Políticas de uso de Recursos y Seguridad Informática 22 · PDF...

Dirección General: 30-VI-09COMERI: 29-VI-09

Planeación y CalidadGerencia de Tecnología

POLÍTICAS DE USO DE RECURSOS Y SEGURIDAD INFORMÁTICA

Área responsable: Gerencia de Tecnología

Liberación: 30.06.09

Número de documento:

Revisión:00

Páginas: 1/36

Tipo de documento: Políticas de uso de Recursos y Seguridad Informática

Nivel: X

Para uso interno Exclusivamente

Políticas de uso de Recursos y Seguridad Informática

Índice

Política de Uso de Recursos de Cómputo............................................................... 3

Objetivo.............................................................................................................................3 Alcance .............................................................................................................................3 Política ..............................................................................................................................3 Aplicación .........................................................................................................................6 Definiciones ......................................................................................................................6

Política de Seguridad y Permisos de Directorio Activo............................................ 7 Objetivo.............................................................................................................................7 Alcance .............................................................................................................................7 Política ..............................................................................................................................7 Aplicación .........................................................................................................................8

Política de Acceso a Usuarios Internos a la Red..................................................... 9 Objetivo.............................................................................................................................9 Alcance .............................................................................................................................9 Política ..............................................................................................................................9 Aplicación .......................................................................................................................10

Política de Acceso a Usuarios Externos a la Red ................................................. 10 Objetivo...........................................................................................................................11 Alcance ...........................................................................................................................11 Política ............................................................................................................................11 Aplicación .......................................................................................................................13 Definiciones ....................................................................................................................13

Política de Contraseñas para Usuarios de Dominio .............................................. 14 Objetivo...........................................................................................................................14 Alcance ...........................................................................................................................14 Política ............................................................................................................................14 Aplicación .......................................................................................................................17 Definiciones ....................................................................................................................17

Política de Respaldos En Equipos Usuarios. ........................................................ 18 Objetivo...........................................................................................................................18 Alcance ...........................................................................................................................18 Política ............................................................................................................................18 Aplicación .......................................................................................................................19 Definiciones. ...................................................................................................................19

Política de Recursos Compartidos ........................................................................ 20 Objetivo...........................................................................................................................20 Alcance ...........................................................................................................................20 Política ............................................................................................................................20

Política Préstamo de equipo Informático............................................................... 22 Objetivo...........................................................................................................................22 Alcance ...........................................................................................................................22




Revisión:00

Páginas: 2/36


Nivel: X



Política ............................................................................................................................22 Política de Correo Electrónico ............................................................................... 24

Alcance ...........................................................................................................................24 Política ............................................................................................................................24 Definiciones ....................................................................................................................31

Política de Auditoría Informática Interna ............................................................... 33 Objetivo...........................................................................................................................33 Alcance. ..........................................................................................................................33 Política ............................................................................................................................33 Aplicación .......................................................................................................................33

Política de Auditoría Informática Externa .............................................................. 34 Objetivo...........................................................................................................................34 Alcance. ..........................................................................................................................34 Política ............................................................................................................................34




Revisión:00

Páginas: 3/36


Nivel: X



Política de Uso de Recursos de Cómputo

Objetivo

El propósito de esta política es delinear el uso aceptable de los equipos de cómputo del Fondo de Cultura Económica. Estas reglas son implementadas para proteger la información de los empleados y del FCE. Un uso inapropiado expondrá al FCE a riesgos de ataques de virus, compromete los sistemas y servicios de Tecnologías de Información que el fondo proporcione a través de sus redes de cómputo.

Alcance

Esta política aplica para todos los empleados, proveedores, consultores, y personal temporal que haga uso de equipos de cómputo y comunicaciones del Fondo de Cultura Económica, incluyendo todo el personal que opere en librerías u otras sedes del FCE alrededor del mundo. Esta política aplica a todos los equipos de cómputo y comunicaciones propiedad o que se encuentren en calidad de equipos arrendados por el FCE.

Política Uso General

• Para propósitos de seguridad de la red y los sistemas del FCE, la información contenida en los sistemas es propiedad del Fondo, por lo cual los usuarios no deben utilizar los equipos y sistemas para contener información personal ya que el FCE no garantiza la confidencialidad de la información ajena a los objetivos de la organización.

• Se recomienda que cualquier información que el usuario considere como sensible o vulnerable debe ser cifrada. Consultar con el personal de Tecnologías de Información sobre las herramientas que los usuarios pueden utilizar para lograr este objetivo.

• El FCE se reserva el derecho de auditar la red y los sistemas con el objeto de garantizar el cumplimiento de esta política.

Seguridad de la Información




Revisión:00

Páginas: 4/36


Nivel: X



• El personal solamente debe mantener el material impreso estrictamente necesario sobre sus espacios de trabajo (escritorios), manteniendo la política de espacios libres de información, ya que la información que se deje a la vista puede ser utilizada por terceros para acciones ilícitas.

• Todos los equipos de cómputo, laptops y estaciones de trabajo deben ser protegidas con un protector de pantalla desbloqueable por contraseña durante los momentos que el usuario no esté atendiendo la Terminal, El protector deberá activarse automáticamente a los 10 minutos de inactividad del equipo.

• La información contenida en los equipos portátiles es especialmente vulnerable, deben establecerse cuidados especiales para proteger la información en estos, por lo que debe cumplirse con los “lineamientos de seguridad para laptops” que el FCE proporcione para este efecto.

• Los empleados del FCE deben ser extremadamente cuidadosos al abrir correos que contengan documentos de procedencia desconocida, ya que estos pueden contener virus, trojanos, etc.

• Los correos electrónicos liberados por los usuarios deben contener una nota aclaratoria sobre el contenido y carácter del correo.

Uso Inaceptable

Bajo ninguna circunstancia el personal del FCE, están autorizados para realizar actividades consideradas ilegales utilizando recursos del Fondo para este fin.

Las siguientes actividades están estrictamente prohibidas, sin excepción.

Sobre Redes y Sistemas

• Violar los derechos de cualquier persona u organización protegidos por leyes de derechos de autor, patentes u otras regulaciones de propiedad intelectual, Incluyendo pero no limitándose a, la instalación o distribución de software “pirata”, u otros productos de software que no se encuentren licenciados para ser usados por el FCE.

• Distribuir copias no autorizadas de material protegido por derechos de autor o propiedad intelectual utilizando recursos de cómputo y red del FCE.




Revisión:00

Páginas: 5/36


Nivel: X



• Distribuir programas maliciosos en las redes o equipos (por ejemplo, virus, gusanos, troyanos, etc.).

• Revelar la contraseña que salvaguarda las cuentas propias o de terceros del FCE, bajo ninguna circunstancia.

