Académique Documents
Professionnel Documents
Culture Documents
1 Que el artculo 183 la Constitucin Poltica dispone que la Contralora General de la Repblica es
una institucin auxiliar de la Asamblea Legislativa, con absoluta independencia en la vigilancia y control
de la Hacienda Pblica.
2 Que los artculos 11 y 12 de la Ley Orgnica de la Contralora General de la Repblica, Nro. 7424,
la designan como rgano rector del Ordenamiento de Control y Fiscalizacin Superiores de la Hacienda
Pblica confirindole, en concordancia con el artculo 24 de dicha Ley, la facultad de emitir
disposiciones, normas, polticas y directrices que coadyuven a garantizar la legalidad y la eficiencia tanto
de los controles internos, como del manejo de los fondos pblicos de los entes sobre los cuales tiene
jurisdiccin.
3 Que el artculo 3 de la Ley General de Control Interno, Nro. 8292 del 31 de julio de 2002, refuerza
las facultades de la Contralora General para emitir la normativa tcnica de control interno necesaria para
el funcionamiento efectivo del sistema de control interno de los entes y rganos sujetos a esa ley.
4 Que la Contralora General de la Repblica public en La Gaceta Nro. 24 del 2 de febrero de 1996,
Alcance Nro. 7, el Manual sobre Normas Tcnicas de Control Interno relativas a los Sistemas de
Informacin Computadorizados.
5 Que las tecnologas de informacin -afectadas por constantes avances tecnolgicos-, se han
convertido en un instrumento esencial en la prestacin de los servicios y representan rubros importantes
en los presupuestos del Sector Pblico.
6 Que con fundamento en lo antes expuesto la Contralora General de la Repblica ha considerado
pertinente emitir las Normas tcnicas para la gestin y el control de las tecnologas de informacin para
con ello fortalecer la administracin de los recursos invertidos en tecnologas de informacin, mediante el
establecimiento de criterios bsicos de control que deben ser observados en la gestin institucional de
esas tecnologas y que a su vez coadyuven en el control y fiscalizacin que realice este rgano contralor.
Por tanto,
RESUELVE
Artculo 1Aprobar el documento denominado Normas tcnicas para la gestin y el control de las
tecnologas de informacin, normativa que establece los criterios bsicos de control que deben
observarse en la gestin de esas tecnologas y que tiene como propsito coadyuvar en su gestin, en
virtud de que dichas tecnologas se han convertido en un instrumento esencial en la prestacin de los
servicios pblicos, representando inversiones importantes en el presupuesto del Estado. Dicha normativa
est estructurada de la siguiente manera:
Introduccin
Captulo I Normas de aplicacin general
1.1
1.2
1.3
1.4
Marco estratgico de TI
Gestin de la calidad
Gestin de riesgos
Gestin de la seguridad de la informacin
1.4.1
Implementacin de un marco de seguridad de la informacin
1.4.2
Compromiso del personal con la seguridad de la informacin
1.4.3
Seguridad fsica y ambiental
1.4.4
Seguridad en las operaciones y comunicaciones
1.4.5
Control de acceso
1.4.6
Seguridad en la implementacin y mantenimiento de software e infraestructura
tecnolgica
1.4.7
Continuidad de los servicios de TI
1.5
Gestin de proyectos
1.6
Decisiones sobre asuntos estratgicos de TI
1.7
Cumplimiento de obligaciones relacionadas con la gestin de TI
Captulo II Planificacin y organizacin
2.1
2.2
2.3
2.4
2.5
Captulo V Seguimiento
5.1
5.2
5.3
Glosario
ii
Artculo 2 Promulgar las Normas tcnicas para la gestin y el control de las tecnologas de
informacin, Nro. N-2-2007-CO-DFOE.
