EL SALVADOR

MINISTERIO DE ECONOMÍA

LINEAMIENTOS DE
r r

POLITICA INFORMATICA
 LINEAMIENTOS DE POLÍTICA INFORMÁTICA

PROCESO: GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

3 FE 8 '2
EL SAL\t,<.\D:::)R
CÓDIGO NGGSI002 VIGENTE A PARTIR DE - u I l

VERSIÓN: 01 P AGINA 2 de 11

TABLA DE CONTENIDO

l. OBJETIVO(S) ................................................................................................................................................ 3

2. ALCANCE ..................................................................................................................................................... 3

3. REFERENCIAS NORMATIVAS ........................................................................................................................ 3

4. RESPONSABLE ............................................................................................................................................. 3

S. DEFINICIONES Y TERMINOLOGÍA ................................................................................................................. 3

6. POL ÍTICAS .................................................................................................................................................... 4

6.1. POLÍTICAS RELAT'VAS A ll\ ADQUISICIÓN Y A'lR[NDAMlf:NTO DE BIENES Y/O SERVCIOS E'J IVl,\TERIA DE 1Ní0f;f/A,:CA Y
TElECON"L,N'CACIOtlES ................. .. .4
6. 2. ::>ouTICAS REI.ATIV1\S A�,\ ADll/.!NISTRACIÓN Dí: Gl(Ní:S y /o SERVICIOS EN '.,"ATERIA DL IN,c;;_·,,,', T,Ci, V
TEL(Cür/.l;NICACIONES.. ...... .................. .. .................. .. . ,:
6.3. Pour:CAS REL,\TIVAS A LA ArENCIQ"I¡ o,: REQUERIMIENTOS, MANTENIMi:cNTO PREVENTIVO Y CORRECT·VO De Gl(NES
INFORMÁTICOS Y /O DE TELECOMUNICACIONES..................................................................... . ... ...... ................. S
6.4. POLÍTICAS RELATIVAS Al DESARROLLO DE SISTEMAS O APLICACIONES......................................................................... 6
6.5. POLÍTICAS RELATIVA S AL USO LEGAL DEL SOFTWARE.................................... ............................................. 6
6.6. POLÍTICAS RELATIVAS A LA ADMINISTRACIÓN DE USUARIOS, CORREO ELECTRÓNICO E INTERNET Y OTROS SERVICIOS
INFORMÁTICOS v/o DE TELECOMUNIC,\CIONES .......... ..................... .................. ............................ ........... 7
6. 7. POLÍTICAS RELATIVAS A LA SEG\,RIDAD FÍSICA, AMBIENTACIÓN Y RESP,\�DOS .... ................................................... ...... 8
6.8. POLÍTICAS RELATIVAS A LA RED DE DATOS ............................................................................................................ 9
6.9. POLÍTICAS RELATIVAS A LOS ESTÁNDARES DE INFORMÁTICA ..................................... ................................................ 9

7. ANEXOS ...................................................................................................................................................... 10

8. REGISTROS ................................................................................................................................................. 10
 LINEAMIENTOS DE POLÍTICA INFORMÁTICA

PROCESO GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

3 FE 8 2017�·-···
ELSAL\�(X:8
CÓDIGO: NGGSI002 VIGENTE A PARTIR DE -

VERSIÓN: 01 PAGINA 3 de 11

1. OBJETIVO(S)
Establecer las disposiciones para implementar, operar, hacer seguimiento, revisar, mantener y
mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) documentado; dentro
del contexto de los riesgos y necesidades del Ministerio de Economía (MINEC), para asegurar
los controles de seguridad suficientes que protejan los activos de información y brinden
confianza a las partes interesadas.

2. ALCANCE
Este documento es de cumplimiento obligatorio para todos(as) los(as) funcionarios(as) y
servidores(as) públicos(as) de las unidades organizativas del MINEC.

3. REFERENCIAS NORMATIVAS
Normas Técnicas de Control Interno Específicas del Ministerio de Economía.
Manual de Procedimientos de la Gestión de la Seguridad de la Información.

4. RESPONSABLE
El (La) responsable de controlar la aplicación del presente de este documento es el (la)
Director(a) de Tecnologías de la Información.

5. DEFINICIONES Y TERMINOLOGÍA
Activo
Cualquier objeto tangible o intangible que tiene valor para la organización.

Confidencialidad
Propiedad que determina que la información no esté disponible ni sea revelada a individuos.
entes o procesos no autorizados.

Disponibilidad
Propiedad de que la información sea accesible y utilizable por solicitud de una entidad
autorizada.

