POLÍTICAS Y

PROCEDIMIENTO
EVALUACIÓN DE SISTEMAS DE INFORMACIÓN
 Políticas y Procedimientos

• Existen políticas y procedimientos formales

ADQUISICIÓN Y para guiar la adquisición de infraestructura
MANTENIMIENTO y servicios tecnológicos, con el fin de
DE asegurar una adecuada selección de
INFRAESTRUCTURA proveedores externos calificados.
TECNOLÓGICA • Se siguen los lineamientos para normar
estos procesos.
 Políticas y Procedimientos

• Existen procedimientos formales para la

PROCEDIMIENTOS ejecución del mantenimiento preventivo y
DE correctivo del software de base, software
MANTENIMIENTO de red y comunicaciones, base de datos
que incluyan la periodicidad de ejecución,
TÉCNICO responsable, actualización de la
configuración, control de licenciamiento,
entre otros aspectos.
 Políticas y Procedimientos

• Se han inventariado las

licencias.
Licenciamiento • Existen licencias de software
pendientes de adquirir. Existe
un proceso para la adquisición.
 Políticas y Procedimientos

• Se dispone de los manuales técnicos y de usuario,

MANUALES actualizados, correspondientes a los diferentes
sistemas que utiliza la organización.
TÉCNICOS • Se incluye en los manuales la fecha de última
actualización de los diferentes programas que
Y DE dispone la organización.
• Se tiene constancia de la disponibilidad de todos los
USUARIOS manuales de usuarios actualizados a las últimas
versiones.
 Políticas y Procedimientos

• Se cuenta con procedimientos de

cambios de emergencia que permitan
CAMBIOS DE que estos sean administrados
adecuadamente a través de la
EMERGENCIA autorización respectiva con su
posterior verificación de
requerimientos para ser regularizados.
 Políticas y Procedimientos

• Se validan los proceso de migración por

parte del área de QA previa la salida al
Migración ambiente de producción de los sistemas .
de • Se aplican procedimientos de conciliación
y cuadres contables.
información • Se dispone de documentación detallada
de las diferentes migraciones.
 Políticas y Procedimientos

• Se han definido políticas y procedimientos para el control de los

CONTROL Y Acuerdos de Niveles de Servicios (SLA) y Acuerdos de Niveles de

Operación (OLA) en los servicios tecnológicos tanto externos como
internos de la organización.
MONITOREO • Existen evidencias sobre prácticas para la medición de los niveles de
servicio internos y externos, así como también del control y monitoreo

DE SLA y
periódico a los acuerdos de niveles de servicio dados en los contratos
de servicios tecnológicos contratados por la entidad.
• Se realiza seguimiento de acuerdos de nivel de operación internos de la

OLA Gerencia de Tecnología como unidad prestadora de los servicios de

información en la empresa para el resto de áreas usuarias de la
organización.
 Políticas y Procedimientos

• CONFIDENCIALIDAD DE LA INFORMACIÓN EN
CONTRATOS EL CONTRATO: Se evidencia la existencia de
cláusulas de confidencialidad que protejan la
RELACIONADOS información sensible de la empresa ante el
CON personal de la organización con respecto a las
empresas que ofertan un servicio, a fin de
TECNOLOGÍA asegurar la confidencialidad, integridad y
disponibilidad de la información administrada.
 Políticas y Procedimientos

MEDICIÓN • Existen políticas y procedimientos formales

para el control de desempeño y capacidad de
DE los recursos tecnológicos de la empresa.
• Politicas y procedimeintos sobre la periodicidad
DESEMPEÑO de su monitoreo y documentación de registro.
Y • Se realizan revisiones periódicas sobre su
cumplimiento.
CAPACIDAD
 Políticas y Procedimientos

• Se dispone de un estudio sobre las

PROYECCIONES necesidades de crecimiento de la
SOBRE información de la empresa, en base de los
requerimientos del negocio considerando la
CRECIMIENTO carga de trabajo actual y la proyectada, a
DE LA fin de que se planifique la capacidad de
almacenamiento y de procesamiento
INFORMACIÓN requerida.
 Políticas y Procedimientos