• Usar los recursos de tecnologías de información del FCE para fomentar, procurar o transmitir material que se pueda considerar hostil para la dignidad de las personas.

• Llevar a cabo fraude ofreciendo productos o servicios explotando el nombre del FCE.

• Ejecutar herramientas de barrido de puertos o de vulnerabilidades en la red del Fondo se encuentra expresamente prohibido a menos que exista una autorización expresa por la Gerencia de Tecnología.

• Ejecutar cualquier forma de monitoreo de red que implique la intersección de datos, a menos que estas actividades se encuentren autorizadas formalmente por la Gerencia de Tecnología.

• Interferir los servicios de la red o los sistemas para evitar que sean utilizados por el personal del Fondo (por ejemplo, ataques de negación de servicios).

• Usar cualquier tipo de programa, comando, script o enviar mensajes de cualquier tipo, con la intensión de interferir, deshabilitar los equipos de cómputo o comunicaciones, a través de cualquier vía, localmente o a través de la red.

• Proveer información acerca de, o listas de empleados del FCE a entidades ajenas a la operación del Fondo.

Correo electrónico y Comunicaciones

• Enviar correos electrónicos no solicitados, que se encuentren fuera de los objetivos de las actividades del FCE, ya que esto será considerado spam.

• Alteración de información de las cabeceras de los correos electrónicos. • Crear o distribuir “correos cadena” o cualquier tipo de esquema pirámide

ya que afecta el ancho de banda de la red.




Revisión:00

Páginas: 6/36


Nivel: X



Aplicación

Cualquier empleado que viole estas políticas será sancionado de acuerdo a los criterios establecidos por la gerencia de Tecnología.

Definiciones

Término Definición Spam Correo electrónico masivo no solicitado y/o no autorizado




Revisión:00

Páginas: 7/36


Nivel: X



Política de Seguridad y Permisos de Directorio Activo

Objetivo Este documento describe las políticas bajo las cuales personal del fondo de cultura económica hará uso del usuario registrado en el dominio.

Alcance

Esta política se aplica a todo personal que cuente con una cuenta de usuario registrada en el dominio.

Política Del Uso Prohibido

Hacer uso de este usuario para fines no lucrativos o que pongan en riesgo información propia del usuario o del FCE.

Del Uso Personal

El usuario es único e intransferible, a la persona que se le asigne es entera responsable de resguardar la contraseña y del uso que se de con este usuario.

Monitoreo

El personal de la Gerencia de Tecnología realiza inspecciones periódicas para dar de baja usuarios que ya no deban estar registrados en el dominio así como de la concesión de permisos.




Revisión:00

Páginas: 8/36


Nivel: X



Aplicación

Los usuarios son generados para los empleados del FCE que cuenten con computadora. Los niveles de acceso se le van agregando gradualmente, dependiendo de los recursos a los que deba tener acceso el usuario.

Nivel de seguridad adquirida por omisión al generar un usuario.

• Autentificación ante el dominio en que fue generada la cuenta. • Vigencia de la contraseña por 45 días • Bloqueo automático de la cuenta al 4° intento fallido en el ingreso de la

contraseña • Desbloqueo automático de la cuenta, transcurridos 30 minutos. • Longitud Mínima de seis dígitos para la contraseña. • Asignar www.fondodeculturaeconomica/prensa.asp como página de inicio

del navegador de Internet. • No modificar la apariencia del escritorio del equipo. • No modificar las propiedades de la configuración de red. • No desactivar la tarjeta de red.




Revisión:00

Páginas: 9/36


Nivel: X



Política de Acceso a Usuarios Internos a la Red

Objetivo

Este documento describe las políticas bajo las cuales personal interno podrá hacer uso de la red del FCE.

Alcance

Esta política es aplicable a todas las conexiones de acceso a recursos informáticos públicos y no públicos del FCE,

Política Análisis de seguridad

• Todas las solicitudes para conectar equipos de cómputo a la red del FCE deberán de ser revisadas por la Gerencia de Tecnología, para garantizar que se cumplan los requisitos de seguridad establecidos.

• Instalación de equipo de cómputo

• Todos los equipos que sean instalados en la Red del FCE, deberán de

contar con todas las actualizaciones de Microsoft así como tener instalado el cliente de antivirus Symantec y será necesario ingresar al usuario al dominio.

Acceso a Servicios Informáticos

• Todas las solicitudes de conexión para los servicios informáticos del FCE deberán de ser mediante correo electrónico y por el jefe inmediato del interesado.




Revisión:00

Páginas: 10/36


Nivel: X



Estableciendo conectividad

• Todos los accesos a los servicios informáticos, deberán basarse en el

principio de menor acceso, de acuerdo con los requerimientos y el análisis de seguridad realizado.

Modificación de conexión y acceso

• Todos los cambios de acceso deben ir acompañados de una justificación válida relacionada y apegada al análisis de seguridad.

Fin de acceso

• Cuando ya no se requiera el acceso a los servicios informáticos, será necesario que se notifique mediante un correo electrónico y por el jefe inmediato al administrador de la red LAN para poder restringir el acceso a los servicios.

• Se deberá realizar una auditoria anual de las conexiones permitidas con la finalidad de asegurar que éstas aún sean vigentes. Las conexiones que se hayan depreciado, o no se utilicen más deberán ser finalizadas inmediatamente.

• Si existe un incidente de seguridad o se identifica que un acceso a la red indebido, será necesario una modificación a los permisos actuales, o en efecto, que se de fin a la conexión.

Aplicación

Cualquier empleado que viole estas políticas será sancionado de acuerdo a los criterios establecidos.

Política de Acceso a Usuarios Externos a la Red




Revisión:00

Páginas: 11/36


Nivel: X



Objetivo

Este documento describe las políticas bajo las cuales personal externo (proveedores, consultores, outsourcing, etc.), podrán conectarse a la red del FCE con fines exclusivos de proporcionar algún servicio al FCE.

Alcance

Esta política es aplicable a todas las conexiones entre terceros que requieran acceso a recursos informáticos no públicos del FCE, sin importar el tipo de tecnología que se esté utilizando para este fin.

Política Análisis de seguridad

• Todas las solicitudes de terceros para conectar equipos de cómputo a la red del FCE deberán ser revisados por el área de tecnología. En esta revisión, el área, deberá asegurarse de que las conexiones cumplan con los requisitos de seguridad que se han establecido.

Acuerdo de conexión de terceros

• Todas las solicitudes de conexión entre terceros hacia los equipos y sistemas del FCE requieren que se establezca un acuerdo firmado tanto por el responsable legal del tercero en cuestión, así como por el Gerente de Tecnología del FCE.