Integridad
Propiedad de salvaguardar la exactitud y estado completo de los activos.

Seguridad de la información
Preservación de la confidencialidad, la integridad y la disponibilidad de la información; además,
puede involucrar otras propiedades tales como: autenticidad, trazabilidad, no repudio y
fiabilidad.
 LINEAMIENTOS DE POLÍTICA INFORMÁTICA

PROCESO: GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

EL SALv'ADOR
CÓDIGO: NGGSI002 VIGENTE A PARTIR DE: ·;'1-17
• 1 1 .

VERSIÓN: 01 PAGINA: 4 de 11

Sistema de Gestión de la Seguridad de la Información (SGSI)

Parte del Sistema de Gestión global, basada en un enfoque hacia los riesgos globales de un
negocio, cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y
mejorar la seguridad de la información. El Sistema de Gestión incluye la estructura
organizacional, políticas, actividades de planificación, responsabilidades, prácticas.
procedimientos, procesos y recursos

6. POLÍTICAS

6.1. Políticas relativas a la adquisición y arrendamiento de bienes y/o servicios

en materia de informática y telecomunicaciones

6.1.1. Cada unidad organizativa debe elaborar sus necesidades de bienes y/o servicios en
materia de informática y telecomunicaciones, las cuales serán presentadas a la
Dirección de Tecnologías de la Información y a la Dirección de Administración y
Finanzas: por lo menos con quince días hábiles de anticipación, previos a la elaboración
del Presupuesto del año siguiente, con el objetivo de evaluar su factibilidad por ambas
direcciones y poder ser considerada su adquisición en el siguiente ejercicio fiscal.

6.1.2. Todas las adquisiciones con el Fondo General de la Nación (GOES) de bienes y/o
servicios en materia de informática y telecomunicaciones. deberán contar con el visto
bueno por parte de la Dirección de Tecnologías de la Información o de la Unidad de
informática que se delegue para tal efecto, el cual será entregado a la unidad
organizativa que lo requiera y quedarán sujetos al procedimiento previsto por la Ley de
Adquisiciones y Contrataciones Públicas (LACAP).

6.1.3. Las unidades organizativas deberán apoyarse en la Dirección de Tecnologías de la

Información o en la Unidad de Informática que se delegue para la elaboración de las
especificaciones técnicas de bienes y/o servicios en materia de informática y
telecomunicaciones que se pretenda adquirir.

6.2. Políticas relativas a la administración de bienes y/o servicios en materia de

informática y telecomunicaciones

6.2.1. Ningún tipo de movimiento de un bien informático y/o de telecomunicaciones que se

refiera a asignaciones, traslados, préstamos o sustituciones será realizado sin la
autorización del Departamento de Activo Fijo.

6.2.2. Aquellos bienes informáticos y/o de telecomunicaciones que para lograr su óptimo
aprovechamiento o que para apoyar proyectos prioritarios, necesiten ubicarse en otras
unidades organizativas, deberán contar con el oficio de dictamen técnico favorable por
parte de la Gerencia de Telecomunicaciones y Seguridad Informática, debiendo notificar
previamente de esta situación al Departamento de Activo Fijo.
 LINEAMIENTOS DE POLÍTICA INFORMÁTICA

-'t·;N. PROCESO: GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

ELSALVACCR
3 FEB 2017 �-··
V CÓDIGO NGGSI002

V ERSIÓN 01
VIGE NTE APARTIROE

PAGINA: 5 de 11
-

6.2.3. Tratándose de equipo a dar de baja, la Gerencia de Telecomunicaciones y Seguridad

Informática deberá enviar el dictamen técnico de baja correspondiente al Departamento
de Activo Fijo. Asimismo, deberá enviarse el equipo a dar de baja debidamente
etiquetado, señalando el tipo de falla u obsolescencia por la cual se procede a esta
acción.

6.24. Es responsabilidad de la Gerencia de Recursos Humanos, informar oportunamente a la

Dirección de Tecnologías de la Información y/o a las Gerencias bajo su responsabilidad.
sobre las bajas y traslados de personal; a fin de mantener actualizada la nómina de
usuarios que acceden a los servicios informáticos y/o de telecomunicaciones
institucionales, tales corno: correo electrónico, Internet. aplicativos y otros servicios.

6.3. Políticas relativas a la atención de requerimientos, mantenimiento

preventivo y correctivo de bienes informáticos y/o de telecomunicaciones

6.3.1. Los(as) usuarios(as) de las unidades organizativas del Ministerio de Economía deberán
efectuar la respectiva solicitud de soporte técnico, ya sea de hardware y/o software vía
teléfono, correo electrónico o cualquier otro medio que se considere conveniente para
una atención oportuna de la misma.