Artculo 3 Establecer que las Normas tcnicas para la gestin y el control de las tecnologas de
informacin son de acatamiento obligatorio para la Contralora General de la Repblica y las
instituciones y rganos sujetos a su fiscalizacin, excluyendo a las instituciones de menor tamao,
entendidas como aquellas que dispongan de un total de recursos que ascienda a un monto igual o inferior
a seiscientas mil unidades de desarrollo y que cuenten con menos de treinta funcionarios, incluyendo al
jerarca, los titulares subordinados, y todo su personal; y que estas normas prevalecern sobre cualquier
disposicin en contrario que emita la Administracin. Asimismo, que su inobservancia generar las
responsabilidades que correspondan de conformidad con el marco jurdico que resulte aplicable. (As
modificado segn resolucin R-CO-9-2009 de las nueve horas del veintisis de enero del dos mil
nueve, mediante la cual se emitieron las Normas de control interno para el Sector Pblico,
publicada en La Gaceta N 26 del 6 de febrero del mismo ao).
Artculo 4 Derogar el Manual sobre normas tcnicas de control interno relativas a los sistemas de
informacin computadorizados, publicado en el Alcance Nro. 7 de La Gaceta No. 24 del 2 de febrero de
1996.
Artculo 5 Informar que dicha normativa ser distribuida por medio de los mecanismos pertinentes a
cada institucin y estarn a disposicin en la direccin electrnica www.cgr.go.cr de la Contralora
General de la Repblica.
Artculo 6 Informar que la Administracin contar con dos aos a partir de su entrada en vigencia para
cumplir con lo regulado en esta normativa, lapso en el cual, dentro de los primeros seis meses, deber
planificar las actividades necesarias para lograr una implementacin efectiva y controlada de lo
establecido en dicha normativa, contemplando los siguientes aspectos:
a. La constitucin de un equipo de trabajo con representacin de las unidades que correspondan.
b. La designacin de un responsable del proceso de implementacin, quien asumir la coordinacin
del equipo de trabajo y deber contar con la autoridad necesaria, dentro de sus competencias, para
ejecutar el referido plan.
c. El estudio detallado de las normas tcnicas referidas, con el fin de identificar las que apliquen a la
entidad u rgano de conformidad con su realidad tecnolgica y con base en ello establecer las
prioridades respecto de su implementacin.
d. Dicha planificacin deber considerar las actividades por realizar, los plazos establecidos para
cada una, los respectivos responsables, los costos estimados, as como cualquier otro
requerimiento asociado (tales como infraestructura, personal y recursos tcnicos) y quedar
debidamente documentada.
Artculo 7 Comunicar que la referida normativa entrar a regir a partir del 31 de julio del 2007.
Publquese.
Roco Aguilar Montoya
CONTRALORA GENERAL DE LA REPBLICA
iii
iv
NDICE
Introduccin...................................................................................................................................................................
Captulo I Normas de aplicacin general....................................................................................................................
1.1
Marco estratgico de TI..............................................................................................................................2
1.2
Gestin de la calidad...................................................................................................................................2
1.3
Gestin de riesgos.......................................................................................................................................2
1.4
Gestin de la seguridad de la informacin.................................................................................................2
1.4.1
Implementacin de un marco de seguridad de la informacin...................................................................3
1.4.2
Compromiso del personal con la seguridad de la informacin...................................................................3
1.4.3
Seguridad fsica y ambiental.......................................................................................................................3
1.4.4
Seguridad en las operaciones y comunicaciones........................................................................................4
1.4.5
Control de acceso........................................................................................................................................4
1.4.6
Seguridad en la implementacin y mantenimiento de software e infraestructura tecnolgica...................5
1.4.7
Continuidad de los servicios de TI.............................................................................................................5
1.5
Gestin de proyectos...................................................................................................................................5
1.6
Decisiones sobre asuntos estratgicos de TI...............................................................................................5
1.7
Cumplimiento de obligaciones relacionadas con la gestin de TI..............................................................5
Captulo II Planificacin y organizacin....................................................................................................................
2.1
Planificacin de las tecnologas de informacin........................................................................................6
2.2
Modelo de arquitectura de informacin......................................................................................................6
2.3
Infraestructura tecnolgica.........................................................................................................................6
2.4
Independencia y recurso humano de la Funcin de TI...............................................................................6
2.5
Administracin de recursos financieros......................................................................................................6
Captulo III Implementacin de tecnologas de informacin......................................................................................