Casos de uso para propósito del negocio

• Todas las conexiones hacia los recursos de cómputo y comunicaciones del FCE deberán estar justificadas por escrito; dicha documentación deberá ser aprobado por el área de tecnología, así como las condiciones de operación de las mismas. Estos requerimientos serán integrados como parte de la documentación de convenio o contratación de los




Revisión:00

Páginas: 12/36


Nivel: X



servicios del tercero. Punto de contacto

• La persona designada que funge como contacto representa a su organización y es el responsable del cumplimiento de esta política y del acuerdo firmado por ambas partes en donde se le involucre.

• En caso de que el contacto cambie, se le deberá notificar al área de tecnología del FCE.

Estableciendo conectividad

• El solicitante debe proporcionar la información completa de la propuesta para controlar el acceso a los recursos de información del FCE de los terceros.

• El solicitante que desee establecer conexión con terceros, deberán realizar una nueva solicitud al Administrador de la red LAN en cuestión. Este a su vez evaluará junto con el área de Tecnología los requerimientos de seguridad inherentes a la solicitud.

• Todas las conexiones solicitadas como VPN, Wireless y Red LAN, deberán basarse en el principio de menor acceso, de acuerdo con los requerimientos y el análisis de seguridad realizado.

• Bajo ninguna circunstancia, el FCE confiará en terceros para proteger la red o los sistemas de información del Fondo.

Modificación de conexión y acceso

• Todos los cambios de acceso deben ir acompañados de una justificación válida relacionada y apegada al análisis de seguridad. El solicitante es el responsable de notificar al área de tecnología del Fondo.

Fin de acceso




Revisión:00

Páginas: 13/36


Nivel: X



• Cuando ya no se requiera el acceso, será necesario que el solicitante notifique al área de tecnología sobre el estatus de la conexión para negar su acceso. En el mejor de los casos, esto puede significar una modificación de permisos existentes hasta un bloqueo permanente a la red.

• El área de tecnología deberá realizar una auditoría anual de las conexiones permitidas con la finalidad de asegurar que éstas aún sean vigentes. Las conexiones que se hayan depreciado, o no se utilicen más para asuntos relacionados al FCE, deberán ser finalizadas inmediatamente. Si existe un incidente de seguridad o se identifica que un acceso a la red ha sido negado, mismo que ya no será requerido para tratar asuntos relacionados con el FCE; será necesario una modificación a los permisos actuales, o en efecto, que se de fin a la conexión. En este caso, el área de tecnología o el administrador de la red LAN, deberán dar aviso al contacto o al patrocinador.

Aplicación

Cualquier empleado que viole estas políticas será sancionado de acuerdo a los criterios establecidos por el área de tecnología.

Los terceros que violen los lineamientos de esta política serán sancionados con la terminación de su contrato de servicio.

Definiciones

Término Definición Solicitante Personal o Departamento del FCE que solicita que un tercero

tenga acceso a la red y a los recursos de cómputo del Fondo. Tercero Organización o persona física que no forma parte o es subsidiaria

del FCE.




Revisión:00

Páginas: 14/36


Nivel: X



Política de Contraseñas para Usuarios de Dominio

Objetivo

Establecer un estándar para la creación de contraseñas robustas, la protección y la frecuencia de cambio de las mismas dentro de los sistemas y equipos del FCE.

Alcance

Esta política aplica a todo el personal quién es responsable de una cuenta dentro de los sistemas y equipos del FCE que requiere alguna forma de autenticación a través de una contraseña, o en su caso, que almacene información sensible (no pública) del Fondo de Cultura Económica.

Política Aspectos Generales

• Todas las contraseñas de los sistemas de información, por ejemplo cuentas de sistema operativo, cuentas de aplicación, etc. deben de cambiarse con una periodicidad trimestral.

• Todas las contraseñas de de inicio de sesión para los usuarios, deben de cambiarse con una periodicidad de 45 días.

• Todas las contraseñas en los sistemas en producción del FCE deben ser parte de un sistema de autenticación global de administración (Active Directory – Domain Controler).

• Las cuentas administrativas no pueden ser compartidas, en caso de requerirse que varios usuarios tengan acceso a privilegios administrativos a nivel del sistema, estos serán otorgados a través de un grupo de usuarios administrativos de sistemas.

• Las contraseñas no pueden ser comunicadas a otras personas ya que son intransferibles y personales.




Revisión:00

Páginas: 15/36


Nivel: X



• Todas las contraseñas que se manejen dentro del FCE, ya sea a nivel de usuario o a nivel de administración de sistemas deben de conformarse con base a los lineamientos.

Guía de generación de contraseñas Guías generales para la construcción de contraseñas robustas

Para la definición de contraseñas a usar por parte de los usuarios del FCE debe considerar las siguientes características:

• Tener una longitud mínima de 6 (seis) caracteres. • Se recomienda incluir caracteres de las siguientes categorías: • Mayúsculas (de la A a la Z) • Minúsculas (de la a ala z) • Números (del 0 al 9) • Caracteres no alfa numéricos (por ejemplo, @ ! $ # % &) • • La contraseña no debe ser una palabra de diccionario de algún lenguaje,

dialecto, jerga, etc. • La contraseña deberá de tener una vigencia no mayor de 45 días. • No esta basada en información personal, nombres de familia, mascotas,

etc. • Las contraseñas no deben de ser nunca almacenadas en un equipo de

cómputo. Se debe de tratar de crear contraseñas que puedan ser recordadas fácilmente. Una forma de hacer esto es crear una contraseña basado en el nombre de una canción, una afirmación o una frase.

Tómese la siguiente como ejemplo:

P@ssw0rd

Estándares de protección de contraseñas

• No utilizar la misma contraseña para distintas cuentas de los sistemas y equipos del Fondo, así como para otros accesos a red o aplicaciones




Revisión:00

Páginas: 16/36


Nivel: X



proporcionados. • No compartir las contraseñas de acceso con otros usuarios de los

sistemas del FCE, incluyendo asistentes administrativos o secretarias o personal informático, por ningún motivo el personal informático puede solicitar las contraseñas de su cuenta.

• Todas las contraseñas de los sistemas de aplicación y sistemas operativos son de carácter confidencial, personal e intransferible.

• Consideraciones para tomar en cuenta al hacer uso de contraseñas de sistemas y equipos del FCE:

• No revelar las contraseñas a ninguna persona por ningún medio de comunicación electrónico (correo electrónico, telefónico, etc.) o directamente.

• No revelar las contraseñas a los jefes. • No hablar de las contraseñas frente de otras personas. • No hacer alusión al formato de una contraseña. • No revelar una contraseña dentro de cuestionarios o formas de

seguridad, ni en ningún documento similar. • No compartir las contraseñas con miembros de la familia, ni con

compañeros de trabajo. • Los estándares de protección de las contraseñas para el uso de

sistemas dentro del FCE son los siguientes: • Si algún usuario requiere una contraseña, se debe de referir a este

documento y ponerse en contacto con la Gerencia de Tecnología. • No utilizar las funciones de recordar las contraseñas que poseen

algunas aplicaciones (por ejemplo, Eudora, OutLook, Netscape, Messenger, etc.)