6.3.2. El mantenimiento preventivo de los bienes informáticos y/o de telecomunicaciones será

realizado mediante un programa permanente que permita diagnosticar posibles fallas
además de una limpieza en los equipos y revisando que sean utilizados adecuadamente.
La Gerencia de Telecomunicaciones y Seguridad Informática será la encargada de
coordinar y supervisar la ejecución de los programas de mantenimiento preventivo.

6.3.3. En el caso del mantenimiento correctivo de bienes informáticos y/o de

telecomunicaciones que están fuera de garantías o contratos, este tipo de
mantenimiento deberá ser solicitado por el (la) superior administrativo(a) de la unidad
organizativa; mediante requisición escrita a la Dirección de Administración y Finanzas y
con el oficio de dictamen técnico favorable de la Gerencia de Telecomunicaciones y
Seguridad Informática, el cual será emitido como resultado de la investigación directa
sobre la falla en particular.

6.3.4. No será autorizada la contratación de mantenimiento preventivo y/o correctivo de bienes

informáticos y/o de telecomunicaciones que no sean propiedad del Ministerio de
Economía.
 LINEAMIENTOS DE POLÍTICA INFORMÁTICA

PROCESO: GESTIÓN DE LA SEGURIDA DE LA INFORMACIÓN

D

3 FE B 2 O 17 ===-
EL SAL\íA.DC)R
CÓDIGO NGGSI002 VIGENTE A PARTIR
D
�
VERSlÓN: 01 PAGINA 6 de 11

6.4. Políticas relativas al desarrollo de sistemas o aplicaciones

6.4.1. Todas las solicitudes de desarrollo de sistemas o aplicaciones provenientes de las

unidades organizativas que involucren una erogación de fondos, deberán contar co n el
visto bueno de la Dirección de Tecnologías de la Información o de la Unidad de
Informática correspondiente. Asimismo, se debe cumplir con los estándares de
informática definidos en el numeral 6. 9.1 de este documento, para garantizar la
uniformidad en el diseño y desarrollo de nuevos sistemas o aplicaciones y en el
mantenimiento de los que están en operación.

6.4.2. Cada Unidad de Informática del MINEC deberá utilizar las herramientas con que cuenta
para cumplir con los requerimientos informáticos de sus respectivas unidades
organizativas. Es responsabilidad de cada Unidad de Informática del MINEC cumplir los
estándares de informática establecidos en el numeral 6.9.1 de este documento.

6.4.3. Independientemente de la fuente de fondos, todos los sistemas o aplicaciones que sean
desarrollados deberán poseer la documentación respectiva que facilite su mantenimiento
posterior, la cual deberá estar debidamente actualizada con cada uno de los cambios.
Es responsabilidad de la Dirección de Tecnologías de la Información y de las Unidades
de Informática del MINEC. controlar y ejecutar lo anteriormente establecido.

6.44. Las solicitudes de desarrollo de sistemas o aplicaciones deberá estar acompañada por
la documentación siguiente:
- Listado de requerimientos. en el cual además se defina el alcance de la solución
- Procesos y procedimientos debidamente actualizados.
- Reglas de negocio o metodología (por ejemplo los cálculos) que intervienen e n la
automatización.
- Listado y detalle de reportes mínimos que se esperan.

6.5. Políticas relativas al uso legal del software

6.5.1. Es responsabilidad exclusiva de la Dirección de Tecnologías de la Información y de las

Unidades de Informática del MINEC, la instalación de software en los equipos de la
Institución. Si algún empleado violenta esta disposición, será exclusiva responsabilidad
de este último, el responder ante cualquier organismo contralor que se declare como
ofendido por violentar la propiedad intelectual y el no haber pagado los respectivos
derechos de uso.

6.5.2. Es responsabilidad de la Dirección de Tecnologías de la Información y de las Unidades

de Informática del MINEC, procurar que se cuente con las licencias de uso de los
programas instalados en los equipos. Bajo ninguna circunstancia, se procederá a la
instalación de software, si no se cuenta con su respectiva licencia de uso.
 LINEAMIENTOS DE POLÍTICA INFORMÁTICA

PROCESO GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

3 FEB 20í7
EL SALVADOR
CÓDIGO: NGGSI002 VIGEN TEAPARTIRDE· _

VERSIÓN: 01 PAGINA: 7 de 11

6.5.3. La Dirección de Tecnologías de la Información y las Unidades de Informática del MINEC

deberán administrar la ejecución de auditorías a cada computador, de todas las
unidades organizativas de la Institución; y remitir un Informe de software ilegal y/o no
autorizado al (la) superior administrativo(a) correspondiente, para realizar las
correcciones y sanciones que correspondan.

