podría suponer una pérdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos. La entidad analizará y evaluará el daño resultante de un fallo de seguridad y la probabilidad de ocurrencia del fallo. La eficacia del SGSI se debe revisar en función de los resultados de auditorías internas, sugerencias y feedback de todos los usuarios del CNMH. El Comité de Tecnología revisará regularmente el SGSI, para determinar si el alcance definido sigue siendo el adecuado. El Comité de Tecnología Identifica mejoras al SGSI, a la política de seguridad y a los objetivos de seguridad de la información. La entidad implementará el SGSI con el objeto de garantizar la integridad, disponibilidad y confiabilidad de la información de acuerdo al nivel de madurez del CNMH.