• No escribir las contraseñas en ningún documento (por ejemplo, posttips) que se encuentre en su lugar de trabajo.

• No almacenar las contraseñas en ninguna computadora (incluyendo agendas personales o dispositivos similares) sin cifrar la información.

• Si alguna cuenta o contraseña que haga uso de los recursos informáticos de FCE se tiene la sospecha de haber sido comprometida, reportarlo a la Gerencia de Tecnología para que esta inicie un proceso de verificación y análisis, adicionalmente el usuario debe cambiar todas las contraseñas utilizadas en cada uno de los sistemas y equipos del FCE.

• Durante las auditorias de seguridad que realice el FCE se verificara la




Revisión:00

Páginas: 17/36


Nivel: X



robustez de las contraseñas de los usuarios, en caso de que estas lleguen a ser comprometidas a través de estas técnicas de auditoria, la contraseña de la cuenta del usuario requerirá ser cambiada.

Aplicación

Cualquier empleado que viole estas políticas será sancionado de acuerdo a los criterios establecidos por el comité de seguridad.

Definiciones

Término Definición Caracteres Alfanuméricos

Son caracteres combinados entre números y letras que pueden o no definir frases o palabras.




Revisión:00

Páginas: 18/36


Nivel: X



Política de Respaldos En Equipos Usuarios.

Objetivo

Este documento describe las políticas bajo las cuales personal del FCE es el encargado de su propia información y por tanto es su responsabilidad realizar sus propias tareas de respaldo.

Alcance

Esta política se aplica a todos los equipos de usuario que pertenecen y están dentro de las instalaciones del FCE

Política Del Uso Prohibido

• Utilizar cualquier aplicación y dispositivo para realizar respaldos sobre información personal, solo para índole del tipo laboral.

Del Uso Personal

• No se realizan respaldos sobre información, archivos y documentos que

en su contenido no traten de cuestiones laborales. Monitoreo

• El personal de La Gerencia de Tecnología brinda asesoría y/o apoyo técnico para la realización de dicha tarea.




Revisión:00

Páginas: 19/36


Nivel: X



Aplicación

A. Los respaldos se realizan sobre discos compactos y/o DVD’s. B. Algún otro medio magnético como discos duros portátiles, memorias USB. C. El periodo será establecido según la conveniencia de cada usuario, considerando el nivel de prioridad de la información.

Definiciones.

Prioridad Tipo de Información

PERIODO DE TIEMPO SUGERIDO

Baja Información básica la cual no pone en riesgo la actividad laboral.

De 2 a 3 meses

Media Información importante que pone en riesgo de forma parcial las actividades laborales.

De 3 a 6 semanas

Alta Toda información crítica que pone en riesgo directo la actividad laboral.

Diaria y/o hasta 1 semana.




Revisión:00

Páginas: 20/36


Nivel: X



Política de Recursos Compartidos

Objetivo

Este documento describe las políticas bajo las cuales personal interno, hará uso de Recursos Compartidos.

Alcance Esta política se aplica a todos los empleados y personas que trabajan dentro del FCE y requieran del servicio de Recursos Compartidos en servidores de archivos.

Política Del Uso General

• La Gerencia de Tecnología proporciona el servicio de Servidores de Archivos, los cuales son para el almacenamiento de información para las áreas que requieran que su información sea consultada, modificada y borrada, esto dependiendo de los privilegios que sean autorizados por el responsable de los archivos compartidos.

• El área de tecnología no tendrá ingerencia en la manipulación de los archivos que se encuentran el las carpetas designadas.

• Los usuarios que tengan permisos sobre los archivos compartidos son los responsables de la manipulación de la información.

Del Uso Personal • Queda estrictamente prohibido el uso de recursos compartidos para

archivos de audio y video que queden fuera de los lineamientos institucionales.

Respaldos.




Revisión:00

Páginas: 21/36


Nivel: X



• Es importante realizar respaldos por lo menos una vez a la semana de la

información. • El área de tecnología solo realizara respaldos de la información solo

cuando le sea notificada esta tarea por el área mediante una solicitud.




Revisión:00

Páginas: 22/36


Nivel: X



Política Préstamo de equipo Informático

Objetivo

Este documento describe las políticas bajo las cuales personal interno, podrán solicitar el Préstamo de equipo Informático.

Alcance

Esta política se aplica a todos los empleados y personas que trabajan dentro del FCE para solicitar en préstamo algún equipo Informático.

Política Solicitud

• La Gerencia de Tecnología pone a disposición de los empleados del Fondo de Cultura Económica el préstamo equipos informáticos (proyector, computadora portátil, cámara fotográfica digital y/o cámara de video) como herramientas de apoyo para las actividades laborales de cada una de las áreas de la institución.

• El préstamo del equipo informático se hace exclusivamente a los empleados del Fondo de Cultura Económica.

• La solicitud de reservación de los equipos informáticos se realizará a través de la mesa ayuda y/o correo electrónico, la cual tiene que ser firmada por el usuario al momento de recoger el equipo, se recomienda solicitarlo cuando menos con un día de anticipación.

• La reservación tiene una vigencia de 15 minutos exactos a partir de la hora indicada en la solicitud, una vez transcurrido ese lapso, el equipo queda a disposición de quien lo solicite.

• El tiempo máximo de préstamo será por cinco días, en caso que se requiera por más tiempo, el usuario deberá justificarlo por escrito a través de la solicitud.




Revisión:00

Páginas: 23/36


Nivel: X



• El préstamo de los equipos informáticos está sujeto a disponibilidad. Entrega de Equipo

• La entrega del equipo se hace exclusivamente a empleados del Fondo de

Cultura Económica. • Al momento de recoger el equipo, el solicitante deberá presentar y entregar

una copia de una identificación vigente.

• Al momento de entrega del equipo informático, el solicitante será el total responsable del resguardo del mismo.

• Si no se cumple con estos requisitos el préstamo será negado.

• Es responsabilidad del solicitante verificar que contenga los dispositivos

anexos al equipo informático. .

Devolución del Equipo

• Al momento de la devolución del equipo informático, se entregará al usuario una copia de su solicitud firmada por el personal de Tecnología como acuse de recibo.

• En caso de robo y/o extravío parcial y/o total del equipo informático se

deberá dar aviso inmediato al área de Tecnología.

• En caso de mal funcionamiento del equipo informático el usuario deberá reportarlo de inmediato al área de Tecnología.