• Las Políticas y procedimientos

orientados al control y monitoreo de la
ADMINISTRACIÓN red de datos, se encuentran definidas
DE LA RED DE por escrito.
DATOS • Existen procedimientos claros y
formales para realizar el control de
caídas de enlaces de datos.
 Políticas y Procedimientos

CONTROL
• Se dispone de un manual operativo y de control para normar las
operaciones diarias del centro de cómputo, que incluya las políticas y
procedimientos de control de producción de la Gerencia de Tecnología.

DEL AREA DE • Se presenta un detalle de los procedimientos de control a ser aplicados

en cada uno de los procesos diarios realizados entre los que se incluyen

PRODUCCIÓN la administración de: servidores centrales, cajeros automáticos,

Intranet, respaldos de información (servidores y clientes), Banca
electrónica, Redes y enlaces de telecomunicaciones, Respaldos de
información.
• Las políticas existentes se encuentran estandarizadas y difundidas al
personal correspondiente.
 Políticas y Procedimientos

CONTROL DE •Se dispone de un control

DETECCIÓN para detección de objetos
EN EL magnéticos para el
CENTRO DE personal que ingresa al
DATOS centro de cómputo.
 Políticas y Procedimientos

• Se encontró evidencias sobre la existencia de procedimientos de control

operativo diario de los respaldos de información, que incluyan las
responsabilidades del personal asignado, a fin de verificar el cumplimiento de las
tareas diarias en el área de producción.

RESPALDOS DE • Se cuenta con un manual de la herramienta de respaldos que incluya los

comandos que deben ejecutar los operadores asignados en cada plataforma
tecnológica.
INFORMACIÓN • Se verifica aleatoriamente los respaldos.
• Existen respaldos que se envían a un lugar externo, se realizan verificaciones.
• Existe procedimientos formales para la eliminación de respaldos.
• Se aplican criterios para la clasificación de la información en base al grado de
sensibilidad.
 Políticas y Procedimientos

INVENTARIO • Se cuenta con un inventario

DE actualizado de hardware y
software de la empresa,
HARDWARE Y incluyendo registro de licencias y
SOFTWARE la ubicación en cada
ACTUALIZADO computador.
 Políticas y Procedimientos

INVENTARIO • Se cuenta con un inventario

DE actualizado de hardware y
software de la empresa,
HARDWARE Y incluyendo registro de licencias y
SOFTWARE la ubicación en cada
ACTUALIZADO computador.
 Políticas y Procedimientos

INVENTARIO • Se cuenta con un inventario

DE actualizado de hardware y
software de la empresa,
HARDWARE Y incluyendo registro de licencias y
SOFTWARE la ubicación en cada
ACTUALIZADO computador.
 Políticas y Procedimientos

• Se constata que están disponibles procedimientos formales para la gestión de la Gerencia de

Tecnología, entre las que consten por ejemplo:
• La conexión y desconexión de equipos remotos a la red de datos tanto interna como externa de la

PROCEDIMIENTOS
empresa.
• Sobre el manejo de la información de respaldos.
• Indicaciones de como tratar la información inválida, sin una firma ilegible, o que no correspondan las
FORMALES PARA cifras de control.
• Controles manuales o automáticos para que la información sea clasificada según su grado de

EL CONTROL
sensibilidad como por ejemplo: publica, confidencial, crítica, etc.
• Asegurar que la información histórica registrada en los sistemas informáticos, se encuentra completa,
cuadrada contablemente y que ha sido certificada por los usuarios de cada unidad de negocio.

TECNOLÓGICO • Plan de Aseguramiento de Calidad del Software (SQAP) junto con las normas para el control de la
documentación.
• Procedimientos de notificación y gestión de incidencias.
• Mantener actualizada la documentación de manuales de usuarios, técnicos, y operativos de los
sistemas informáticos.