6.5.4. Cualquier necesidad de instalación de software en los equipos y que no esté dentro de
los estándares de informática establecidos en el numeral 6.9.1 de este documento,
deberá ser justificada plenamente por el (la) superior administrativo(a) de la unidad
organizativa ante la Dirección de Tecnologías de la Información o la Unidad de
Informática correspondiente; para proceder a su adquisición, en el caso de no contar con
la licencia de uso respectiva.

6.5.5. Todo el software "freeware" o "shareware", descargado desde internet, deberá contar
con la autorización de la Dirección de Tecnologías de la Información o de la Unidad de
Informática correspondiente.

6.5 6. Es responsabilidad del Departamento de Activo Fijo, resguardar los documentos

originales que otorgan el uso legal del software en la Institución. Asimismo, la Dirección
de Tecnologías de la Información o la Unidad de Informática correspondiente deberán
poseer una copia de estos documentos; los cuales facilitarán el control de licencias a
instalar. Sin embargo, las licencias por medio de discos de instalación, manuales y cajas
conocidas como "Productos Completos", serán resguardadas por la Dirección de
Tecnologías de la Información o la Unidad de Informática correspondiente, en
coordinación con el Departamento de Activo Fijo, para su respectiva asignación.

6.5.7. Ningún software que requiera de licencia podrá ser utilizado en la Institución, si no se
encuentra debidamente registrado y asignado en el Sistema del Departamento de Activo
Fijo.

6.6. Políticas relativas a la administración de usuarios, correo electrónico e

internet y otros servicios informáticos y/o de telecomunicaciones

6.6.1. Es responsabilidad de la Dirección de Tecnologías de la Información, la administración

de los servicios de correo electrónico, internet, páginas web, antivirus, seguridad de la
red de datos; entre otros. Se excluyen aquellos casos donde por razones de ubicación
geográfica o por disposiciones de los(as) Titulares, se decida que las Unidades de
Informática del MINEC administren estos servicios.

6.6.2. Es responsabilidad del (la) superior administrativo(a) de cada unidad organizativa o del
(la) Gerente de Recursos Humanos, solicitar la apertura, el cierre o el cambio de una
cuenta electrónica de usuario de los servicios informáticos y/o de telecomunicaciones
institucionales.
 LINEAMIENTOS DE POLÍTICA INFORMÁTICA

PROCESO: GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

EL SALVADOR
CÓDIGO: NGGSI002 VIGENTE A PARTIR DE: - 3 FE B 2n17 ·==-·
- \.,

VERSIÓN: 01 PAGINA: 8 de 11

La creación de cuentas de correo electrónico institucional dependerá de la disponibilidad

de licencias existentes. En caso de no disponer de licencias en existencia, el (la)
empleado(a) interesado(a) podrá utilizar correos electrónicos gratuitos en internet, por
ejemplo: Yahoo, Hotmail, Gmail, etc. Y será de su exclusiva responsabilidad la creación
y administración de este tipo de cuentas de correo electrónico.

6.6.3. La cuenta electrónica institucional es personal e intransferible. Es responsabilidad

directa del usuario, todas las acciones y mensajes que se lleven a cabo en su nom bre.
Esto incluye correo electrónico, acceso a sistemas y otros similares.

6.6.4. La Dirección de Tecnologías de la Información podrá definir restricciones de espacio en

disco, tipos de contenidos y cualquier otra restricción en el servicio de correo electrónico;
con el objetivo de evitar la degradación de los sistemas de correo.
La suspensión o activación de los servicios al personal, tales como: correo electrónico,
navegación por internet; entre otros, deberá ser solicitada de forma escrita por el (la)
superior administrativo(a) de la unidad organizativa a la Dirección de Tecnologías de la
Información.

6.6.5. Se prohíbe hacer uso de internet con fines de diversión, así como también para visitar
páginas pornográficas, sitios de juegos, sitios para descargar música, videos o películas
y ejecutar software que permita el intercambio de archivos que no vayan en beneficio del
logro de los objetivos institucionales.
La Dirección de Tecnologías de la Información o la Unidad de Informática
correspondiente podrán generar reportes de aquellos usuarios que hayan violentado
esta disposición, y remitirlos al (la) superior administrativo(a) para que se realicen las
correcciones o sanciones pertinentes.