Revisión:00

Páginas: 24/36


Nivel: X



Política de Correo Electrónico

Introducción

Una cuenta de correo electrónico permite el envío y recepción de mensajes y está asociada a una dirección única, en el ámbito del FCE. Para acceder a una cuenta de correo se requiere de esa dirección única y una contraseña.

Alcance

Esta política se aplica a todos los empleados y personas que trabajan dentro del FCE que tengan asignada una cuenta de correo electrónico.

Política Uso Correcto del Correo Electrónico. Responsabilidades del Usuario.

El usuario es el único responsable por el buen uso de su cuenta de correo electrónico. En consecuencia, al aceptarla, el buzón otorgado por la institución, el usuario se compromete a:

• Responsabilizarse de todas las actividades con la cuenta de correo

electrónico proporcionada por el FCE. • El cuidado de los recursos que integran dicha cuenta y, particularmente,

de los elementos, como la contraseña, que pueden permitir el acceso de terceros, o a otros recursos del FCE.

• Utilizar su cuenta únicamente para fines laborales, investigación o para los estrictamente relacionados con las actividades propias de su trabajo. No se permite la utilización del buzón de correo electrónico para fines comerciales, personales, ó diferentes a los que sean relativos al interés institucional.

• Depurar periódicamente el contenido del buzón de entrada en el servidor para evitar que los mensajes permanezcan en el un tiempo excesivo que




Revisión:00

Páginas: 25/36


Nivel: X



conduzca a la congestión o el bloqueo del mismo. • Utilizar siempre un lenguaje apropiado en sus comunicaciones. • Respetar la privacidad de las cuentas de otros usuarios del servicio,

tanto dentro como fuera de la red institucional. Del uso prohibido

• El sistema de correo electrónico del FCE no debe ser usado para la creación, ni distribución de mensajes ofensivos o perjudiciales, tales como mensajes de racismo, discriminación de género, edad, incapacidad, orientación sexual, mensajes pornográficos, creencias y prácticas religiosas , creencias políticas o cualquier otro tipo de ofensa no mencionada en este apartado.

• Transmitir información cuyo contenido sea ilegal, peligroso, invasor, del derecho de la privacidad, en cualquier otra forma ofensivo a terceros, o violatorio de derechos de autor, marcas o patentes.

• Usurpar identidad, realizar declaraciones falsas, en cualquier otra forma falsificar la identidad de cualquier otra persona, o alterar los encabezados de los mensajes.

• Enviar mensajes no solicitados o autorizados por los destinatarios: promociones, cadenas, solicitudes (correo spam) con archivos adjuntos que contengan virus, programas o códigos maliciosos (malware) con capacidad de dañar equipos de cómputo propios o de terceros.

Abuso del Correo Electrónico

Determinadas prácticas en el uso de la cuenta de correo electrónico están catalogadas como Abuso del Correo Electrónico. Estas actividades están especialmente perseguidas por la comunidad Internet, y suelen ocasionar un grave deterioro de la imagen de la organización. Cuando la institución se ve afectada por actividades de éste tipo, y es posible determinar el origen de los responsables, la institución puede decidir bloquear y rechazar todos los mensajes de correo pertenecientes a otra organización, práctica cada vez más habitual.




Revisión:00

Páginas: 26/36


Nivel: X



Los abusos de correo pueden agruparse en las siguientes categorías: • Difusión de contenido inadecuado Contenido ilegal por naturaleza (todo el que constituya complicidad con hechos delictivos). Ejemplos: apología del terrorismo, programas piratas, amenazas, estafas, virus o código malicioso (malware). • Ataques con intención u objetivo de dificultar o imposibilitar

el servicio Pueden dirigirse a un usuario o al propio sistema de correo. En ambos casos, el ataque consiste en el envío de un número alto de mensajes por segundo, o cualquier variante, que tenga el objetivo de paralizar el servicio por saturación de líneas, la capacidad de los recursos del sistema (procesador, memoria, disco duro). • Difusión Masiva no autorizada El uso de correo propio o ajeno para enviar masivamente mensajes de correo no solicitados por el destinatario, sean o no publicitarios, no está permitido. Esta actividad puede llegar a constituir una infracción castigada por la ley y supone un uso inapropiado de los recursos del Fondo De Cultura Económica. Este tipo de correo se conoce con el nombre de SPAM, y supone a todos los niveles una merma en la calidad del servicio electrónico. Evidentemente, el supuesto anterior no es aplicable a las comunicaciones que los distintos Centros o Servicios del FCE puedan enviar a los usuarios con los que se relacionan en el ejercicio de las actividades habituales. La Ley N° 28493 Ley que Regula el uso de correo electrónico comercial no solicitado (SPAM) Artículos 5 y 6

Copias de Seguridad

La Gerencia de Tecnología del FCE no realiza copias de seguridad de los buzones locales (carpetas personales), siendo responsabilidad de los mismos usuarios salvaguardar una copia. En caso de almacenar los mensajes en el servidor el usuario deberá realizar la descarga al buzón local. Es responsabilidad del usuario salvaguardar en otro medio una copia de su buzón ó de su copia local (carpetas personales), con el fin de cumplir con apego a lo dispuesto por el Institutito Federal de Acceso a la Información Pública (IFAI) que indica:




Revisión:00

Páginas: 27/36


Nivel: X



• Exclusivamente aquellos correos institucionales, serán considerados como correos electrónicos de archivo por lo que podrán conservarse en los términos y los periodos de guarda y conservación señalados en el Catálogo de Disposición Documental que contempla un periodo de 5 años atrás y de acuerdo a la estructura copia local.

En consecuencia se entenderá, que el contenido del buzón de correo está integrado únicamente por archivos “en tránsito y temporales” y no almacenados permanentemente allí.

Estructura copia local (carpetas personales)

Para realizar el resguardo de los correos electrónicos institucionales y sus documentos adjuntos, es necesario tener como mínimo la siguiente estructura de carpetas generadas: • Dirección General • Gerencia General • Asuntos Jurídicos • Administración y Finanzas • Editorial • Producción Editorial. • Comercialización y distribución • Difusión y Promoción • Planeación y Evaluación • Informática y sistemas.

Así mismo y con el fin de tener un mejor orden en el almacenamiento se podrán generar subcarpetas.

Administración de la cuenta 3.1 Solicitud

Toda persona vinculada a la institución, puede solicitar una cuenta de correo electrónico en el servidor institucional. La institución se reserva el derecho de asignar la cuenta solicitada, previa evaluación de la necesidad expresada por el solicitante y la disponibilidad de recursos existente. En caso de que se le autorice, dicha cuenta será mantenida mientras dure la vinculación del




Revisión:00

Páginas: 28/36


Nivel: X



solicitante con la institución, excepto en casos de fuerza mayor o mala utilización que eventualmente puedan causar la suspensión o cancelación de la misma. Una vez se produzca la desvinculación de la persona, la cuenta será dada de baja permanentemente en el servidor.