3.1
Consideraciones generales de la implementacin de TI.............................................................................7
3.2
Implementacin de software.......................................................................................................................7
3.3
Implementacin de infraestructura tecnolgica..........................................................................................8
3.4
Contratacin de terceros para la implementacin y mantenimiento de software e infraestructura............8
Captulo IV Prestacin de servicios y mantenimiento.................................................................................................
4.1
Definicin y administracin de acuerdos de servicio.................................................................................9
4.2
Administracin y operacin de la plataforma tecnolgica.........................................................................9
4.3
Administracin de los datos......................................................................................................................10
4.4
Atencin de requerimientos de los usuarios de TI....................................................................................10
4.5
Manejo de incidentes................................................................................................................................10
4.6
Administracin de servicios prestados por terceros.................................................................................10
Captulo V Seguimiento............................................................................................................................................11
5.1
Seguimiento de los procesos de TI...........................................................................................................11
5.2
Seguimiento y evaluacin del control interno en TI.................................................................................11
5.3
Participacin de la Auditora Interna........................................................................................................11
Glosario.............................................................................................................................................................................12
Introduccin
1.2 Gestin de la
calidad
1.4 Gestin de la
seguridad de la
informacin
1.4.1
1.4.2
Implementacin
de un marco de
seguridad de la
informacin
Compromiso del
personal con la
seguridad de la
informacin
1.4.4 Seguridad en
las operaciones
y
comunicaciones
1.4.5 Control de
acceso
Error involuntario;
saldo en la
numeracin, faltan
apartados g y h
1.4.7 Continuidad de
los servicios de TI
1.5 Gestin de
proyectos
1.7 Cumplimiento de
obligaciones
relacionadas con la
gestin de TI
Captulo II
Planificacin y organizacin
2.1 Planificacin de
las tecnologas de
informacin
2.2 Modelo de
arquitectura de
informacin
2.3 Infraestructura
tecnolgica
2.4 Independencia y
recurso humano
de la Funcin de
TI
2.5 Administracin de
recursos
financieros
3.2 Implementacin de
software
3.4 Contratacin de
terceros para la
implementacin y
mantenimiento de
software e
infraestructura
4.2 Administracin y
operacin de la
plataforma
tecnolgica
4.3 Administracin de
los datos
4.4 Atencin de
requerimientos de
los usuarios de TI
4.5 Manejo de
incidentes
4.6 Administracin de
servicios prestados
por terceros
10
Captulo V Seguimiento
5.1 Seguimiento
de los procesos
de TI
5.2 Seguimiento y
evaluacin del
control interno
en TI
5.3 Participacin
de la Auditora
Interna
11
Glosario
Activos informticos
Acuerdos de
confidencialidad
Acuerdos de servicio
Ambiente de desarrollo Conjunto de componentes de hardware y software donde se efectan los procesos
de construccin, mantenimiento (v.gr. ajustes, cambios y correcciones) y pruebas
de sistemas de informacin.
Ambiente de
produccin
Base de datos
Calidad
Confidencialidad de la
informacin
Contingencia
Continuidad de los
servicios y operaciones
Contraseas
Vase password.
Conversin de datos
Cumplimiento
Datos
Desarrollo
Etapa del ciclo de vida del desarrollo de sistemas que implica la construccin de las
aplicaciones.
12
Disponibilidad de la
informacin
Efectividad de la
informacin
Eficiencia
Funcin de TI
Gestin de las TI
Hardware
Informacin
Infraestructura
tecnolgica
Instalaciones
Integridad
Jerarca
Marco de seguridad de
la informacin
Menor Privilegio
13
Condicin o atributo que tiene una transaccin informtica que permite que las
partes relacionadas con ella no puedan aducir que la misma transaccin no se
realiz o que no se realiz en forma completa, correcta u oportuna.
Necesidad de saber
Pistas de auditora
Plataforma tecnolgica
Prestacin de servicios
de TI
Propiedad de la
informacin
Recursos de TI
Recursos informticos
Seguimiento de las TI
Seguridad
Seguridad fsica
14
Los programas y documentacin que los soporta que permiten y que facilitan el uso
de la computadora. El software controla la operacin del hardware.
Software de aplicacin
Software de base
Tecnologas de
informacin (TI)
Titular Subordinado
15