Embed Size (px)
Citation preview
LINEAMIENTO DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
BOGOTÁ D.C. ENERO 2020
LINEAMIENTO DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
Proceso asociado
Código
Versión
Tecnología de Información y Comunicaciones
L-TI-23
02
2
CONTENIDO
1. OBJETIVO ------------------------------------------------------------------------------------------------------ 3
2. ALCANCE ------------------------------------------------------------------------------------------------------ 3
3. TÉRMINOS Y DEFINICIONES ------------------------------------------------------------------------------- 3
4. ÁMBITO DE APLICACIÓN Y DISPOSICIONES GENERALES --------------------------------------------- 3
4.1 Lineamientos de adquisición, desarrollo y mantenimiento de sistemas de información ------ 3
4.2 Registro de desarrollos ------------------------------------------------------------------------------------- 5
5. MARCO LEGAL ----------------------------------------------------------------------------------------------- 5
6. DOCUMENTOS ASOCIADOS ------------------------------------------------------------------------------- 5
7. RESPONSABLE DEL DOCUMENTO ------------------------------------------------------------------------ 5
LINEAMIENTO DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
Proceso asociado
Código
Versión
Tecnología de Información y Comunicaciones
L-TI-23
02
3
1. OBJETIVO
Garantizar que la seguridad es parte integral de los sistemas de información, con el fin de asegurar que los sistemas de información o aplicativos informáticos incluyan controles de seguridad y cumplan con las políticas de seguridad de la información.
2. ALCANCE
Estos lineamientos de obligatorio cumplimiento, deben ser aplicados por todos los funcionarios, contratistas, pasantes y personal en comisión del Departamento Administrativo de la Presidencia de la República.
3. TÉRMINOS Y DEFINICIONES
Algoritmo: Conjunto ordenado y finito de operaciones que permite hallar la solución de un problema. Criptología: Estudio de los sistemas, claves y lenguajes ocultos o secretos; técnicas de que tratan de la protección de la información. Cifrar: Transcribir en guarismos, letras o símbolos, de acuerdo con una clave, un mensaje o texto cuyo contenido se quiere proteger.
4. ÁMBITO DE APLICACIÓN Y DISPOSICIONES GENERALES La Entidad establece las directrices para la adquisición, desarrollo y mantenimiento de sistemas de información, con el fin de asegurar la protección de la información del Departamento Administrativo de la Presidencia.
4.1 Lineamientos de adquisición, desarrollo y mantenimiento de sistemas de información En caso de desarrollos propios el Área de Tecnologías y Sistemas de Información debe separar los ambientes de desarrollo, prueba y producción, en diferentes procesadores y dominios.
El Área de Tecnologías y Sistemas de Información deberá realizar pruebas de funcionamiento y de seguridad a los nuevos sistemas, actualizaciones y/o aplicaciones en ambiente de pruebas, para validar la necesidad y operatividad de estos, previo a la aprobación e implementación.
El Área de Tecnologías y Sistemas de Información desarrollará y/o adquirirá el software requerido por el DAPRE; de manera coordinada con el Área que manifieste la necesidad del software, el Área de Tecnologías y Sistemas de Información establecerá claramente los requerimientos funcionales,
LINEAMIENTO DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
Proceso asociado
Código
Versión
Tecnología de Información y Comunicaciones
L-TI-23
02
4
operacionales y especificaciones técnicas para la adquisición o desarrollo de sistemas de información y/o comunicaciones, contemplando requerimientos de seguridad de la información. Todo nuevo hardware y software que se vaya a adquirir y conectar a la plataforma tecnológica del DAPRE, por cualquier dependencia o proyecto del DAPRE, deberá ser gestionado por el Área de Tecnologías y Sistemas de Información para su correcto funcionamiento.
Todo aplicativo informático o software debe ser comprado con previa aprobación generada por el Área de Tecnología y Sistemas de la Información en concordancia con la política de adquisición de bienes de la entidad y de acuerdo con lo definido en el proceso C-BS-07 Adquisición de Bienes y Servicios. Cualquier otra copia del programa original será considerada como una copia no autorizada y su utilización conlleva a las sanciones administrativas y legales pertinentes. El Área de Tecnologías y Sistemas de Información será la única dependencia autorizada para realizar copia de seguridad del software original. La instalación del software en los activos informáticos del DAPRE, se realizará únicamente a través del PUC del Área de Tecnologías y Sistemas de Información.
El Área de Tecnologías y Sistemas de Información implementará reglas y herramientas que restrinjan la instalación de software no autorizado en los activos de información del DAPRE. El software proporcionado por el DAPRE no puede ser copiado o suministrado a terceros. En los equipos del DAPRE se podrá utilizar el software licenciado por el Área de Tecnologías y Sistemas de Información y el adquirido o licenciado por los proyectos o programas que se encuentran en el DAPRE. Para la adquisición y actualización de software, es necesario efectuar la solicitud al Área de Tecnologías y Sistemas de Información con su justificación, quien analizará las propuestas presentadas para su evaluación y aprobación. El software que se adquiera a través de proyectos o programas, debe quedar licenciado a nombre del Departamento Administrativo de la Presidencia de la República.
Se debe establecer los lineamientos para la supervisión y seguimiento a las actividades de desarrollo contratado, los cuales deben quedar inmersos en las clausulas y/o especificaciones técnicas de los contratos a ejecutar por el DAPRE.
Se encuentra prohibido el uso e instalación de juegos en los computadores del DAPRE.
Se presentarán para dar de baja el software de acuerdo con el procedimiento de Baja de Bienes P-GA-09.
LINEAMIENTO DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
Proceso asociado
Código
Versión
Tecnología de Información y Comunicaciones
L-TI-23
02
5
El Área de Tecnologías y Sistemas de Información debe implementar actividades para la protección contra códigos maliciosos y de reparación. El Área de Tecnologías y Sistemas de Información debe implementar métodos y/o técnicas para el desarrollo de software seguro, estas deben incluir definiciones y requerimientos de seguridad, buenas prácticas para desarrollo, que le permita a los desarrolladores aplicarlas de manera clara y eficiente.
El Área de Tecnologías y Sistemas de Información debe implementar y aplicar metodologías que permitan proteger las transacciones de los servicios de aplicaciones del DAPRE.
Se debe gestionar el control de cambios de acuerdo al Procedimiento de Administración de Cambios P-TI-22 y los Lineamientos de Administración de Cambios L-TI-01, basados en el ciclo de vida, asegurando la integridad desde las primeras etapas de diseño, pasando por mantenimiento.
4.2 Registro de desarrollos El Área de Tecnologías y Sistemas de Información registrará los desarrollos internos y contratados ante la Dirección Nacional de Derecho de Autor.
5. MARCO LEGAL Se puede consultar en el aplicativo SIGEPRE – Mapa de procesos – Tecnologías de Información y Comunicaciones - Documentos y formatos o en el campo de documentos asociados cuando se consulta el documento.
6. DOCUMENTOS ASOCIADOS
Se puede consultar en el aplicativo SIGEPRE – Mapa de procesos – Tecnologías de Información y Comunicaciones - Documentos y formatos o en el campo de documentos asociados cuando se consulta el documento.
7. RESPONSABLE DEL DOCUMENTO
Jefe Área de Tecnologías y Sistemas de Información.