3.2 Capacidad

La capacidad máxima del buzón de correo electrónico es limitada y está determinada en base a los niveles de responsabilidad: • Usuarios: 60 Mb. • Jefes de departamento: 100 Mb • Subgerentes: 125 Mb • Gerentes: 150 Mb • Directivos 200 Mb No obstante, en caso de necesidades especiales, el interesado podrá solicitar la ampliación de la capacidad, la cuál será evaluada y, se determinará la aprobación o negación de la solicitud por parte de la Gerencia de Tecnología. De igual manera, en caso de necesidad institucional o por razones técnicas, las capacidades máximas de los buzones podrán ser modificadas unilateralmente por parte de la institución.

3.3 Creación de Cuentas

En el FCE las cuentas de correo electrónico son generadas utilizando el siguiente criterio: • Para Gerentes, Subgerentes u homólogos se construye:

<niveljerarquico.area>@<dominio.com>

• Para Jefes de departamento se construye:

<depto.area>@<dominio.com>

Donde <niveljerarquico> se comprende por (Director@,gerente, coordinador, subgerente, titular)




Revisión:00

Páginas: 29/36


Nivel: X



<depto> hace referencia a que es un jefe de departamento <area> Dirección, Gerencia General, Asuntos Jurídicos, Admón. y finanzas, Editorial, Comercialización, Comunicación, Tecnología, etc.

• Para personal sindicalizado, confianza y eventuales será de acuerdo al área donde se desempeña más un número arábigo.

<area1,2,3,…>@<dominio.com>

• Para el personal de honorarios es de acuerdo al área donde presta sus

servicios más una letra del abecedario.

<areab,c,d,e,…>@<dominio.com>

De igual manera, en casos en que la construcción resulte incómoda, compleja, o difícil de recordar, la Gerencia de Tecnología acordará un nuevo nombre con el interesado.

3.4 Acceso.

Los usuarios del servicio de correo de la institución podrán recibir y enviar mensajes desde programas (clientes) de correo que utilicen los protocolos SMTP(25), POP(110) e IMAP(143). El servicio SMTP no se permite cuando se solicita desde localizaciones externas a la red, por razones de seguridad, para evitar que el servidor sea utilizado para el envío de correo no deseado por parte de terceros. El acceso por vía web (OWA) está permitido para todo usuario que contenga una cuenta de correo electrónico siempre y cuándo se encuentre dentro de las instalaciones del FCE. Fuera de las instalaciones del FCE el acceso a la cuenta de correo electrónico vía web (OWA), solo está permitido para Gerentes, Subgerentes, Jefes de departamento y para algunos casos especiales debidamente solicitados y autorizados.




Revisión:00

Páginas: 30/36


Nivel: X



No obstante La Gerencia de Tecnología del FCE se reserva el derecho de anular dicho privilegio si así conviene a las necesidades propias del área ó por salvaguardar la seguridad del servicio.

3.5 Baja ó Desactivación de la cuenta El uso inapropiado o el abuso en el servicio de correo electrónico pueden ocasionar la desactivación temporal o permanente de las cuentas. Las acciones en este sentido pueden llevarse a cabo en función de incidencias que puedan suponer un problema para el buen funcionamiento del servicio. La Gerencia de Tecnología se reserva el derecho de dar de baja las cuentas que no tengan ninguna actividad por un período continuo de 30 días calendario. El incumplimiento por parte del usuario de una o más de las obligaciones descritas en el presente documento, puede ocasionar la suspensión y posterior baja del sistema de su cuenta de correo electrónico. Esta medida puede tomarse incluso con carácter preventivo y sin aviso previo, si llegará a detectarse alguna actividad ilegal o peligrosa originada en el buzón del usuario

4 Generales.

• Se asignará solamente una cuenta de correo electrónico por cada usuario. Las cuentas para proyectos especiales o grupos, se asignarán previo acuerdo entre la Gerencia de Tecnología y el área solicitante. Toda solicitud de apertura de cuentas de correo electrónico debe hacerse por mesa de ayuda y/o correo electrónico.

• Todo buzón de correo es personal e intransferible y su seguridad depende de la privacidad con que el usuario proteja su clave de acceso. Es responsabilidad exclusiva del usuario, preservar cuidadosamente la seguridad de su clave de acceso.

• Todas las cuentas pertenecientes a usuarios de honorarios, proyectos especiales u otros similares tendrán una vigencia en el tiempo. Una vez vencida esta, el interesado deberá renovar su solicitud ante la Gerencia de Tecnología para evitar la cancelación de la cuenta.




Revisión:00

Páginas: 31/36


Nivel: X



• La Institución se reserva el derecho de enviar al usuario toda información que considere necesaria o pertinente para garantizar un adecuado flujo de información interna, dado que el buzón se considera un medio de comunicación institucional. En ningún caso la información oficial que la institución entregue a sus usuarios a través del correo electrónico puede catalogarse como Correo No deseado.

• La Gerencia de Tecnología analizará los mensajes y archivos adjuntos de correo electrónico, para verificar la ausencia de virus. La entrega de todo mensaje a su destinatario final estará sujeta a que esta comprobación sea exitosa.

• La Gerencia de Tecnología no se compromete a entregar mensajes de correo a cuentas de uso gratuito, o cualquier otra ubicada fuera de la red institucional, pero hará el mejor esfuerzo para lograr en todos los casos los mejores niveles de comunicación con todos los usuarios.

Sanciones

• • Cualquier empleado que viole estas políticas será sancionado de

acuerdo a los criterios establecidos. • • Los terceros que violen los lineamientos de esta política serán

sancionados con la terminación de su contrato de servicio. •

Definiciones

Término Definición Correo electrónico

(en inglés e-mail), es un servicio de red para permitir a los usuarios enviar y recibir mensajes mediante sistemas de comunicación electrónicos (normalmente por Internet).

Cadenas de correo electrónico

Mensajes que utiliza el correo electrónico como forma de propagación.

Malware Palabra proveniente de una agrupación de las malicious software, y que en esencia son programas dañinos para un sistema de cómputo, también conocido como código malicioso.




Revisión:00

Páginas: 32/36


Nivel: X



Spam Correo electrónico masivo no solicitado y/o no autorizado Reenvío de correo (forwarding email)

Correo reenviado desde una red interna hacia afuera. Las cadenas de correo enviadas diferentes personas sucesivamente. Típicamente el cuerpo tiene direcciones a las cuales se les enviara múltiples copias prometiendo dinero y/o buena suerte si la dirección es reenviada.

OWA (Outlook Web Access) por sus siglas en inglés, es un servicio de acceso al correo electrónico desde cualquier punto del mundo por medio del internet.

