R-CO-26-2007.-Contraloría General de
la República. - Despacho
de la Contralora
General.-San José a las diez horas del siete de junio del 2007.
Considerando:
1º-Que el artículo 183
la Constitución Política dispone que
la Contraloría General
de la República
es una institución auxiliar de
la Asamblea Legislativa,
con absoluta independencia en la vigilancia y control de
la Hacienda Pública.
2º-Que los artículos 11 y 12 de
la Ley Orgánica de
la Contraloría de
la General de
la República Nº 7424, la
designan como órgano rector del Ordenamiento de Control y Fiscalización
Superiores de la
Hacienda Pública confiriéndole, en concordancia con el
artículo 24 de dicha Ley, la facultad de emitir disposiciones, normas,
políticas y directrices que coadyuven a garantizar la legalidad y la eficiencia
tanto de los controles internos, como del manejo de los fondos públicos de los
entes sobre los cuales tiene jurisdicción.
3º-Que el artículo 3 de la
Ley General de Control Interno, Nº 8292 del 31 de julio de
2002, refuerza las facultades de
la Contraloría General
para emitir la normativa técnica de control interno necesaria para el
funcionamiento efectivo del sistema de control interno de los entes y órganos
sujetos a esa ley.
4º-Que la
Contraloría General de
la República publicó en
La Gaceta Nº 24 del 2
de febrero de 1996, Alcance Nº 7, el "Manual sobre Normas Técnicas de Control
Interno relativas a los Sistemas de Información Computadorizados".
5º-Que las tecnologías de información -afectadas por constantes avances
tecnológicos-, se han convertido en un instrumento esencial en la prestación de
los servicios y representan rubros importantes en los presupuestos del Sector
Público.
6º-Que con fundamento en lo antes expuesto la Contraloría General de la
República ha considerado pertinente emitir las "Normas técnicas para la gestión
y el control de las tecnologías de información" para con ello fortalecer la
administración de los recursos invertidos en tecnologías de información,
mediante el establecimiento de criterios básicos de control que deben ser
observados en la gestión institucional de esas tecnologías y que a su vez
coadyuven en el control y fiscalización que realice este órgano contralor. Por tanto:
RESUELVE:
Artículo 1º-Aprobar el documento denominado "Normas técnicas para la
gestión y el control de las tecnologías de información", normativa que
establece los criterios básicos de control que deben observarse en la gestión
de esas tecnologías y que tiene como propósito coadyuvar en su gestión, en
virtud de que dichas tecnologías se han convertido en un instrumento esencial
en la prestación de los servicios públicos, representando inversiones
importantes en el presupuesto del Estado. Dicha normativa está estructurada de
la siguiente manera:
Introducción
Capítulo I
Normas de aplicación general
1.1 Marco estratégico de TI
1.2 Gestión de la calidad
1.3 Gestión de riesgos
1.4 Gestión de la seguridad de la información
1.4.1 Implementación de un marco
de seguridad de la información
1.4.2 Compromiso del personal con
la seguridad de la información
1.4.3 Seguridad física y ambiental
1.4.4 Seguridad en las operaciones
y comunicaciones
1.4.5 Control de acceso
1.4.6 Seguridad en la
implementación y mantenimiento de software e infraestructura tecnológica
1.4.7 Continuidad de los servicios
de TI
1.5 Gestión de proyectos
1.6 Decisiones sobre asuntos estratégicos de
TI
1.7 Cumplimiento de obligaciones relacionadas
con la gestión de TI
Capítulo II
Planificación y organización
2.1 Planificación de las tecnologías de
información
2.2 Modelo de arquitectura de información
2.3 Infraestructura tecnológica
2.4 Independencia y recurso humano de
la Función de TI
2.5 Administración de recursos financieros
Capítulo III
Implementación de tecnologías de información
3.1 Consideraciones generales de la implementación
de TI
3.2 Implementación de software
3.3 Implementación de infraestructura
tecnológica
3.4 Contratación de terceros para la
implementación y mantenimiento de software e infraestructura
Capítulo IV
Prestación de servicios y mantenimiento
4.1 Definición y administración de acuerdos
de servicio
4.2 Administración y operación de la
plataforma tecnológica
4.3 Administración de los datos
4.4 Atención de requerimientos de los
usuarios de TI
4.5 Manejo de incidentes
4.6 Administración de servicios prestados por
terceros
Capítulo V
Seguimiento
5.1 Seguimiento de los procesos de TI
5.2 Seguimiento y evaluación del control
interno en TI
5.3 Participación de
la Auditoría Interna
Glosario