6.7. Políticas relativas a la seguridad física, ambientación y respaldos

6.7.1. Las áreas donde se encuentren servidores y equipo de cómputo especializado deberán
estar debidamente provistas de aire acondicionado, a efectos de evitar recalentamientos
que favorezcan la falla de los equipos en mención.
En estas áreas quedará terminantemente prohibido fumar, para lo cual deberá
señalizarse adecuadamente indicando dicha restricción al personal.

6.7 .2. Es responsabilidad del personal que tenga a su cargo equipo informático y/o de
telecomunicaciones:
- Velar que se encuentran debidamente ventilados, sin obstrucciones y que no existan
objetos encima de los mismos. La Dirección de Tecnologias de la Información o la
Unidad de Informática correspondiente efectuarán, regularmente, inspecciones y
notificarán a cada superior administrativo(a) de las unidades organizativas sobre el
incumplimiento de lo anterior. Esto incluye a los equipos de segmentación de redes y
UPS.
 LINEAMIENTOS DE POLÍTICA INFORMÁTICA

PROCESO GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

EL SALVADOR
CÓDIGO: NGGSI002 VIGENTE A PARTIR DE
- 3 FEB 2017
VERSIÓN: 01 PAGINA 9 de 11

- Que al momento de retirarse de las instalaciones del Ministerio de Economía, queden

debidamente apagados el monitor, el CPU, UPS, impresores y todo aquel periférico
que utilice para el desarrollo de las obligaciones diarias.

6.7.3. El Ministerio de Economía velará por la creación de respaldos de información de los

servidores de la red informática, para proteger los datos generados; proporcionando los
recursos necesarios y estableciendo los procedimientos y mecanismos para la
realización de estas actividades.

6.7.4. Los medios magnéticos que se utilicen para los respaldos, deben guardarse en un lugar
seguro, seco y limpio y con los controles de seguridad física y medioambiental
apropiados.

6.7.5. El almacenamiento de los respaldos de información deberá realizarse en un lugar

externo a la Institución (cajas de seguridad en bancos, u otras oficinas; entre otros) que
garantice el acceso, protección y seguridad de las mismas.

6.7.6. La restauración de copias de seguridad deberá ser funcional, garantizando la integridad

de los datos.

6.8. Políticas relativas a la red de datos

6.8. 1 . La red de datos del Ministerio de Economía deberá contemplar los estándares de
informática establecidos en el numeral 6.9 2 de este documento.

6.9. Políticas relativas a los estándares de informática

6.9.1. Todo nuevo desarrollo de sistemas informáticos y uso de aplicaciones deberá

enmarcarse en los siguientes estándares:
- Windows-Front End: Visual Foxpro, Visual Basic. Visual Studio.NET.
Back-End: SOL, Oracle.
Sistemas Operativos (red y monousuario): Microsoft Windows, UNIX y Linux.
Para Internet: HTML, Java. XML, ASP, PHP y Adobe.
Para diseño de Base de Datos: UML (Modelo 00) y Power Designer (Modelo
Relacional).
Diseñadores de gráficos: Adobe, Autocad, Visio.
Ofimática: Microsoft Office.
Software estadístico: SPSS, Minitab.
Software estadístico de desarrollo: IMPS, CSPRO.
Software de digitalización: Ascent Capture, lndicius/Neurascript, VRS.
Software de desarrollo y publicación de cubos OLAP: Report Portal, Discovery.
 LINEAMIENTOS DE POLÍTICA INFORMÁTICA

PROCESO: GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

EL S.l\LVADOR
CÓDIGO: NGGSI002 VIGENTE A PARTIR DE:
- 3 FE B 2 17
o
V ERSl\:)N: 01 PAGINA: 1 O de 11

6.9.2. La instalación de la red de datos deberá realizarse considerando los siguientes

estándares:
- Para el tendido horizontal deberá utilizarse cable UTP categoría 6A, bajo norma
EIA/TIA 568 B, con soporte para transmisión de datos 10/100/1000Mbps y
cumplimiento a la norma IEEE 802.3 o Categoría 6.
La distancia máxima para cada punto de red no deberá exceder de 90 metros, a partir
del "patch panel" hasta el toma respectivo.
La trayectoria del cable no deberá pasar sobre fuentes generadoras de ruido.
lámparas fluorescentes o líneas de alta tensión.
La trayectoria del cable no deberá presentar quiebres bruscos a 90 grados.

7. ANEXOS
No aplica.

8. REGISTROS
No aplica.