SMTP (Simple Mail Transfer Protocol) por sus siglas en inglés. Protocolo Simple de Transferencia usado en sistemas de correo electrónico con el número 25 como identificador de puerto.

POP (Post Office Protocol) por sus siglas en inglés. Protocolo de comunicación usado en sistemas de correo electrónico para obtener los mensajes, con el número 110 como identificador de puerto.




Revisión:00

Páginas: 33/36


Nivel: X



Política de Auditoría Informática Interna

Objetivo

El propósito de esta política es establecer los lineamientos sobre las prácticas de auditoría y monitoreo sobre las computadoras de los usuarios de los sistemas y redes del FCE.

Las revisiones o auditorias podrían ser conducidas para:

• Asegurar la integridad de los recursos del sistema operativo. • Investigar posibles incidentes de seguridad para asegurar el correcto

apego a las políticas de seguridad definidas por la Organización.

Alcance.

Esta política aplica a todos los equipos de cómputo. Esta política también cubre a cualquier dispositivo o equipo de cómputo que este presente dentro de la organización, sea o no propiedad del FCE, por lo que todos los dispositivos y equipos serán sujetos a auditoria.

Política Descripción General

• El FCE por este medio provee su consentimiento para permitir realizar

auditoria a las computadoras que se encuentren dentro del alcance del objetivo de la auditoría, para realizar actividades de inventario, escaneos, y revisión de software instalado.

Aplicación

Cualquier empleado que viole estas políticas será sancionado de acuerdo a los criterios establecidos.




Revisión:00

Páginas: 34/36


Nivel: X



Política de Auditoría Informática Externa

Objetivo

El propósito de esta política es establecer los lineamientos sobre las prácticas de auditoría y monitoreo sobre los sistemas y redes del FCE.

Los auditores debe utilizar herramientas que estén aprobadas por el área de tecnología para garantizar que estas no causen algún daño sobre las redes, firewalls o sistema de la organización.

Las revisiones o auditorias podrían ser conducidas para:

• Asegurar la integridad, confidencialidad y la disponibilidad de la

información así como sus recursos. • Investigar posibles incidentes de seguridad para asegurar el correcto

apego a las políticas de seguridad definidas por la Organización. • Monitorear actividad de sistemas o usuarios. •

Alcance.

Esta política aplica a todos los equipos de cómputo y dispositivos de comunicación que estén operando en las instalaciones del FCE o que sean propiedad de este.

Esta política también cubre a cualquier dispositivo o equipo de cómputo que este presente dentro de la organización, pero los cuales no sean propiedad o no están siendo operados por la misma.

Política General




Revisión:00

Páginas: 35/36


Nivel: X



El área de tecnología proveerá y autorizará el acceso a los recursos solicitados por parte del personal de la auditoría externa. El FCE por este medio provee su consentimiento para permitir al equipo de auditores el acceso a sus redes y sistemas que se encuentren dentro del alcance del objetivo de la auditoría, para realizar actividades de escaneos y monitoreos autorizados de sistemas y usuarios. El FCE debe de proveer los protocolos, direccionamiento y conexiones de red suficientes para el equipo de auditores, de forma que estos puedan utilizar las herramientas u aplicaciones que ayuden a efectuar correctos monitoreos o escaneo sobre las redes del Fondo. Este acceso podría incluir:

• Acceso a nivel de usuario o de sistema a cualquier equipo o dispositivo

de comunicación o equipo de cómputo. • Acceso a la información (electrónica, hardcopy, etc.) que pudiera ser

transmitida o almacenada dentro de equipos del FCE. • Acceso sobre áreas de trabajo (laboratorios, oficinas, áreas de

almacenamiento, etc.) • Acceso al monitoreo de interactividad y tráfico de red de la

Organización. Control de Redes

• • El acceso a los recursos de cómputo y red será oficializado a través de

la firma de un acuerdo de entendimiento y apego a las políticas de seguridad del FCE.

Degradación y/o interrupción del servicio

• El FCE se da por enterada que el desempeño y/o disponibilidad de la red podría ser afectada por actividades de auditoría sobre la red, por lo que solo se autorizará este tipo de actividades en horarios y periodos específicos bien identificados por el equipo de auditoría.




Revisión:00

Páginas: 36/36


Nivel: X



Punto de contacto con el cliente durante el periodo de escaneo y monitoreo

• El equipo de auditoría deberá disponer de un contacto técnico para efectos de facilitar información al área de tecnología del FCE en caso de requerirse sobre las pruebas que se estén realizando.

Período de Escaneo

• El equipo de auditoría o monitoreo debe notificar por escrito el tipo de actividades y señalar las fechas en las cuales se realizarán las pruebas de barrido de puertos y servicios a las redes y sistemas del FCE.

Para el análisis normativo de la regulación interna.

Formato de Justificación Regulatoria

Artículo, numeral o fracción aplicable

II. Fundamentación del Proyecto Normativo

Unidad administrativa responsable del diseño o elaboración del documento normativo:

Institución:Adscripción:

En caso afirmativo, especifique de manera breve y concisa, por qué es necesario actualizar la regulación y en qué consiste esta última.

III.2. Razones que operativamente hacen necesaria la expedición del proyecto.

B. ¿El documento normativo es necesario como parte de una mejora continua, o para evitar obsolescencia o para cumplir con una instrucción de algún superior?

La Ley Orgánica de la Administración Pública Federal establece en su artículo 19 que se deben emitir los manualesde organización, procedimientos y de servicios al publico.El Estatuto Orgánico en su artículo 19 fracción II establece que las Gerencias y Coordinaciones Generales tienes la factulatd y obligación de " Observar y hacer cumplir, en el ámbito de sus respectivas competencias, las normas, manuales, políticas, bases y lineamientos aplicables a la entidad. El artículo 26 fracción I. Proponer el programa de actividades de la entidad en materia de sistemas de información y estadística, así como las políticas, manuales y criterios técnicos que deban aplicarse para el debido cumplimiento de los objetivos institucionales y fracción VII. Dictar los lineamientos relativos a la utilización de equipo de cómputo y sistemas de información, y conservar actualizado el registro de asignación a usuarios,

II.1. Fundamento jurídico

A. ¿Existe alguna problemática que hace necesaria la emisión del documento normativo?

En caso afirmativo, especifique de manera breve y concisa, en qué consiste dicha problemática y cómo es que el documento normativo la resolverá o atenderá:

Este documento contiene información actualizada de las operaciones que se realizan en la Gerencia de Tecnología y deja sin efecto el Manual de Organización, Políticas y Procedimientos de la Subgerencia de Tecnología de la Información, aprobado por la Junta Directiva del FCE, el 20.04.05

En caso afirmativo, especifique de manera breve y concisa, cuáles son los fines u objetivos que conforme al mandato previsto en esa ley u ordenamiento, debe lograr el documento normativo.

I. Datos del proyecto normativo

Gerencia de Tecnología

Establecer las directrices que tendrá que observar el personal que trabaja en el FCE para: El Uso de Recursos de Cómputo, de Seguridad y Permisos de Directorio, de Acceso a Usuarios Internos y externos de la red, Contraseñas para Usuarios de Dominio, Respaldos En Equipos Usuarios, de Recursos Compartidos, Préstamo de equipo Informático, Correo Electrónico y auditoría informática interna y externa

Dirección General Fondo de Cultura Económica

I.1. Nombre del documento normativo


I.2. Objetivo del documento normativo

Art. 19

III.1. Razones que jurídica o administrativamente hacen necesaria la expedición del proyecto.

A. ¿Alguna ley u ordenamiento obliga a emitir el documento normativo?

Ley Orgánica de la Administración Pública Pública Federal

Nombre del ordenamiento o disposición

III. Motivación del Proyecto normativo

Estatuto Orgánico del FCE Artículo 19 Fracc. III, 26 Fracc. I y VII

Justificación Regulatoria. Atributo "A. Eficaz".

Un documento normativo es EFICAZ cuando cumple con las siguientes condiciones:

Cumple No Cumple N/A

1 X

2 X

3 X

4 X

5 X

6

N/A

6,1 X

6,2 X

7 X

Las autorizaciones, decisiones, aprobaciones o resoluciones que deriven del documento normativo:

Las obligaciones que derivan del documento normativo expresan claramente: el sujeto obligado, los plazos y en su caso los medios para cumplirlas.

Existen precedentes o un diagnóstico integral que avale que las disposiciones del documento normativo producirán los efectos esperados por el emisor.

Las disposiciones del documento normativo pueden ser cumplidas en la realidad (material o jurídicamente).

Las disposiciones del documento normativo pueden ser aplicadas de forma homogénea y no generan vacíos ni indefinición.

Existen disposiciones directamente enfocadas a atender o resolver la problemática o situación para la que se creó dicha regulación.

El documento normativo no requiere de la emisión o aplicación de regulación complementaria, para cumplir con sus objetivos.

» Están diseñadas para emitirse de manera automática y sin ninguna valoración subjetiva, considerando solamente si se cumplieron o no los requisitos o condiciones que previamente se hayan fijado.

» En su defecto, si se emiten de forma subjetiva o discrecional, existen reglas, criterios o parámetros objetivos que aseguren homogeneidad, transparencia, imparcialidad y equidad en las mismas.

Eficaz

Un documento normativo es eficaz cuando su contenido es el apropiado para alcanzar los objetivos para el que fue creado.

A

Justificación Regulatoria. Atributo "B. Eficiente".

Un documento normativo es EFICIENTE cuando cumple con las siguientes condiciones:

Cumple No Cumple

1

1,2 X

1,3 X

1,4 X

Un documento normativo es eficiente cuando los “beneficios” que genera son mayores a los “costos” que implica su cumplimiento y estos últimos están justificados y son razonables.

B Eficiente

Las obligaciones, cargas o requerimientos de información que impone el documento normativo:

» Tienen sustento en ordenamientos de mayor jerarquía.

» Son estrictamente indispensables y no pueden ser sustituidas por información o validaciones que obtenga el área requirente de otras unidades administrativas o sistemas internos.

» Tienen un valor o utilidad para los procesos o procedimientos en que aplican.

Justificación Regulatoria. Atributo "C. Consistente".

Tipo de Documento: Manual Materia/Tema:

Artículos de aplicación específica

Artículo 19 FArt. 19

Un documento normativo es CONSISTENTE cuando cumple con las siguientes condiciones:

Cumple No Cumple

1 X

2 X

3

3,1 X

II.1. Ordenamientos de jerarquía superior que regulan la misma materia o tema del documento normativo:


Estatuto Orgánico del Fondo de Cultura EconómicaLey Orgánica de la Administración Pública Pública Federal

C Consistente

Un documento normativo es consistente cuando su estructura y contenido están estandarizados y sus disposiciones son congruentes con el marco normativo vigente.

Marco normativo referencial

Para saber si su documento normativo cuenta con este atributo de calidad regulatoria, primero identifique y en su caso llene los datos que aparece a continuación:

Marco Normativo Interno de ope

II.2. Ordenamientos de igual jerarquía que se ubican dentro del mismo tema o materia en que se encuentra el documento normativo:

II.3. Ordenamientos o instrumentos de menor jerarquía que se ubican por debajo del documento normativo o que se vinculan directa o indirectamente con su implantación, operación o realización:



La denominación del documento normativo:

» Anuncia con claridad los objetivos o tema que regula.

Sus disposiciones no contradicen ni se contraponen con el marco normativo vigente.

Sus disposiciones no duplican preceptos ya existentes en el marco normativo vigente.

Justificación Regulatoria. Atributo "C. Consistente".

3,2 X

3.3. X

» Es congruente con el tipo de regulación a que corresponde el documento normativo. (Homologación normativa. Ejemplo: Lineamientos, Acuerdo, etc.)

» No excede de 200 caracteres (incluyendo letras, números y espacios)

Justificación Regulatoria. Atributo "D. Claro y sencillo".

Un documento normativo es CLARO cuando cumple con las siguientes condiciones:

Cumple No Cumple

1 X

2 X

3 X

4 X

5 X

6 X

7 X

8 X

9 X

10 X

D Claro

Un documento normativo es claro, cuando está escrito de forma sencilla y precisa, para que sea fácilmente entendible.

Evita palabras, transcripciones o repeticiones innecesarias (Muletillas, redundancias, grupos de palabras que se pueden sustituir por una sola, palabras que no agregan información relevante).

Identifica las secciones o apartados del documento con literales y números (cuidando su secuencia y sin mezclarlos).

Evita textos que no necesariamente implican mandatos o reglas y que pueden ser simplemente argumentativos o justificativos.

Contiene oraciones y párrafos breves. (Oraciones con máximo 50 palabras y en su caso, párrafos compuestos por máximo 10 oraciones)

Contiene definiciones para evitar la vaguedad y ambigüedad del documento.

Contiene siglas precedidas de la denominación completa del nombre o concepto referido sólo la primera vez que se utiliza en el texto.

Contiene oraciones estructuradas de manera lógica al utilizar el orden más simple (sujeto, verbo y predicado).

Contiene oraciones formuladas en sentido positivo en lugar de negativo.

Contiene términos precisos que se usan de manera consistente en todo el documento.

Contiene términos de uso común en lugar de expresiones arcaicas o rebuscadas.

Políticas de uso de Recursos y Seguridad Informática 22 · PDF...

Documents

Transcript of Políticas de uso de Recursos y Seguridad Informática 22 · PDF...